Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: page props en link ADFS

De WGP-server moet voor SSO apart worden geconfigureerd. Ook moeten de instellingen van de webbrowsers waarmee je de WGP-kaarten bekijkt (de web-clients) worden aangepast. Deze configuratie wordt in de volgende onderdelen beschreven:

Zie voor een beschrijving van de extra configuratie voor authenticatie via Active Directory Federation Services (ADFS) onderdeel ADFS-authenticatie.

Anchor
_Toc491859798
_Toc491859798
Configuratie van WGP op de server

Na de installatie van WGP moet aan het configuratiebestand users.xml ten minste één AD-gebruiker met de rol Administrator zijn toegevoegd. De naam van de gebruiker heeft prefix 'domeinnaam\'. Dit is de gebruiker die zich als eerste bij WGP aanmeldt en de andere WGP-gebruikers in WGP Beheer moet toevoegen. Bijvoorbeeld:

<Users>
  …
    <User>
      <UserName>AD\jan.van.gent</UserName>
      <Password />
      <Email />
      <Rolenames>
        <Rolename>Administrator</Rolename>
      </Rolenames>
      <LastLoginTime />
    </User>
    …
</Users>

Waarbij 'jan.van.gent' in de Active Directory één van de geldige gebruikers-ID's is binnen het Windows-domein 'AD'.

Warning
titleAttentie!

Je moet bij het omschakelen naar SSO-authenticatie in het configuratiebestand users.xml de standaard gebruiker Administrator laten staan. Deze wordt namelijk nog steeds gebruikt voor de autorisatie van allerlei beheertaken. Je kunt alle andere 'oude' gebruikers verwijderen, dat wil zeggen alle gebruikers die niet afkomstig zijn uit de AD. Deze worden namelijk niet meer gebruikt.

Pas daarna op de volgende manier de rechten van de map aan waarin webapplicatie WGP zich bevindt:

  1. Open het eigenschappenvenster (Properties) van de map.

  2. Geef alle groepen van de Active Directory die WGP moeten gebruiken de volgende rechten (gebruik bijvoorbeeld een 'supergroep' die al alle vereiste subgroepen bevat):
    • Read & execute
    • List folder content
    • Read

  3. Klik OK.

Het eigenschappenvenster van de map ziet er nu bijvoorbeeld voor de groep 'Wgp-Users' als volgt uit:

Anchor
_Toc491859799
_Toc491859799
Configuratie van Internet Information Services (IIS)

De eigenlijke SSO wordt op de webserver afgehandeld door de Internet Information Services (IIS) van Windows. Je moet IIS op de volgende manier configureren:

  1. Start de IIS Manager op de WGP-server.

  2. Klik in de IIS Manager op de beginpagina van WGP op Authentication

    Panel
    borderStylenone

    Het venster met de authenticatie-instellingen verschijnt.



  3. Schakel hier Windows Authentication in (de status krijgt de waarde Enabled).

  4. Schakel hier Anonymous Authentication , ASP.NET Impersonation en Forms Authentication uit (de status krijgt of behoudt de waarde Disabled). 

    Panel
    borderStylenone

    De authenticatie-instellingen zien er nu als volgt uit:

    De AD-interface van WGP voor SSO-authenticatie wordt automatisch geactiveerd wanneer je in IIS in plaats Forms Authentication de authenticatie-instelling Windows Authentication selecteert.


  5. Klik OK

    Panel
    borderStylenone

    Omdat de gebruikers zich niet apart bij WGP kunnen aanmelden, moet je voorkomen dat ze na een periode van inactiviteit automatisch afgemeld worden. Je moet hiervoor de Idle Time-out van de default application pool uitschakelen.


  6. Selecteer Application pools in het paneel Connections.

  7. Selecteer de default application pool (DefaultAppPool).

  8. Selecteer de optie Advanced Settings in paneel Actions. Het venster Advanced Settings verschijnt van de default application pool.

  9. Zet bij Process Model de waarde van instelling Idle Time-out (minutes) op 0. 

    Panel
    borderStylenone


  10. Klik OK.

Anchor
_Toc491859800
_Toc491859800
Configuratie van de browsers van de web-clients

Bij de web-clients, waar de gepubliceerde WGP-kaarten in een webbrowser bekeken worden, moet je voor de SSO-authenticatie het URL-adres van de WGP-server aan de lijst met vertrouwde websites toevoegen. Je moet vervolgens bij de beveiligingsinstellingen aangeven dat je bij die sites automatisch aangemeld wordt met je huidige gebruikersnaam en wachtwoord.

Configuratie Chrome en Internet Explorer

De browsers Google Chrome en Microsoft Internet Explorer kun je op de volgende manier configureren voor SSO-authenticatie (gebaseerd op Windows 10):

  1. Kies optie Internetopties van het Configuratiescherm.  Venster Eigenschappen van Internet verschijnt.

  2. Selecteer op tabblad Beveiliging de zone Vertrouwde websites

    Panel
    borderStylenone


  3. Klik op de knop Websites. Het venster Vertrouwde websites verschijnt.

  4. Vul bij Deze website aan de zone toevoegen het URL-adres van de WGP-server in.

  5. Klik op de knop Toevoegen. Het URL-adres verschijnt in het veld Websites

    Panel
    borderStylenone

    In het volgende voorbeeld is de website 'http://wgp-c-test.nieuwland.nl ' toegevoegd:


  6. Sluit het venster Vertrouwde Websites. Je keert terug naar het venster Eigenschappen van Internet.

  7. Klik in venster Eigenschappen van Internet. op de knop Aangepast niveau. Het venster met de beveiligingsinstellingen van de vertrouwde websites verschijnt.

  8. Selecteer in dit venster bij Aanmelden de optie Automatisch aanmelden met huidige gebruikersnaam en wachtwoord

    Panel
    borderStylenone


  9. Klik OK. Het venster met de beveiligingsinstellingen sluit.

  10. Klik in het venster Eigenschappen van Internet op OK. Hiermee sla je de gewijzigde interneteigenschappen op en sluit je het venster.

  11. Start Windows opnieuw op. De SSO-functionaliteit is namelijk pas na het opnieuw opstarten van de computer beschikbaar.

Configuratie Firefox

In de browser Mozilla Firefox kun je de extensie Integrated Authentication for Firefox gebruiken om voor vertrouwde websites 'pass-through authentication' mogelijk te maken.
Je kunt met deze extensie op de volgende manier Firefox voor SSO-authenticatie configureren:

  1. Open het menu Extra (druk op de Alt-toets om de menubalk zichtbaar te maken).



  2. Kies uit dit menu de optie Integrated Authentication Sites. Venster NTLM/Integrated Authentication verschijnt.

  3. Vul bij het veld Allow Integrated Authentication on this site het URL-adres van de WGP-server in.

  4. Druk op de Enter-toets. De URL verschijnt in de lijst Integrated-auth-enabled sites. 



  5. Sluit het venster door ernaast te klikken.


Page Properties
hiddentrue

Dit is een hoofdstuk uit de handleiding "SSO-authenticatie voor WGP met Active Directory Versie 4.6".