एकीकृत विंडोज़ प्रमाणीकरण अवलोकन
इंटीग्रेटेड विंडोज ऑथेंटिकेशन (IWA) एक ऐसा तंत्र है जो IIS और उपयोगकर्ता के एक ही डोमेन में लॉग इन होने पर स्वचालित रूप से IIS को उपयोगकर्ता प्रमाणीकरण जानकारी प्रदान करता है। जब आप ASP.NET C# के साथ एक साइट बनाते हैं, तो आप उपयोगकर्ता प्रमाणीकरण निर्धारण और प्रमाणित उपयोगकर्ता जानकारी प्राप्त कर सकते हैं।
यह उपयोगकर्ताओं को अतिरिक्त लॉगिन संचालन के बिना आईआईएस द्वारा होस्ट किए गए (या लिंक किए गए) वेब एप्लिकेशन तक पहुंचने की अनुमति देता है, और अन्य एप्लिकेशन सर्वर के साथ एसएसओ एकीकरण को सक्षम बनाता है।
*यदि आप एक ही डोमेन में भाग नहीं ले रहे हैं या यदि कोई अप्रमाणित उपयोगकर्ता IIS पृष्ठ तक पहुंचता है, तो एक साइन-इन डायल प्रदर्शित किया जाएगा, और यदि आप सही ढंग से प्रमाणित नहीं करते हैं, तो एक HTTP त्रुटि 401.1 - अनधिकृत घटित होगी।
एसएसओ (सिंगल साइन ऑन) प्रवाह
चैट और मैसेंजर ऑन-प्रिमाइस का अल्टीमेट प्लान एकीकृत विंडोज प्रमाणीकरण के साथ एसएसओ की अनुमति देता है। SSO प्रवाह इस प्रकार है.
- क्लाइंट सबसे पहले इंटीग्रेटेड विंडोज प्रमाणित पेज /cam-iissso तक पहुंचता है
- /cam-iissso पृष्ठ यह निर्धारित करने के लिए ASP.NET का उपयोग करता है कि क्या यह प्रमाणित है और CAMServer से लिंक है।
- CAMServer यह पुष्टि करने के लिए एक LDAP खोज करता है कि यह एक नियमित AD उपयोगकर्ता है, CAMServer तक पहुंचने के लिए एक ssoToken (30 बाइट्स या अधिक का एक अद्वितीय यादृच्छिक मान) और एक URL उत्पन्न करता है, और रीडायरेक्ट का अनुरोध करता है।
- CAMServer तक पहुंचें और ssoToken का उपयोग करके प्रमाणित करें। यदि प्रमाणीकरण सफल होता है, तो एपीआई एक्सेस के लिए एक सत्र आईडी आवंटित की जाएगी।
एसएसओ प्राप्त करने के लिए आवश्यकताएँ
Windows सर्वर को डोमेन से जोड़ें
कृपया CAMServer/IIS चलाने वाले Windows सर्वर को Active Directory डोमेन से जोड़ें।
किसी मौजूदा विंडोज सर्वर से जुड़े डोमेन की जांच करने के लिए, "सर्वर मैनेजर" पर जाएं → बाएं मेनू पर "स्थानीय सर्वर" पर क्लिक करें → "कंप्यूटर नाम" पर क्लिक करें और डोमेन कॉलम देखें।
इसके अलावा, IIS को CAMServer के समान सर्वर पर रहना चाहिए और पोर्ट 80 पर चलना चाहिए। यदि आप CAMServer के सामने LoadBalancer रखते हैं, तो CAMServer पोर्ट 8080 पर चलेगा, इसलिए IIS पोर्ट 443 का भी उपयोग कर सकता है।
आईआईएस स्थापित करना
सर्वर भूमिका से IIS स्थापित करें।
IIS स्थापित करते समय, भूमिका सेवा चयन विकल्पों में निम्नलिखित की जाँच करें।
- विंडोज़ प्रमाणीकरण
- ISAPI फ़िल्टर
- ISAPI एक्सटेंशन को अलग से इंस्टॉल करना
ISAPI फ़िल्टर: IIS में एक्सटेंशन मॉड्यूल लोडिंग का समर्थन करता है। AspNetCoreModuleV2 को लोड करना आवश्यक है।
ISAPI एक्सटेंशन: IIS में ISAPI एक्सटेंशन जोड़ें। AspNetCoreModuleV2 ऑपरेशन के लिए आवश्यक है। IIS प्रबंधक प्रारंभ करें (iisreset)
ASP.NET कोर होस्टिंग बंडल स्थापित करें
ASP.NET कोर होस्टिंग बंडल कृपया स्थापित करें।
स्थापना के बाद, IIS को पुनरारंभ करें और सुनिश्चित करें कि AspNetCoreModuleV2 हैंडलर मैपिंग में मौजूद है।
एप्लिकेशन जोड़ें (cam-iissso)
डिफ़ॉल्ट वेब साइट पर cam-iissso एप्लिकेशन जोड़ें।
- उपनाम: कैम-आईइस्सो
- भौतिक पथ: \sys\cam-iissso-net8.0
साथ ही, IIS_IUSRS समूह को cam-iissso-net8.0 फ़ोल्डर में देखने का एक्सेस अधिकार (पढ़ें और निष्पादित करें, फ़ोल्डर सामग्री सूचीबद्ध करें, पढ़ें) प्रदान करें।
Windows प्रमाणीकरण सक्षम करें
"विंडोज प्रमाणीकरण" पर राइट-क्लिक करें और "सक्षम करें" चुनें।
इंटरनेट विकल्प सेट करना
IIS द्वारा प्रदान की गई साइट को इंट्रानेट ज़ोन में जोड़ें
इंटरनेट विकल्प चुनें, सुरक्षा टैब पर क्लिक करें, स्थानीय इंट्रानेट का चयन करें साइट्स बटन पर क्लिक करें, उन्नत सेटिंग्स का चयन करें और साइट यूआरएल जोड़ें
स्वचालित लॉगऑन की जाँच करें
"कस्टम स्तर" पर क्लिक करें और "उपयोगकर्ता प्रमाणीकरण" → "लॉगऑन" के अंतर्गत, सुनिश्चित करें कि "इंट्रानेट ज़ोन में स्वचालित रूप से लॉग ऑन करें" चुना गया है।
एलडीएपी सेटिंग्स
IIS का उपयोग करके एकल साइन-ऑन करते समय,एलडीएपी सेटिंग्स(LDAPUrl, LDAPBaseDN, AD उपयोगकर्ता प्रॉक्सी प्रमाणीकरण कर रहा है) आवश्यक है।
FQDN (पूर्णतः योग्य डोमेन नाम) के माध्यम से प्रवेश करें और SPN पंजीकृत करें
यदि आप IIS Windows एकीकृत प्रमाणीकरण पृष्ठ तक होस्ट नाम (NetBIOS नाम) का उपयोग करके पहुंचते हैं तो यह आवश्यक नहीं है, लेकिन यदि आप FQDN (पूर्णतः योग्य डोमेन नाम, उदाहरणार्थ, sso.example.com) का उपयोग करके पहुंचते हैं तो आपको SPN पंजीकृत करना होगा।
SPN (सर्विस प्रिंसिपल नेम) एक ऐसा नाम है जो केर्बेरोस प्रमाणीकरण में एक्टिव डायरेक्ट्री पर एक विशिष्ट सेवा को विशिष्ट रूप से पहचानता है। यदि आप FQDN का उपयोग करके सेवा तक पहुंचते हैं, तो SPN पंजीकृत करने से क्लाइंट आपके द्वारा एक्सेस की जा रही सेवा के लिए सफलतापूर्वक केर्बेरोस टिकट का अनुरोध करने में सक्षम हो जाएगा।
उदाहरण के लिए https://sso.example.com एक्सेस करते समय, क्लाइंट (ब्राउज़र) एक्टिव डायरेक्ट्री से एक टिकट का अनुरोध करता है, जिसमें कहा जाता है कि "मैं HTTP/sso.example.com नामक सेवा से कनेक्ट करना चाहता हूं।" सक्रिय निर्देशिका यह निर्धारित करती है कि SPN किस खाते से संबद्ध है और संबंधित सेवा टिकट जारी करती है। यदि SPN सही ढंग से पंजीकृत नहीं है, तो केर्बेरोस प्रमाणीकरण विफल हो जाएगा, जिसके परिणामस्वरूप प्रमाणीकरण संवाद प्रदर्शित होगा।
SPN पंजीकरण IIS होस्ट करने वाले कंप्यूटर खाते पर किया जाता है। उदाहरण के लिए,विज्ञापन होस्ट नाम के साथ चलने वाले IIS के लिए, SPN को निम्नानुसार पंजीकृत करें:
setspn -S HTTP/sso.example.com ad$एक बार पंजीकृत होने के बाद, आप निम्नलिखित कमांड से जांच कर सकते हैं:
सेटएसपीएन -एल ad$यह परिणाम HTTP/sso.example.com यदि यह प्रदर्शित होता है, तो SPN पंजीकरण सफल रहा।
HTTP प्रॉक्सी कनेक्शन वातावरण के अंतर्गत उपलब्ध नहीं है
कृपया ध्यान दें कि SSO का उपयोग HTTP प्रॉक्सी कनेक्शन वातावरण में नहीं किया जा सकता है।
LoadBalancer + SSL वातावरण में कॉन्फ़िगरेशन
यदि आप LoadBalancer + SSL वातावरण में IIS एकीकृत Windows प्रमाणीकरण का उपयोग कर रहे हैं, तो कृपया निम्नलिखित ब्लॉग आलेख देखें।
