SSO (Single Sign On) utilizzando l'autenticazione Windows integrata in IIS

12 gennaio 2025

sommario

Panoramica sull'autenticazione integrata di Windows

L'autenticazione integrata di Windows (IWA) è un meccanismo che fornisce automaticamente le informazioni di autenticazione dell'utente a IIS quando IIS e l'utente hanno effettuato l'accesso allo stesso dominio. Quando si crea un sito con ASP.NET C#, è possibile ottenere la determinazione dell'autenticazione dell'utente e le informazioni sull'utente autenticato.

Ciò consente agli utenti di accedere alle applicazioni Web ospitate (o collegate) da IIS senza ulteriori operazioni di accesso e consente l'integrazione SSO con altri server applicazioni.

*Se non partecipi allo stesso dominio o se un utente non autenticato accede alla pagina IIS, verrà visualizzato un quadrante di accesso e, se non esegui l'autenticazione correttamente, si verificherà un errore HTTP 401.1 - Non autorizzato.

Flusso SSO (Single Sign On).

Il piano Ultimate di Chat&Messenger On-Premise consente l'SSO con autenticazione Windows integrata. Il flusso SSO è il seguente.

Il client accede innanzitutto alla pagina autenticata di Windows integrato /cam-iissso
La pagina /cam-iissso utilizza ASP.NET per determinare se è autenticata e si collega a CAMServer.
CAMServer esegue una ricerca LDAP per confermare che si tratta di un normale utente AD, genera un ssoToken (un valore casuale univoco di 30 byte o più) e un URL per accedere a CAMServer e richiede un reindirizzamento.
Accedi a CAMServer e autenticati utilizzando ssoToken. Se l'autenticazione ha esito positivo, verrà assegnato un ID di sessione per l'accesso API.

Requisiti per conseguire l'SSO

Installazione dell'IIS

Installa IIS dal ruolo server.

Seleziona "Autenticazione Windows" come opzione durante l'installazione di IIS.

Dopo aver completato l'installazione del ruolo IIS, installare separatamente i filtri ISAPI e le estensioni ISAPI.

Filtro ISAPI: supporta il caricamento del modulo di estensione in IIS. Necessario per caricare AspNetCoreModuleV2.
Estensioni ISAPI: aggiungi estensioni ISAPI a IIS. Necessario per il funzionamento AspNetCoreModuleV2. Avvia Gestione IIS (iisreset)

Installare il pacchetto di hosting ASP.NET Core

Pacchetto di hosting ASP.NET Core Si prega di installare.

Dopo l'installazione, riavviare IIS e assicurarsi che AspNetCoreModuleV2 sia presente nella mappatura del gestore.

Quando si ospitano applicazioni ASP.NET Core in un ambiente IIS, la semplice installazione del bundle di hosting ASP.NET Core installa automaticamente quanto segue: .NET Runtime ASP.NET Core Runtime

Aggiungi applicazione (cam-iissso)

Scarica il modulo SSO e copialo in C:\inetpub\wwwroot\cam-iissso https://chat-messenger.com/dl/fdd94dd-022_f2aaac/cam-iissso.zip Aggiungi l'applicazione cam-iissso all'alias del sito Web predefinito cam-iissso Percorso fisico C:\inetpub\wwwroot\cam-iissso

Abilita l'autenticazione di Windows

Fare clic con il tasto destro su "Autenticazione Windows" e selezionare "Abilita".

Se "Autenticazione anonima" è abilitata, disabilitala.

Impostazione delle opzioni Internet

Aggiungere il sito fornito da IIS all'area Intranet

Seleziona Opzioni Internet, fai clic sulla scheda Sicurezza, seleziona Intranet locale Fai clic sul pulsante Siti, seleziona Impostazioni avanzate e aggiungi l'URL del sito

Controlla l'accesso automatico

Fare clic su "Livello personalizzato" e in "Autenticazione utente" → "Accesso", assicurarsi che sia selezionato "Accedi automaticamente all'area intranet".

Questa impostazione è richiesta su tutti i terminali client degli utenti C&M, ma può essere gestita centralmente utilizzando la Console Gestione Criteri di gruppo.

Impostazioni LDAP

Quando si esegue il Single Sign-On utilizzando IIS,Impostazioni LDAP(LDAPUrl, LDAPBaseDN, utente AD che esegue l'autenticazione proxy) è obbligatorio.

Non disponibile nell'ambiente di connessione proxy HTTP

Tieni presente che SSO non può essere utilizzato in un ambiente di connessione proxy HTTP.

URLをコピーしました!