Настройка однократной регистрации (SSO) для учетной записи Adobe Connect

Настройка однократной регистрации (SSO) для учетной записи Adobe Connect

Узнайте, как администраторы могут настроить систему однократной регистрации (SSO) для учетной записи Adobe Connect для проверки подлинности через прокси-сервер или NTLM.

Об однократной регистрации

Единый вход — это функция, позволяющая пользователям, пройдя проверку подлинности один раз, получить доступ к нескольким приложениями. При однократной регистрации для проверки подлинности пользователей используется прокси-сервер, благодаря чему пользователям не нужно входить в Adobe Connect.

Adobe Connect поддерживает следующие механизмы однократной регистрации.

Проверка подлинности заголовка HTTP

Настройте прокси-сервер проверки подлинности на отсечение запроса HTTP, выполнение синтаксического анализа учетных данных пользователя из заголовка и передачу этих учетных данных в Adobe Connect.

Проверка подлинности протокола Microsoft NT LAN Manager (NTLM)

Настройте Adobe Connect так, чтобы в контроллере домена Windows автоматически выполнялась проверка подлинности подключающихся клиентов с использованием протокола NTLMv1. Microsoft Internet Explorer в ОС Microsoft Windows может проводить проверку подлинности NTLM без запроса учетных данных пользователя.

Проверка подлинности NTLM не работает на пограничных серверах. Вместо этого используйте проверку подлинности LDAP.

Клиенты Mozilla Firefox можно настроить для выполнения проверки подлинности NTLM без запросов. Сведения о настройке приведены в этом документе Firefox.

Также можно создать свой собственный фильтр проверки подлинности. Для получения дополнительной информации обратитесь в службу поддержки Adobe.

Настройка проверки подлинности заголовка HTTP

После настройки проверки подлинности заголовка HTTP запросы Adobe Connect на имя для входа передаются в агент, расположенный между клиентом и Adobe Connect. Этим агентом может быть прокси-сервер проверки подлинности или приложение, выполняющие проверку подлинности пользователей, добавляющие еще один заголовок к запросу HTTP и отправляющие запрос в Adobe Connect. В Adobe Connect необходимо убрать знак комментария для Java-фильтра и настроить в файле custom.ini параметр, определяющий имя дополнительного заголовка HTTP.

Настройка проверки подлинности заголовка HTTP в Adobe Connect

Чтобы включить проверку подлинности заголовка HTTP, на компьютере, где размещен сервер Adobe Connect, настройте сопоставление Java-фильтра и параметр заголовка.

Откройте файл [корневой_каталог_установки]\appserv\web\WEB-INF\web.xml и выполните следующие действия:

Удалите метки комментария вокруг элементов и сопоставления фильтра HeaderAuthenticationFilter.

Добавьте метки комментария вокруг фильтра NtlmAuthenticationFilter и элементов сопоставления фильтра.

Остановите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

Добавьте следующую строку к файлу custom.ini . Агент проверки подлинности должен добавлять заголовок к запросу HTTP, отправляемому в Adobe Connect. Имя заголовка должно выглядеть следующим образом: header_field_name .

Агент проверки подлинности должен добавлять заголовок к запросу HTTP, отправляемому в Adobe Connect. Имя заголовка должно выглядеть следующим образом: header_field_name.

Сохраните файл custom.ini и перезапустите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

Написание кода проверки подлинности

Код проверки подлинности должен проверять подлинность пользователя, добавлять поле к заголовку HTTP, содержащему имя для входа пользователя, и отправлять запрос в Adobe Connect.

Задайте значение поля заголовка header_field_name для имени пользователя Adobe Connect.

Java-фильтр в Adobe Connect перехватывает запрос, осуществляет поиск заголовка header_field_name и ищет пользователя с идентификатором, прошедшим в заголовок. Если пользователь локализован, то он прошел проверку подлинности, и в этом случае отправляется ответ.

Необходимо передать файл cookie BREEZESESSION в любом последующем запросе, направленном в Adobe Connect во время данного сеанса клиента.

Настройка проверки подлинности заголовка HTTP с помощью Apache

Следующая процедура описывает пример применения проверки подлинности заголовка HTTP, при котором Apache используется в качестве агента проверки подлинности.

Установите Apache в качестве обратного прокси-сервера на компьютере, отличном от того, на котором размещается Adobe Connect.

Выберите меню «Пуск» > «Программы» > «Apache HTTP Server» > «Configure Apache Server» > «Edit the Apache httpd.conf» и выполните следующие действия.

Уберите знак комментария для следующих строк:

  • LoadModule headers_module modules/mod_headers.so
  • LoadModule proxy_module modules/mod_proxy.so
  • LoadModule proxy_connect_module modules/mod_proxy_connect.so
  • LoadModule proxy_http_module modules/mod_proxy_http.so

Добавьте к концу файла следующие строки:

Остановите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

Добавьте следующий текст в файл custom.ini : Параметр HTTP_AUTH_HEADER должен совпадать с именем, заданным на прокси-сервере. Этот параметр является дополнительным заголовком HTTP.

Сохраните файл custom.ini и перезапустите серверы Adobe Connect Central Application Server и Adobe Connect Meeting Server.

Откройте файл [ корневой_каталог_установки ]\appserv\web\WEB-INF\web.xml и уберите знак комментария с фильтров HeaderAuthenticationFilter и NtlmAuthenticationFilter.

Настройка проверки подлинности NTLM

NTLMv1 — это протокол проверки подлинности, используемый вместе с протоколом SMB в сетях Microsoft Windows. С помощью протокола NTLM можно разрешить пользователям один раз пройти проверку подлинности в домене Windows и затем получить доступ к другим сетевым ресурсам, например Adobe Connect. Чтобы задать учетные данные пользователя, браузер автоматически выполняет проверку подлинности методом вызова и ответа на контроллере домена посредством Adobe Connect. Если этот механизм не срабатывает, пользователь может выполнить вход непосредственно в Adobe Connect. Только Internet Explorer в ОС Windows поддерживает систему единого входа для проверки подлинности NTLMv1.

Настройте Adobe Connect и NTLM в Windows 2003, так как Adobe Connect поддерживает NTLM версии 1. Кроме того, Windows 7 и более поздние версии не поддерживают NTLM 1 SSO.

По умолчанию контроллеры домена Windows Server 2003 требуют использования функции безопасности под названием подпись SMB. Стандартная конфигурация фильтра проверки подлинности NTLM не поддерживает подписи SMB. Однако, фильтр можно настроить в соответствии с данным требованием. Дополнительные сведения об этом и других дополнительных параметрах настройки см. в документации по проверке подлинности JCIFS NTLM HTTP.

Добавление параметров настройки

Выполните следующие действия для каждого узла в кластере Adobe Connect.

Синхронизируйте пользователей LDAP из вашего домена в Adobe Connect с помощью Консоли управления 8510. Сведения об интеграции Adobe Connect с LDAP приведены в разделе Интеграция Adobe Connect с каталогом LDAP.

После синхронизации LDAP в Adobe Connect, отфильтруйте данные LDAP так, чтобы имя пользователя домена NTLM Domain было внесено в базу данных Adobe Connect. В противном случае система единого входа NTLM SSO не будет работать, а в файле debug.log появятся записи об ошибке входа.

Редактирование политики входа для Adobe Connect с целью входа с использованием имени пользователя DOMAIN. По умолчанию используется адрес электронной почты, но NTLM не поддерживает адреса электронной почты.

📎📎📎📎📎📎📎📎📎📎