एकीकृत विंडोज़ प्रमाणीकरण अवलोकन
इंटीग्रेटेड विंडोज ऑथेंटिकेशन (IWA) एक ऐसा तंत्र है जो IIS और उपयोगकर्ता के एक ही डोमेन में लॉग इन होने पर स्वचालित रूप से IIS को उपयोगकर्ता प्रमाणीकरण जानकारी प्रदान करता है। जब आप ASP.NET C# के साथ एक साइट बनाते हैं, तो आप उपयोगकर्ता प्रमाणीकरण निर्धारण और प्रमाणित उपयोगकर्ता जानकारी प्राप्त कर सकते हैं।
यह उपयोगकर्ताओं को अतिरिक्त लॉगिन संचालन के बिना आईआईएस द्वारा होस्ट किए गए (या लिंक किए गए) वेब एप्लिकेशन तक पहुंचने की अनुमति देता है, और अन्य एप्लिकेशन सर्वर के साथ एसएसओ एकीकरण को सक्षम बनाता है।
*यदि आप एक ही डोमेन में भाग नहीं ले रहे हैं या यदि कोई अप्रमाणित उपयोगकर्ता IIS पृष्ठ तक पहुंचता है, तो एक साइन-इन डायल प्रदर्शित किया जाएगा, और यदि आप सही ढंग से प्रमाणित नहीं करते हैं, तो एक HTTP त्रुटि 401.1 - अनधिकृत घटित होगी।
एसएसओ (सिंगल साइन ऑन) प्रवाह
चैट और मैसेंजर ऑन-प्रिमाइस का अल्टीमेट प्लान एकीकृत विंडोज प्रमाणीकरण के साथ एसएसओ की अनुमति देता है। SSO प्रवाह इस प्रकार है.
- क्लाइंट सबसे पहले इंटीग्रेटेड विंडोज प्रमाणित पेज /cam-iissso तक पहुंचता है
- /cam-iissso पृष्ठ यह निर्धारित करने के लिए ASP.NET का उपयोग करता है कि क्या यह प्रमाणित है और CAMServer से लिंक है।
- CAMServer यह पुष्टि करने के लिए एक LDAP खोज करता है कि यह एक नियमित AD उपयोगकर्ता है, CAMServer तक पहुंचने के लिए एक ssoToken (30 बाइट्स या अधिक का एक अद्वितीय यादृच्छिक मान) और एक URL उत्पन्न करता है, और रीडायरेक्ट का अनुरोध करता है।
- CAMServer तक पहुंचें और ssoToken का उपयोग करके प्रमाणित करें। यदि प्रमाणीकरण सफल होता है, तो एपीआई एक्सेस के लिए एक सत्र आईडी आवंटित की जाएगी।
एसएसओ प्राप्त करने के लिए आवश्यकताएँ
Windows सर्वर को डोमेन से जोड़ें
कृपया CAMServer/IIS चलाने वाले Windows सर्वर को Active Directory डोमेन से जोड़ें।
किसी मौजूदा विंडोज सर्वर से जुड़े डोमेन की जांच करने के लिए, "सर्वर मैनेजर" पर जाएं → बाएं मेनू पर "स्थानीय सर्वर" पर क्लिक करें → "कंप्यूटर नाम" पर क्लिक करें और डोमेन कॉलम देखें।
इसके अलावा, IIS को CAMServer के समान सर्वर पर रहना चाहिए और पोर्ट 80 पर चलना चाहिए। यदि आप CAMServer के सामने LoadBalancer रखते हैं, तो CAMServer पोर्ट 8080 पर चलेगा, इसलिए IIS पोर्ट 443 का भी उपयोग कर सकता है।
आईआईएस स्थापित करना
サーバの役割からIISをインストールしてください。IISインストール時に、役割サービスの選択オプションで以下チェックを行う。
- विंडोज़ प्रमाणीकरण
- ISAPI फ़िल्टर
- ISAPI 拡張
ASP.NET कोर होस्टिंग बंडल स्थापित करें
ASP.NET कोर होस्टिंग बंडल をインストールしてください。インストール後、IISを再起動してハンドラーマッピング に AspNetCoreModuleV2 が存在していることを確認してください。
एप्लिकेशन जोड़ें (cam-iissso)
डिफ़ॉल्ट वेब साइट पर cam-iissso एप्लिकेशन जोड़ें।
- उपनाम: कैम-आईइस्सो
- भौतिक पथ: \sys\cam-iissso-net8.0
साथ ही, IIS_IUSRS समूह को cam-iissso-net8.0 फ़ोल्डर में देखने का एक्सेस अधिकार (पढ़ें और निष्पादित करें, फ़ोल्डर सामग्री सूचीबद्ध करें, पढ़ें) प्रदान करें।
Windows प्रमाणीकरण सक्षम करें
"विंडोज प्रमाणीकरण" पर राइट-क्लिक करें और "सक्षम करें" चुनें।
इंटरनेट विकल्प सेट करना
IIS द्वारा प्रदान की गई साइट को इंट्रानेट ज़ोन में जोड़ें
इंटरनेट विकल्प चुनें, सुरक्षा टैब पर क्लिक करें, स्थानीय इंट्रानेट का चयन करें साइट्स बटन पर क्लिक करें, उन्नत सेटिंग्स का चयन करें और साइट यूआरएल जोड़ें
स्वचालित लॉगऑन की जाँच करें
"कस्टम स्तर" पर क्लिक करें और "उपयोगकर्ता प्रमाणीकरण" → "लॉगऑन" के अंतर्गत, सुनिश्चित करें कि "इंट्रानेट ज़ोन में स्वचालित रूप से लॉग ऑन करें" चुना गया है।
एलडीएपी सेटिंग्स
IIS का उपयोग करके एकल साइन-ऑन करते समय,एलडीएपी सेटिंग्स(LDAPUrl, LDAPBaseDN, AD उपयोगकर्ता प्रॉक्सी प्रमाणीकरण कर रहा है) आवश्यक है।
FQDN (पूर्णतः योग्य डोमेन नाम) के माध्यम से प्रवेश करें और SPN पंजीकृत करें
यदि आप IIS Windows एकीकृत प्रमाणीकरण पृष्ठ तक होस्ट नाम (NetBIOS नाम) का उपयोग करके पहुंचते हैं तो यह आवश्यक नहीं है, लेकिन यदि आप FQDN (पूर्णतः योग्य डोमेन नाम, उदाहरणार्थ, sso.example.com) का उपयोग करके पहुंचते हैं तो आपको SPN पंजीकृत करना होगा।
SPN (सर्विस प्रिंसिपल नेम) एक ऐसा नाम है जो केर्बेरोस प्रमाणीकरण में एक्टिव डायरेक्ट्री पर एक विशिष्ट सेवा को विशिष्ट रूप से पहचानता है। यदि आप FQDN का उपयोग करके सेवा तक पहुंचते हैं, तो SPN पंजीकृत करने से क्लाइंट आपके द्वारा एक्सेस की जा रही सेवा के लिए सफलतापूर्वक केर्बेरोस टिकट का अनुरोध करने में सक्षम हो जाएगा।
उदाहरण के लिए https://sso.example.com एक्सेस करते समय, क्लाइंट (ब्राउज़र) एक्टिव डायरेक्ट्री से एक टिकट का अनुरोध करता है, जिसमें कहा जाता है कि "मैं HTTP/sso.example.com नामक सेवा से कनेक्ट करना चाहता हूं।" सक्रिय निर्देशिका यह निर्धारित करती है कि SPN किस खाते से संबद्ध है और संबंधित सेवा टिकट जारी करती है। यदि SPN सही ढंग से पंजीकृत नहीं है, तो केर्बेरोस प्रमाणीकरण विफल हो जाएगा, जिसके परिणामस्वरूप प्रमाणीकरण संवाद प्रदर्शित होगा।
SPN पंजीकरण IIS होस्ट करने वाले कंप्यूटर खाते पर किया जाता है। उदाहरण के लिए,विज्ञापन होस्ट नाम के साथ चलने वाले IIS के लिए, SPN को निम्नानुसार पंजीकृत करें:
setspn -S HTTP/sso.example.com ad$एक बार पंजीकृत होने के बाद, आप निम्नलिखित कमांड से जांच कर सकते हैं:
सेटएसपीएन -एल ad$यह परिणाम HTTP/sso.example.com यदि यह प्रदर्शित होता है, तो SPN पंजीकरण सफल रहा।
HTTP प्रॉक्सी कनेक्शन वातावरण के अंतर्गत उपलब्ध नहीं है
कृपया ध्यान दें कि SSO का उपयोग HTTP प्रॉक्सी कनेक्शन वातावरण में नहीं किया जा सकता है।
LoadBalancer + SSL वातावरण में कॉन्फ़िगरेशन
यदि आप LoadBalancer + SSL वातावरण में IIS एकीकृत Windows प्रमाणीकरण का उपयोग कर रहे हैं, तो कृपया निम्नलिखित ब्लॉग आलेख देखें।
