Konfiguracja Single Sign On (SSO)

Przed rozpoczęciem procedury sprawdź następujące wymagania:

  • Wszystkie serwery z systemem Windows Server 2019 lub 2022 są połączone w domenie;
  • Istnieje skonfigurowany na serwerze Windows kontroler domeny z grupą użytkowników AD.

Aby skonfigurować i używać usługi Single Sign On (SSO) wraz z Fudo Enterprise, postępuj zgodnie z poniższą instrukcją.

Informacja

Jest to ogólna instrukcja, mająca na celu przybliżenie procesu konfigurowania usługi Remote Desktop Services. Pewne aspekty mogą się różnić w zależności od konfiguracji środowiska Windows Server. Szczegółową instrukcję znajdziesz w dokumentacji Windows Server.

Konfiguracja SSO na Windows Server 2019

Dodaj użytkownika:

  1. Zaloguj się na serwerze, na którym chcesz skonfigurować SSO, używając konta administratora.
  2. Uruchom aplikację Server Manager.
  3. Kliknij przycisk Tools w prawym górnym rogu okna, aby rozwinąć listę menu i wybierz Active Directory Users and Computers.
../../_images/sso_win_add_user_1.png
  1. W oknie menedżera rozwiń katalogi domeny, ewentualnie grupy użytkowników i kliknij prawym przyciskiem myszy na katalog Users .
  2. Wybierz New > User.
  3. Utwórz użytkownika, który będzie używał SSO do logowania się do Fudo Enterprise. W tym przykładzie będzie to User logon name: ad-user1).
../../_images/sso_win_add_user_2.png
  1. Kliknij Next.
  2. Podaj hasło dla utworzonego użytkownika (np. PaSSwOrD) i wybierz opcję Hasło nigdy nie wygasa.
  3. Kliknij Next i Finish.
../../_images/sso_win_add_user_3.png

Konfiguracja wpisów DNS:

  1. Uruchom aplikację Server Manager.
  2. Kliknij przycisk Tools w prawym górnym rogu okna, aby rozwinąć listę menu i wybierz DNS.
../../_images/sso_win_dns.png
  1. Przejdź do Forward Lookup Zones, kliknij prawym przyciskiem myszy na nazwę domeny i wybierz New Host.
  2. Podaj Nazwę i Adres IP Panelu Administracyjnego Fudo Enterprise (np: mgmt241.qa.sso, 10.0.32.241).
  3. Kliknij Add Host.
../../_images/sso_win_forward_zone.png
  1. Kliknij prawym przyciskiem myszy na Reverse Lookup Zone i wybierz New Zone.
  2. Kliknij Next.
  3. Wybierz opcję Primary zone i kliknij Next.
  4. Wybierz opcję To all DNS servers running on domain controllers in this domain: i kliknij Next.
  5. Wybierz opcję IPV4 Reverse Lookup Zone i kliknij Next.
  6. W polu Network ID wpisz początek zakresu podsieci dla swojej sieci (np. 10.0.32) i kliknij Next.
../../_images/sso_win_reverse_zone_1.png
  1. Wybierz opcję aktualizacji (np. Allow only secure dynamic updates) i kliknij Next.
  2. Kliknij Finish.
  3. Kliknij prawym przyciskiem myszy na utworzoną strefę 32.0.10.in-addr.arpa i wybierz New Pointer (PTR).
  4. Podaj adres IP hosta oraz nazwę hosta Panelu Administracyjnego (np: 10.0.32.241 i mgmt241.qa.sso).
../../_images/sso_win_reverse_zone_2.png

Utwórz bilet Kerberos:

  1. Uruchom poniższe polecenie w konsoli Powershell lub CMD:

    ktpass -princ HTTP/hostname.yourdomain.local@yourdomain.local -mapuser netbios_domain_name\username -pass password -ptype KRB5_NT_PRINCIPAL -out hostname.yourdomain.local.keytab

    • Przykład:

    ktpass -princ HTTP/mgmt241.qa.sso@QA.SSO -mapuser QA\ad-user1 -pass PaSSwOrD -ptype KRB5_NT_PRINCIPAL -out mgmt241.qa.sso.keytab

  2. Skopiuj utworzony plik na stację roboczą użytkownika, na której będziesz konfigurować Fudo Enterprise.

Konfiguracja Fudo Enterprise

Informacja

Ten przypadek użycia opisuje, jak skonfigurować Fudo Enterprise przy użyciu metody zewnętrznego uwierzytelnienia Active Directory. Należy pamiętać, że można dostosować uwierzytelnienie użytkowników za pomocą innej metody obsługiwanej przez Fudo Enterprise, aby dopasować ją do swoich specyficznych wymagań, metod typowo stosowanych w środowisku i scenariuszy pracy.

Konfiguracja SSO:

Aby zdefiniować parametry usługi SSO w Fudo Enterprise, wykonaj następujące kroki:

  1. Zaloguj się do Panelu Administracyjnego Fudo Enterprise używając danych uwierzytelniających użytkownika z rolą superadmin.
  1. Wybierz Ustawienia > System.
  1. W sekcji Data i czas sprawdź, czy wybrana strefa czasowa jest zgodna z konfiguracją strefy czasowej klienta Windows.

Ostrzeżenie

Strefa czasowa Fudo Enterprise musi być zgodna z konfiguracją strefy czasowej klienta Windows.

../../_images/sso_fudo_timezone.png
  1. W sekcji Ustawienia SSO panelu administracyjnego podaj identyfikator usługi, który będzie parował konto użytkownika z instancją usługi (np: HTTP/mgmt241.qa.sso@QA.SSO).
  2. Wczytaj plik keytab zawierający ID użytkownika i klucze do szyfrowania ticketów Kerberos (wygenerowany w poprzednich krokach plik mgmt241.qa.sso.keytab).
../../_images/sso_fudo_sso_settings.png
  1. Kliknij Zapisz.

Informacja

Możesz również skonfigurować SSO dla Portalu Użytkownika, przesyłając odpowiednio skonfigurowany plik keytab w polu Ustawienia SSO portalu użytkownika. Pamiętaj, że podczas etapu konfigurowania środowiska Windows należy użyć adresu IP przydzielonego dla Portalu Użytkownika.

Konfiguracja DNS:

  1. Przejdź do Ustawienia > Konfiguracja sieci.
  2. Przejdź do zakładki Nazwa i DNS.

  1. W polu Nazwa hosta wpisz nazwę w podanym formacie: hostname.yourdomain.local (np. mgmt241.qa.sso).

  2. Skonfiguruj serwer DNS tak, aby wskazywał na serwer DNS w domenie yourdomain.local (w tym przykładzie użyjemy adresu IP kontrolera domeny):

    • Kliknij Dodaj serwer DNS, aby zdefiniować nowy serwer DNS.
    • Wpisz adres IP serwera DNS (np. 10.0.242.100).
    • Kliknij Zapisz.

Konfiguracja metody zewnętrznego uwierzytelnienia:

  1. Zaloguj się do Panelu Administratora Fudo Enterprise.
  1. Wybierz Ustawienia > Uwierzytelnienie.
  2. W karcie Uwierzytelnienie zewnętrzne kliknij Dodaj źródło zewnętrznego uwierzytelnienia.
  1. Z listy rozwijanej Typ wybierz Active Directory.
  2. W polu Adres hosta podaj adres IP kontrolera domeny (np. 10.0.242.100).
  3. Pozostaw domyślny numer portu: 389.
  4. Ustaw Adres źródłowy na Dowolny.
  5. Podaj nazwę domeny, która będzie używana do uwierzytelnienia użytkowników w Active Directory (np. qa.sso).
  6. W polach Login, SekretPowtórz sekret podaj dane logowania uprzywilejowanego konta używanego do dostępu do kontrolera domeny.
  1. Kliknij Zapisz.

Utwórz użytkownika w Fudo:

Ostrzeżenie

Konfiguracja Single Sign On jest dostępna tylko dla użytkowników z rolą superadmin, i może być używana przez użytkowników z rolami operator, admin,superadmin.

  1. Wybierz Zarządzanie > Użytkownicy i kliknij Dodaj użytkownika.
  1. Wpisz nazwę użytkownika odpowiadającą wybranemu kontu użytkownika w Active Directory (np. ad-user1).
  2. Wybierz rolę Admin.
  3. W karcie Ustawienia, w sekcji Sejfy, wybierz main, aby przyznać użytkownikowi prawa dostępu do Panelu Administracyjnego.
  1. Kliknij Zapisz.
  1. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz Uwierzytelnienie zewnętrzne.
  1. Wybierz metodę Active Directory utworzoną w poprzednich krokach i kliknij Zapisz.
  1. Przejdź do zakładki Dane użytkownika i w polach Domena Fudo i Domena AD wpisz nazwę domeny skonfigurowanej na serwerze Active Directory. W tym przykładzie będzie to qa.sso.

Informacja

Zarówno Domena Fudo, jak i Domena AD powinny odpowiadać nazwie domeny podanej w bilecie Kerberos.

  1. W razie potrzeby uzupełnij pozostałe parametry zgodnie z wymaganiami swojej specyficznej konfiguracji. Po więcej szczegółów przejdź do sekcji Dodawanie użytkownika.
  1. Kliknij Zapisz i zamknij.

Konfiguracja i sprawdzenie stacji roboczej użytkownika - klienta Windows 2010

Konfiguracja przeglądarki Firefox:

  1. Zaloguj się na klienta Windows używając konta ad-user1.
  2. Otwórz przeglądarkę Firefox, wpisz about:config w pasku adresu i wciśnij Enter.
  3. Kliknij opcję Akceptuj ryzyko i kontynuuj, aby potwierdzić wyświetlony komunikat ostrzegawczy.
  4. W pasku wyszukiwania na górze wpisz network.negotiate-auth.trusted-uris.
  5. Kliknij dwukrotnie na network.negotiate-auth.trusted-uris i wprowadź wybrany FQDN (Pełna Nazwa Kwalifikowana Domeny) wraz z protokołem, rozdzielając wpisy przecinkiem (np: https://mgmt241.qa.sso,https://uag242.qa.sso).
  6. Naciśnij Enter,, aby zapisać zmiany.
../../_images/sso_ff_conf.png
  1. Następnie w pasku wyszukiwania wpisz network.automatic-ntlm-auth.trusted-uris.
  2. Kliknij dwukrotnie na network.automatic-ntlm-auth.trusted-uris i wprowadź wybrany FQDN (Pełna Nazwa Kwalifikowana Domeny) wraz z protokołem, rozdzielając wpisy przecinkiem (np: https://mgmt241.qa.sso,https://uag242.qa.sso).
  3. Naciśnij Enter, aby zapisać zmiany.
  4. Uruchom ponownie przeglądarkę.

Konfiguracja przeglądarki Internet Explorer:

  1. Przejdź do Narzędzia > Opcje internetowe > Zaawansowane.
  2. W zakładce Zaawansowane i sekcji Zabezpieczenia zaznacz Włącz zintegrowane uwierzytelnianie Windows.
../../_images/sso_ie_conf_1.png
  1. W zakładce Zabezpieczenia wybierz Intranet lokalny.
  2. Kliknij Poziom niestandardowy.
  3. W sekcji Uwierzytelnianie użytkownika/Logowanie wybierz Automatyczne logowanie tylko w strefie Intranet.
../../_images/sso_ie_conf_2.png
  1. Kliknij OK.
  2. Kliknij Witryny i zaznacz wszystkie pola wyboru.`
  3. Kliknij Zaawansowane i dodaj stronę usługi Remedy SSO do strefy lokalnej (w naszym przykładzie to https://mgmt241.qa.sso).
  4. Kliknij Dodaj.
  5. Kliknij OK we wszystkich oknach dialogowych.
  6. Uruchom ponownie przeglądarkę.

Konfiguracja przeglądarki Chrome:

Google Chrome obsługuje uwierzytelnianie Kerberos. Po skonfigurowaniu Internet Explorera nie są potrzebne dodatkowe ustawienia dla Google Chrome, ponieważ korzysta on z konfiguracji Internet Explorera.

Logowanie do Panelu Administracyjnego za pomocą SSO:

  1. Otwórz przeglądarkę Firefox i w pasku adresu wpisz wcześniej zdefiniowany FQDN (w naszym przykładzie to https://mgmt241.qa.sso).
  2. Jeśli proces konfiguracji SSO przebiegł prawidłowo, w oknie przeglądarki pojawi się pulpit Panelu Administracyjnego Fudo Enterprise.

. only:: latex

../../_images/sso_fudo_admin_log.png

. only:: html

../../_images/sso_fudo_admin_log.png

Tematy pokrewne: