Activation du SSO Premium

Il existe 2 systèmes d'authentification unique. Ce document se réfère au Cryoserver sur site où les utilisateurs se connectent à partir d'un domaine Microsoft en utilisant des jetons NTLMv2. L'autre méthode est connue sous le nom de "OAuth" et est souvent utilisée dans une configuration basée sur le cloud, où l'annuaire des utilisateurs est hébergé dans le cloud (par exemple Azure ou Google) - bien que le Cryoserver puisse être hébergé sur site ou dans le cloud.

Dans la technique SSO, les mots de passe ne sont pas transmis, mais votre jeton d'utilisateur Windows actuel est utilisé pour la validation. Un jeton est calculé chaque fois que vous vous connectez à un domaine Windows, et il ne peut donc pas être mis en cache et réutilisé. Cette technique ne fonctionne qu'avec les jetons NTLM ou NTLMv2 et elle est conçue pour fonctionner uniquement dans les domaines Microsoft.

En outre, pour éviter les attaques de l'homme du milieu, le jeton d'utilisateur comprend un "identificateur de PC source". Pour valider le SSO, le contrôleur de domaine Windows vérifiera si la source de la demande de validation (Cryoserver) est la même que le PC source encodé dans le jeton (le PC de l'utilisateur). Pour que cela fonctionne, le serveur Cryoserver doit être enregistré en tant qu'ordinateur dans la liste Utilisateurs et ordinateurs de Windows.

Conditions préalables pour activer le SSO premium

  • Créez un compte ORDINATEUR dans la liste des Utilisateurs et Ordinateurs de l'Active Directory.

  • Utilisez ensuite le script SetComputerPass.vbs pour générer un mot de passe. Pour télécharger le script, cliquez sur le bouton Télécharger le script dans la page Options SSO Premium.

Cryoserver sera alors en mesure de créer une connexion authentifiée à votre contrôleur de domaine, sur laquelle les connexions SSO sécurisées peuvent être transmises.

  1. Naviguez vers Configuration avancée > SSO - Single Sign On.

  2. Entrez / sélectionnez les valeurs requises dans les champs. Reportez-vous au tableau ci-dessous pour les noms et les descriptions des champs. (Note : Passez votre souris sur les noms des champs pour obtenir des informations supplémentaires et / ou des exemples de valeurs).

  3. Cliquez sur le bouton Appliquer pour enregistrer la configuration.

  4. Pour tester la connexion SSO, cliquez sur le bouton Test de la connexion SSO.

  5. Après avoir sauvegardé cette configuration, le serveur web doit être redémarré pour s'assurer que le SSO est utilisé. Pour ce faire, naviguez vers Gestion > Redémarrer > Redémarrer WebServer.

  6. Pour consulter les journaux, cliquez sur le bouton Afficher le journal.

Champ
Description

Activer le SSO Premium

Spécifie si le SSO Premium est activé ou non.

Domaine AD interne Votre domaine AD interne

Domaine Active Directory interne de la société. Vous pouvez l'obtenir à partir du DN de base LDAP. Il s'agit généralement de company.local ou company.com.

Nom du compte de l'ordinateur ** Nom du compte de l'ordinateur** Nom du compte de l'ordinateur ajouté à Active Directory Users & Computers. Si le nom du compte 'ordinateur' ajouté à Active Directory Users and Computers est "CryoserverSSO", cette valeur sera CryoserverSSO$. Remarquez le signe $ à la fin. Active Directory l'ajoute automatiquement lorsque vous créez le compte.

Mot de passe du compte de l'ordinateur

Mot de passe du compte de l'ordinateur. Pour télécharger le script permettant de définir un mot de passe, cliquez sur le bouton Télécharger le script dans la page Options SSO Premium qui vous demandera le nom du compte de l'ordinateur et vous permettra de définir un mot de passe. Saisissez ce même mot de passe ici.

Adresse IP d'un serveur DNS interne. Le service SSO localisera votre PDC et tout autre DC via DNS. Il validera un utilisateur par rapport à n'importe quel DC qu'il peut contacter. Si Cryoserver a le DNS correctement configuré (de sorte que les noms de domaine se résolvent dans d'autres parties de la configuration de Cryoserver - comme les noms de serveurs LDAP et le courrier électronique sortant et les alertes : serveur de courrier électronique) alors laissez ce champ vide.

Nom du site (facultatif)**

Sites et services Active Directory dans lesquels se trouve le serveur web. Note : Si vos utilisateurs se trouvent dans une forêt de domaines, entrez le nom du site de l'arborescence locale de votre domaine. Si votre entreprise ne possède qu'un seul domaine, vous n'aurez pas besoin de cette information.

Champ LDAP à faire correspondre au domaine**

Champ LDAP à faire correspondre au domaine obtenu par JCIFS.

PreviousConfiguration avancéeNextConfiguration des paramètres de connexion OAuth