...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
De WGP-server moet voor SSO apart worden geconfigureerd. Ook moeten de instellingen van de webbrowsers waarmee je de WGP-kaarten bekijkt (de web-clients) worden aangepast. Deze configuratie wordt in de volgende onderdelen beschreven:
- 'Configuratie van WGP op de server'
- 'Configuratie van Internet Information Services'
- 'Configuratie van de browsers van de web-clients'
Zie voor een beschrijving van de extra configuratie voor authenticatie via Active Directory Federation Services (ADFS) onderdeel Authenticatie via Active Directory Federation Services (ADFS).
Anchor | ||||
---|---|---|---|---|
|
Na de installatie van WGP moet aan het configuratiebestand users.xml
ten minste één AD-gebruiker met de rol Administrator zijn toegevoegd. De naam van de gebruiker heeft prefix 'domeinnaam\
'. Dit is de gebruiker die zich als eerste bij WGP aanmeldt en de andere WGP-gebruikers in WGP Beheer moet toevoegen. Bijvoorbeeld:
...
<Users>
…
<User>
<UserName>AD\jan.van.
...
gent</UserName>
<Password />
<Email />
<Rolenames>
<Rolename>Administrator</Rolename>
</Rolenames>
<LastLoginTime />
</User>
…
</Users>
Waarbij 'jan.van.gent
' in de Active Directory één van de geldige gebruikers-ID's is binnen het Windows-domein 'AD'.
Warning | ||
---|---|---|
| ||
Je moet bij het omschakelen naar SSO-authenticatie in het configuratiebestand users.xml de standaard gebruiker Administrator laten staan. Deze wordt namelijk nog steeds gebruikt voor de autorisatie van allerlei beheertaken. Je kunt alle andere 'oude' gebruikers verwijderen, dat wil zeggen alle gebruikers die niet afkomstig zijn uit de AD. Deze worden namelijk niet meer gebruikt. |
Pas daarna op de volgende manier de rechten van de map aan waarin webapplicatie WGP zich bevindt:
- Open het eigenschappenvenster (Properties) van de map.
- Geef alle groepen van de Active Directory die WGP moeten gebruiken de volgende rechten (gebruik bijvoorbeeld een 'supergroep' die al alle vereiste subgroepen bevat):
- Read & execute
- List folder content
- Read
- Klik OK.
Het eigenschappenvenster van de map ziet er nu bijvoorbeeld voor de groep 'Wgp-Users
' als volgt uit:
Anchor | ||||
---|---|---|---|---|
|
De eigenlijke SSO wordt op de webserver afgehandeld door de Internet Information Services (IIS) van Windows. Je moet IIS op de volgende manier configureren:
- Start de IIS Manager op de WGP-server.
Klik in de IIS Manager op de beginpagina van WGP op Authentication.
Panel borderStyle none Het venster met de authenticatie-instellingen verschijnt.
Schakel hier Windows Authentication in (de status krijgt de waarde
Enabled
).Schakel hier Anonymous Authentication , ASP.NET Impersonation en Forms Authentication uit (de status krijgt of behoudt de waarde
Disabled
).Panel borderStyle none De authenticatie-instellingen zien er nu als volgt uit:
De AD-interface van WGP voor SSO-authenticatie wordt automatisch geactiveerd wanneer je in IIS in plaats Forms Authentication de authenticatie-instelling Windows Authentication selecteert.
Klik OK.
Panel borderStyle none Omdat de gebruikers zich niet apart bij WGP kunnen aanmelden, moet je voorkomen dat ze na een periode van inactiviteit automatisch afgemeld worden. Je moet hiervoor de Idle Time-out van de default application pool uitschakelen.
- Selecteer Application pools in het paneel Connections.
- Selecteer de default application pool (DefaultAppPool).
- Selecteer de optie Advanced Settings in paneel Actions. Het venster Advanced Settings verschijnt van de default application pool.
Zet bij Process Model de waarde van instelling Idle Time-out (minutes)
...
op 0.
Panel borderStyle none
...
Klik OK.
Anchor | ||||
---|---|---|---|---|
|
Bij de web-clients, waar de gepubliceerde WGP-kaarten in een webbrowser bekeken worden, moet je voor de SSO-authenticatie het URL-adres van de WGP-server aan de lijst met vertrouwde websites toevoegen. Je moet vervolgens bij de beveiligingsinstellingen aangeven dat je bij die sites automatisch aangemeld wordt met je huidige gebruikersnaam en wachtwoord.
Configuratie Chrome en Internet Explorer
De browsers Google Chrome en Microsoft Internet Explorer kun je op de volgende manier configureren voor SSO-authenticatie (gebaseerd op Windows 10):
- Kies optie Internetopties van het Configuratiescherm. Venster Eigenschappen van Internet verschijnt.
Selecteer op tabblad Beveiliging de zone Vertrouwde websites.
Panel borderStyle none - Klik op de knop Websites. Het venster Vertrouwde websites verschijnt.
- Vul bij Deze website aan de zone toevoegen het URL-adres van de WGP-server in.
Klik op de knop Toevoegen. Het URL-adres verschijnt in het veld Websites.
Panel borderStyle none In het volgende voorbeeld is de website 'http://wgp-c-test.nieuwland.nl ' toegevoegd:
- Sluit het venster Vertrouwde Websites. Je keert terug naar het venster Eigenschappen van Internet.
- Klik in venster Eigenschappen van Internet. op de knop Aangepast niveau. Het venster met de beveiligingsinstellingen van de vertrouwde websites verschijnt.
Selecteer in dit venster bij Aanmelden de optie Automatisch aanmelden met huidige gebruikersnaam en wachtwoord.
Panel borderStyle none Klik OK. Het venster met de beveiligingsinstellingen sluit.
- Klik in het venster Eigenschappen van Internet op OK. Hiermee sla je de gewijzigde interneteigenschappen op en sluit je het venster.
- Start Windows opnieuw op. De SSO-functionaliteit is namelijk pas na het opnieuw opstarten van de computer beschikbaar.
Configuratie Firefox
In de browser Mozilla Firefox kun je de extensie Integrated Authentication for Firefox gebruiken om voor vertrouwde websites 'pass-through
authentication
' mogelijk te maken.
Je kunt met deze extensie op de volgende manier Firefox voor SSO-authenticatie configureren:
- Open het menu Extra (druk op de Alt-toets om de menubalk zichtbaar te maken).
- Kies uit dit menu de optie Integrated Authentication Sites. Venster NTLM/Integrated Authentication verschijnt.
- Vul bij het veld Allow Integrated Authentication on this site het URL-adres van de WGP-server in.
- Druk op de Enter-toets. De URL verschijnt in de lijst Integrated-auth-enabled sites.
- Sluit het venster door ernaast te klikken.
Page Properties | ||
---|---|---|
| ||
Dit is een hoofdstuk uit de handleiding "SSO-authenticatie voor WGP met Active Directory Versie 4.6". |