Anuário utilizador LDAP e SSO
Princípios de base
A gestão das autentificações e acesso às soluções baseadas sobre a tecnologia SAFE X3 repousa sobre dois principios complementares :
1) A centralização dos dados de autentificação.
Afim de gerar de maneira centralizada a autentificação dos utilizadores nos softwares em tecnologia SAFE X3, é possível de guardar certas informações num anuário LDAP ( Lightweight Directory Access Protocol). Esta centralização pode ser feita qualquer que seja o tipo de conexão.
2) O "single sign on" (SSO)
É possível de considerar que um utilizador que se conecta sobre o seu posto de trabalho sob Windows se está já assinado (registou a sua palavra chave), e que em consequência não deseja que nas proximas conexões de SAFE X3 assina de novo em registando o seu código utilizador e sua palavra chave.
O facto de se assinar uma só vez se chama SSO (Single Sign-On).
Limitações
A SSO funciona hoje neste dois casos :
- para as conexões em cliente-servidor, desde logo que os parâmetros foram correctamente implementados
- em modo Web, na condição que seja em rede securizada (rede privada ou interna) e que o protocolo "NTLM over http" tenha sido implementado
- em passando por SSO Sage (isto é possível em web service para Netvibes; neste caso, o serviço Sage certifica um endereço de e-mail que vai servir de ponto de entrada. Os parâmetros do anuário não servem então que para uma verificação complementar e uma atualização dos campos de ERP guardados no anuário.
Estas funcionalidades podem ser implantados para Enterprise Management, com ajuda de um conjunto de parâmetros.
Processo de conexão resumida
Os processos de conexão tal que está descrito aqui corresponde ao que se passa em cliente-servidor, desde logo que os parâmetros correspondentes descritos nos parágrafos que seguem foram definidos.
As diferentes etapas se desenrolam da maneira seguinte :
1 - O utilizador se autentifica (sob Windows, por exemplo com uma conta tal que "john_doe"; em Web, porque a camada NTLM reenvia a conta).
2 - O utilizador abre uma sessão de um software SAFE X3 em duplo clicando sobre o ícone de lançamento (ou por uma ligação em Web). Em cliente-servidor, a janela de conexão se abre (pelo menos a primeira vez : em clicando sobre a check box "utilizar estes parâmetros no momento da próxima conexão", a caixa de conexão não aparecerá mais pela seguinte, salvo a apoiar sobre a tecla [Shift] ao lançamento)
3 - Se está em cliente-servidor, o utilizador regista o seu código utilizador tal e qual está conhecido no software. Este código pode ser JOHN, DOE, ADMIN, não importa que outro código, mas se pretende colocar em obra o SSO, deve ser JOHN_DOE.
4- O software verifica que JOHN_DOE existe bem na tabela dos utilizadores (o campo testado é o campo Login definido na tabela dos utilizadores). Este código correspone por exemplo ao código utilizador JOHND. É este código JOHND (de 5 caracteres máximo) que está guardado em todas as tabelas onde o tipo de dados AUS está utilizado.
5 - A partir do momento onde o SSO foi ativado e que o código JOHN_DOE (correspondente ao login de origem) foi registado, o controlo da palavra chave não está mais feita (é de maneira bloqueante se o código utilizador não corresponde ao login sistema).
6) O sistema utiliza então o campo "Référence Active Directory" do utilizador para interrogar o anuário centralizado (LDAP, Active directory… segundo os parâmetros globais de conexão fornecidos), e recupera um conjunto de valores em devolução (valores de campos da tabela dos utilizadores, valores de parâmetros ao nível utilizador). Atualiza estes valores no software se eles foram alterados no anuário (poisque este anuário que faz referência).
Descrição da parametrização
Valores parãmetros ao nível dossier
Para colocar em lugar o anuário utilizador, deve-se preencher os valores parâmetros seguintes ao nível do dossier.
Conexão SSO
O valor parâmetro SSOCONNECT permite ativar a função SSO/ LDAP de X3 (quer dizer a conexão o anuário centralizado)
Os valores possíveis são :
- Não : a conexão SSO/LDAP está inativo,
- Interativo :A conexão SSO/LDAP está ativa unicamente em interativo ( C/S et Web)
- Interactivo e Web service: A conexão SSO/LDAP está ativa em interativo e também para os web services.
Código anuário
O valor parâmetro SSODIRECT contém o código anuário quando o parâmetro SSOCONNECT está ativo Faz referência à tabela que define os anuários e as conexões possíveis.
MAJ utilizador à conexão
O valor parâmetro SSOMAJ (Sim/Não) permite determinar se a atualização da ficha utilizador e dos valores parâmetros utilizador devem ser feitos a cada conexão do utilizador X3.
Se o seu valor está a Não, e se os outros parâmetros são activos, o sistema verifica a existência de utilizador no anuário sem desencadear a atualizaçao dos parâmetros e valores utilizador a cada conexão. A atualização poderá estar feita de maneira batch graças à tarefa batch ASSOMAJ que deverá ser abonada.
Controlo palavra passe SSO
O valor parâmetro SSOPASSWD (Sim/Não) permite forçar o controlo (e então de impor o registo) da palavra chave em cliente-servidor mesmo se o código utilizador registado na caixa de conexão é igual ao login Windows do utilizador.
Em Web, o controlo está feito sistematicamente.
Valores parâmetros ao nível utilizador
Um único parâmetro pode ser modificado ao nível utilizador.
Domínio
O valor parâmetro SSODOMAIN, se está não vazia, permite restringir a possibilidade de conexão de um utilizador a partir do domínio assim dado. Se está vazio, apenas o controlo do código utilizador está feito, e não o controlo do domínio.
Referência para atualização utilizador
As informações de um anuário LDAP são representados com ajuda de uma árvore gráfica.
Cada nó da árvore é um objeto abstrato ou real ( uma pessoa, um grupo de pessoas, uma impressão, parâmetros,...).
O DN (Distinguished Name) de um objeto é um meio de identificar de maneira única um objeto na hierarquia.
É o primeiro identificador que está guardado na ficha utilizador. o campo está AUTILIS.ADDNAM.
Um segundo identificador está parametrizado no anuário está, em princípio, o login.
Um exemplo de arboresência LDAP está presente a seguir. Notar-se-á que as hierarquias são definidas livremente, e que que um tal anuário pode referenciar assim bem dos utilizadores, grupos, recursos (como de impressoras). A interrogação de uma tal arborescência se faz em indicando uma raíz de pesquisa, e em pedindo em seguida uma pesquisa sobre nós eles mesmos, sobre os seus descendentes diretos, ou sobre toda a sub-árvore a partir da raíz indicada. O nó de partida e a maneira de pesquisar a informação são indicados na parametrização de anuário.
Princípio na conexão
Supomos que oi modo SSO seja activo e que um utilizador X3 se conecta para a primeira vez a aplicação SAFE X3.
A aplicação X3 na conexão verifica que login registado está bem referenciado no anuário. Se sim recupera-se o DN (Distinguished Name) que está atualizado no campo ADDNAM da tabela utilizador AUTLIS.
Se o valor parâmetro SSOMAJ está a Sim todos os campos mapeados são atualizados na ficha utilizador e nos valores parametros X3.
Função anuário utilizador
Acesso ao servidor LDAP
A função "Anuário" permite definir a configuração para que a aplicação X3 possa em seguida as informações do anuário LDAP.
O mapping dos campos
Uma correspondência está feita entre os campos da tabela utilizador, a tabela dos valores parâmetros utilizador e os campos de anuario LDAP.
Funções complementares em batch.
A tarefa ASSOMAJ permite atualizar os utilizadores por relação ao anuário LDAP.
Apenas os utilizadores já existentes na tabela AUTILIS serão atualizados ; este utilitário não criado em nenhum caso de novo utilizadores em lendo os dados do anuário LDAP.
A ligação se faz por DN (Distinguished Name) se está já registada na tabela utilizador. Senão é o segundo identificador parametrizado (em geral e o login) que está utilizado para reencontrar o DN.
Processo de conexão em detalhe
O esquema a seguir descreve em detalhe os diferentes casos possíveis de conexão, e os procedimentos de controlos corrrespondentes.
