Si vous utilisez les services de domaine Microsoft® Active Directory, vous pouvez configurer la configuration simple SSO (single sign-on). Cela permet aux utilisateurs d'utiliser tous les composants ARIS dès qu'ils se connectent au domaine. Il n'est plus nécessaire de se connecter séparément aux composants ARIS.
Veuillez vous adresser à votre administrateur LDAP.
Condition préalable
Serveur
Client
Configuration dans l'Administration ARIS avec Kerberos
La connexion simple SSO doit être configurée pour les serveurs.
Kerberos est une authentification réseau permettant à des nœuds de communiquer en utilisant un réseau non sécurisé tout en se transmettant entre eux leur identité de manière sécurisée. Kerberos est le moyen conseillé pour une authentification utilisateur dans des réseaux Microsoft® Windows. De plus, c'est un système très répandu pour les systèmes d'exploitation Linux et des implémentations sont disponibles pour toutes les plateformes importantes.
Condition préalable
Vous possédez le droit de fonction administrateur de configuration technique.
Procédure
Si vous n'avez pas de fichier de configuration Kerberos, prenez le kbr5.conf de votre support d'installation sous Add-ons\Kerberos. Donnez-lui par exemple le nom krb5.conf, ajoutez les lignes suivantes puis adaptez la configuration à vos besoins.
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
Si le nom du principal de service dans le keytab est, par exemple, mypc01@MY.DOMAIN.COM, les valeurs de la propriété com.company.aris.umc.kerberos.servicePrincipalName doivent contenir le nom de principal de service exactement tel qu'il est spécifié dans le fichier keytab.
Par exemple : MYDOMAIN.COM.
Les sorties de débogage du programme auquel l'utilisateur veut se connecter sont enregistrées dans le fichier system.out du programme concerné. Pour la gestion des utilisateurs, par exemple, elles sont enregistrées dans le répertoire <répertoire d'installation ARIS/work_umcadmin_m/base/logs>.
Vous avez configuré SSO avec Kerberos dans Administration ARIS.
Configuration dans l'Administration ARIS avec SAML
La connexion simple SSO doit être configurée pour les serveurs.
Condition préalable
Procédure
Vous avez configuré SSO avec SAML dans Administration ARIS. Si vous utilisez plusieurs systèmes LDAP, les noms d'utilisateur doivent être sans ambiguïté dans tous les systèmes LDAP. Sinon, aucun SSO n'est possible.
Veuillez noter que SSO (single sign-on) avec SAML ne fonctionnera pas en cas de serveurs LDAP multiples et de noms d'utilisateurs identiques (même avec des entités différentes) dans différents systèmes LDAP.
Configuration du client
Configurez les paramètres du navigateur pour autoriser la connexion simple SSO. La connexion simple SSO a été testée avec les navigateurs suivants :
Vous devez d'abord vider le cache de ticket Kerberos de chaque client afin d'éviter les tickets obsolètes si les services de domaine Microsoft® Active Directory ont été modifiés. Supprimez le cache de ticket Kerberos en exécutant la commande klist.exe purge. Si le programme de purge n'est pas disponible sur l'ordinateur client, vous pouvez simplement déconnecter l'ordinateur client du domaine et le reconnecter.
Microsoft® Internet Explorer®
Microsoft® Internet Explorert® ne prend en charge l'authentification basée sur Kerberos que si le ARIS Server fait partie de votre intranet local.
Procédure
Mozilla Firefox®
Dans Mozilla Firefox®, vous pouvez définir des pages autorisées en utilisant le nom de l'ordinateur, l'adresse IP ou une combinaison des deux. Vous pouvez utiliser des caractères génériques.
Procédure
Si vous souhaitez utiliser un chiffrement plus fort que AES 128 bits et que cela est autorisé dans votre pays, remplacez le fichier de stratégie JCE de la JDK de votre ARIS Server par les fichiers de stratégie Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Cela permet une longueur de clé illimitée.
Si vous ne souhaitez pas remplacer les fichiers de stratégie mais que vous souhaitez tout de même utiliser la connexion simple SSO,vous devez utiliser une procédure autorisée par JDK pour le cryptage de tickets Kerberos, p.ex. AES 128 bits.