SSO (Single Sign On) usando autenticação integrada do Windows IIS

12 de janeiro de 2025

índice

Visão geral da autenticação integrada do Windows

A Autenticação Integrada do Windows (IWA) é um mecanismo que fornece automaticamente informações de autenticação do usuário ao IIS quando o IIS e o usuário estão logados no mesmo domínio. Ao criar um site com ASP.NET C#, você pode obter determinação de autenticação de usuário e informações de usuário autenticado.

Isso permite que os usuários acessem aplicativos da Web hospedados (ou vinculados) pelo IIS sem operações adicionais de login e permite a integração de SSO com outros servidores de aplicativos.

*Se você não estiver participando do mesmo domínio ou se um usuário não autenticado acessar a página do IIS, uma discagem de login será exibida e, se você não autenticar corretamente, ocorrerá um Erro HTTP 401.1 – Não autorizado.

Fluxo SSO (logon único)

O plano Ultimate do Chat&Messenger On-Premise permite SSO com autenticação integrada do Windows. O fluxo de SSO é o seguinte.

O cliente acessa primeiro a página autenticada do Windows Integrado /cam-iissso
A página /cam-iissso usa ASP.NET para determinar se está autenticada e vinculada ao CAMServer.
O CAMServer realiza uma pesquisa LDAP para confirmar que é um usuário regular do AD, gera um ssoToken (um valor aleatório exclusivo de 30 bytes ou mais) e uma URL para acessar o CAMServer e solicita um redirecionamento.
Acesse CAMServer e autentique usando ssoToken. Se a autenticação for bem-sucedida, um ID de sessão para acesso à API será atribuído.

Requisitos para alcançar o SSO

Instalando o IIS

Instale o IIS da função de servidor.

Marque "Autenticação do Windows" como opção ao instalar o IIS.

Depois de concluir a instalação da função IIS, instale filtros ISAPI e extensões ISAPI separadamente.

Execute o IIS no mesmo servidor do CAMServer e na porta 80.

Filtro ISAPI: Suporta carregamento de módulo de extensão no IIS. Necessário para carregar AspNetCoreModuleV2.
Extensões ISAPI: adicione extensões ISAPI ao IIS. Necessário para operação AspNetCoreModuleV2. Inicie o gerenciador IIS (iisreset)

Instale o pacote de hospedagem ASP.NET Core

Pacote de hospedagem principal ASP.NET Por favor instale.

Após a instalação, reinicie o IIS e certifique-se de que AspNetCoreModuleV2 esteja presente no mapeamento do manipulador.

Ao hospedar aplicativos ASP.NET Core em um ambiente IIS, basta instalar o ASP.NET Core Hosting Bundle para instalar automaticamente o seguinte: .NET Runtime ASP.NET Core Runtime

Adicionar aplicativo (cam-iissso)

Adicione o aplicativo cam-iissso ao site padrão.

Alias: cam-iisso
Caminho físico: \sys\cam-iisso-net8.0

Além disso, conceda direitos de acesso de visualização (leitura e execução, listar o conteúdo da pasta, leitura) à pasta cam-iissso-net8.0 para o grupo IIS_IUSRS.

Habilitar autenticação do Windows

Clique com o botão direito em “Autenticação do Windows” e selecione “Ativar”.

Se a "Autenticação Anônima" estiver ativada, desative-a.

Configurando opções de Internet

Adicione o site fornecido pelo IIS à zona da intranet

Selecione Opções da Internet, clique na guia Segurança, selecione Intranet local Clique no botão Sites, selecione Configurações avançadas e adicione o URL do site

Verifique o logon automático

Clique em "Nível personalizado" e em "Autenticação de usuário" → "Logon", certifique-se de que "Logar automaticamente na zona da intranet" esteja selecionado.

Esta configuração é necessária em todos os terminais clientes de usuários C&M, mas pode ser gerenciada centralmente usando o Console de Gerenciamento de Política de Grupo.

Configurações LDAP

Ao realizar logon único usando IIS,Configurações LDAP(LDAPURl, LDAPBaseDN, usuário AD realizando autenticação de proxy) é necessário.

Não disponível no ambiente de conexão proxy HTTP

Observe que o SSO não pode ser usado em um ambiente de conexão proxy HTTP.

URLをコピーしました！