Configurar la Autenticación de Windows integrada

Configure el servidor Controlador de Dominios de Active Directory, el Servidor de AX y el entorno de escritorio para cada usuario final de la aplicación cliente para la Autenticación de Windows integrada. La autenticación integrada de Windows permite el control de acceso de inicio de sesión único para los usuarios de AX Cliente.

Nota

La autenticación integrada de Windows no es compatible con instancias de AX Cliente que se ejecuten en el sistema operativo del servidor. Usted debe conectarse desde un sistema operativo cliente, de lo contrario la aplicación predeterminada es la autenticación basada en formularios.

Cómo funciona

La autenticación integrada de Windows utiliza las características de seguridad de los clientes y servidores Windows. No solicita a los usuarios un nombre de usuario y contraseña y la información actual del usuario de Windows en el equipo cliente es proporcionada por el explorador web a través de un intercambio criptográfico. Para administrar la autenticación se utilizan los siguientes protocolos:

  • SPNEGO Conexiones de AX Cliente
  • Kerberos Conexiones de perfil de servidor a Analytics

Si el intercambio de autenticación inicialmente no puede identificar al usuario, el navegador web le solicitará al usuario un nombre de usuario y una contraseña de la cuenta de usuario de Windows.

Crear una cuenta SPN

Cree una nueva cuenta Nombre principal de servicio (SPN) de Windows en Active Directory para asociar el servicio de autenticación del Servidor de AX a una cuenta de Active Directory.

  1. En el servidor del Controlador de Dominios de Active Directory, haga clic en Inicio > Todos los programas > Herramientas administrativas > Usuarios y equipos de Active Directory.
  2. Haga clic en la entrada de dominio en la vista de árbol donde desea crear la nueva cuenta SPN y seleccione Nuevo > Usuario.
  3. Escriba la información requerida y haga clic en Siguiente.
  4. Configure la contraseña del usuario y haga clic en Siguiente:
    1. Escriba la contraseña de la cuenta.
    2. Quite la marca de selección de El usuario debe cambiar la contraseña en el próximo inicio de sesión.
    3. Seleccione La contraseña nunca caduca.
  5. Haga clic en Finalizar.

Asignar el servicio de autenticación a la cuenta SPN

Asocie el servicio de autenticación del Servidor de AX a la cuenta de SPN de Active Directory usando el comando ktpass.

  1. En el servidor Controlador de dominios de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra ktpass.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para asignar el servicio de autenticación a la cuenta SPN, escriba el siguiente comando keypass:

    ktpass /out nombre_de_archivo /princ nombre /pass contraseña /mapuser nombre_de_usuario_local /ptype tipo_principal /crypto tipo_de_encriptación

Para la sintaxis de ktpass, consulte Referencia sobre Microsoft Ktpass.

Ejemplo

En el siguiente ejemplo se asigna el servicio de autenticación a la cuenta SPN utilizando el comando ktpass:

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Registre un SPN para el servicio Conector de AX

Registre un SPN para el servicio del Conector de AX usando el comando setspn.

  1. En el servidor Controlador de dominio de Active Directory, abra el intérprete de comandos y cambie los directorios por el directorio donde se encuentra setspn.exe.

    La ubicación predeterminada es C:\Program Files\Support Tools.

  2. Para registrar el SPN, escriba el siguiente comando setspn:

    setspn -A ACLSE/dominio_completo_y_nombre_del_servidor nombre_del_equipo

    Nota

    ACLSE es el valor obligatorio para identificar el Conector de AX y se debe introducir en mayúsculas. El valor nombre_del_equipo se puede ingresar como nombre o dominio\nombre.

  3. Opcional. Para verificar la asignación de la cuenta SPN, use el siguiente comando setspn:

    setspn -L nombre_del_equipo

Ejemplo

En el siguiente ejemplo, se utiliza el comando setspn para registrar el SPN:

setspn -A ACLSE/axserver.ejemplo.com axserver

Probar la asignación de la cuenta SPN

Opcionalmente copie el archivo de tabla de claves (keytab) para la instancia del Servidor de AX y utilice el comando kinit para probar la asignación de la cuenta SPN.

Prerrequisito: Agregue la subcarpeta bin de Java a la variable de entorno path para utilizar el comando keylist sin especificar la ruta completa.

set PATH=java_bin_path;%PATH%
  1. En el servidor del Controlador de Dominios de Active Directory, copie el archivo .keytab que creó con el comando ktpass y péguelo en el directorio de Windows del Servidor de AX.
  2. En el directorio de Windows del Servidor de AX, cree un archivo llamado krb5.ini.

  3. Desde la línea de comandos, use el siguiente comando para verificar que se pueda leer el archivo keytab:

    klist -k

  4. Para intentar autenticarlo, use el siguiente comando:

    kinit nombre_de_usuario@REALM.COM
  5. Escriba la contraseña del usuario y presione Intro.

Ejemplo

El siguiente es un ejemplo de un archivo krb5.ini:

[libdefaults]
ticket_lifetime = 24000
default_realm = su_dominio
default_keytab_name = ruta_a_archivo_keytab
dns_lookup_realm = false
dns_lookup_kdc = false
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac

[realms]
su_dominio = {
  kdc = su_servidor_de_active_directory.dominio.com:88
}

[domain_realm]
.su_dominio = YOUR_DOMAIN
su_dominio = YOUR_DOMAIN

Habilitar la Autenticación de Windows integrada desde Internet Explorer

Habilite la Autenticación de Windows integrada de Internet Explorer en cada entorno de escritorio de los usuarios finales. Los usuarios deben estar conectados desde un sistema operativo cliente, la autenticación integrada de Windows no es compatible con las instancias de AX Cliente que se ejecutan en el sistema operativo del servidor.

  1. En Microsoft Internet Explorer, haga clic en Herramientas > Opciones de Internet > Avanzado.
  2. En el grupo Seguridad, seleccione Habilitar Autenticación integrada de Windows y haga clic en Aplicar.
  3. Haga clic en la ficha Seguridad.
  4. Seleccione el icono Intranet local y después haga clic en Sitios.
  5. En el cuadro de diálogo Intranet Local, haga clic en Avanzado y luego ingrese la URL  HTTPS para su instancia del Servidor de AX y haga clic en Agregar.

    Ejemplo: https://axserver.ax.com.

  6. Haga clic en Cerrar, luego en Aceptar en cada cuadro de diálogo abierto, hasta que el cuadro de diálogo Opciones de Internet se cierre y se reinicie Internet Explorer.

La configuración actualizada tendrá efecto la próxima vez que se abra Internet Explorer.

[ Volver al inicio ]

Ayuda de Analytics Exchange 14.1 Cliente