Configurer l'authentification Windows intégrée
Configurez le serveur du contrôleur de domaine Active Directory, AX Serveur et l'environnement bureau pour chaque utilisateur final de l'application cliente pour configurer l'authentification Windows intégrée. L'authentification Windows intégrée permet un contrôle d'accès SSO pour les utilisateurs du client AX.
Remarque
L'authentification Windows intégrée n'est pas prise en charge pour les instances du client AX qui s'exécutent sur le système d'exploitation du serveur. Vous devez vous connecter depuis un système d'exploitation client sinon l'application utilise par défaut une authentification par formulaire.
Fonctionnement
L'authentification Windows intégrée utilise les fonctions de sécurité des clients et serveurs Windows. Elle n'invite pas les utilisateurs à saisir un nom d'utilisateur et un mot de passe, et les informations sur l'utilisateur Windows actuel disponibles sur l'ordinateur client sont fournies par l'explorateur Web via un échange de chiffrement. Les protocoles suivants permettent de gérer l'authentification :
- SPNEGO connexions client AX
- Kerberos connexions du profil de serveur à Analytics
Si l'échange d'authentification ne parvient pas au départ à identifier l'utilisateur, l'explorateur Web invite l'utilisateur à saisir un nom d'utilisateur et un mot de passe pour le compte utilisateur Windows.
Créer un compte SPN
Créez un nouveau compte Windows Nom de service principal (SPN) dans Active Directory pour mapper le service d'authentification d'AX Serveur à un compte Active Directory.
- Dans le serveur de contrôleur du domaine Active Directory, cliquez sur Démarrer >Tous les programmes > Outils d'administration > Ordinateurs et utilisateurs Active Directory.
- Cliquez avec le bouton droit sur l'entrée dans l'arborescenceu où vous souhaitez créer le nouveau compte SPN et sélectionnez Nouveau > Utilisateur.
- Entrez les informations demandées et cliquez sur Suivant.
- Configurez le mot de passe utilisateur et cliquez sur Suivant :
- Entrez le mot de passe du compte.
- Décochez L'utilisateur doit modifier son mot de passe à la prochaine connexion.
- Sélectionnez Le mot de passe n'expire jamais.
- Cliquez sur Terminer.
Mapper le service d'authentification au compte SPN
Mappez le service d'authentification d'AX Serveur au compte SPN Active Directory à l'aide de la commande ktpass.
- Dans le serveur de contrôleur de domaine Active Directory, ouvrez une invite de commande et modifiez les répertoires selon l'emplacement de ktpass.exe.
L'emplacement par défaut est c:\Program Files\Support Tools.
-
Pour mapper le service d'authentification au compte SPN, saisissez la commande keypass suivante :
ktpass /out nomfichier /princ nom /pass motdepasse /mapuser nomutilisateur_local /ptype type_principal /crypto type_cryptage
Pour connaître la syntaxe ktpass, consultez Référence Ktpass Microsoft.
Exemple
L'exemple suivant mappe le service d'authentification au compte SPN à l'aide de la commande ktpass :
ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT
Enregistrer un compte SPN pour le service Connecteur AX
Enregistrez un compte SPN pour le service Connecteur AX à l'aide de la commande setspn.
- Dans le serveur de contrôleur de domaine Active Directory, ouvrez une invite de commande et modifiez les répertoires selon l'emplacement de setspn.exe.
L'emplacement par défaut est c:\Program Files\Support Tools.
-
Pour enregistrer le compte SPN, saisissez la commande setspn suivante :
setspn -A ACLSE/domaine_complet_et_nomserveur nom_ordinateur
Remarque
ACLSE est la valeur requise pour identifier le Connecteur AX et elle doit être saisie tout en majuscules. La valeur nom_ordinateur peut se saisir comme nom ou domaine\nom.
-
Facultatif. Pour vérifier le mappage du compte SPN, utilisez la commande setspn suivante :
setspn -L nom_ordinateur
Exemple
L'exemple suivant utilise la commande setspn pour enregistrer le compte SPN :
setspn -A ACLSE/axserver.example.com axserver
Tester le mappage de compte SPN
Si vous le souhaitez, copiez le fichier keytab vers l'instance AX Serveur et testez votre mappage de compte SPN à l'aide de la commande kinit.
Conditions préalable : ajoutez le sous-dossier Java bin à votre variable d'environnement path pour utiliser la commande klist sans indiquer le chemin d'accès complet.
set PATH=java_bin_path;%PATH%
- Dans le serveur du contrôleur de domaine Active Directory, copiez le fichier .keytab que vous avez créé avec la commande ktpass et collez-la dans le répertoire Windows d'AX Serveur.
- Dans le répertoire Windows d'AX Serveur, créez un fichier intitulé krb5.ini.
-
Depuis l'invite de commande, utilisez la commande suivante pour vérifier que le fichier keytab peut se lire :
klist -k
-
Pour tenter l'authentification, utilisez la commande suivante :
kinit nomutilisateur@REALM.COM
- Entrez le mot de passe utilisateur et appuyez sur Entrée.
Exemple
Voici un exemple de fichier krb5.ini :
[libdefauts] ticket_lifetime = 24000 default_realm = votre_domaine default_keytab_name = chemin_vers_fichier_keytab dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] votre_domaine = { kdc = votre_serveur_active_directory.domaine.com:88 } [domain_realm] .votre_domaine = YOUR_DOMAIN
votre_domaine = YOUR_DOMAIN
Activer l'authentification Windows intégrée depuis Internet Explorer
Activez l'authentification Windows intégrée depuis Internet Explorer dans chaque environnement bureau de l'utilisateur final. Les utilisateurs doivent se connecter depuis un système d'exploitation client. L'authentification Windows intégrée n'est pas prise en charge pour les instances du client AX qui s'exécutent sur le système d'exploitation du serveur.
- Dans Microsoft Internet Explorer, cliquez sur Outils > Options Internet > Avancé.
- Sous le groupe Sécurité, sélectionnez Activer l'authentification Windows intégrée et cliquez sur Appliquer.
- Cliquez sur l'onglet Sécurité.
- Sélectionnez l'icône Intranet local, puis cliquez sur Sites.
- Dans la boîte de dialogue Intranet local, cliquez sur Avancé et saisissez l'URL HTTPS pour votre instance AX Serveur et cliquez sur Ajouter.
Exemple : https://axserver.ax.com.
- Cliquez sur Fermer, cliquez sur OK dans chaque boîte de dialogue ouverte jusqu'à ce que la boîte de dialogue Options Internet se ferme puis redémarrez Internet Explorer.
Les paramètres mis à jours s'appliqueront la prochaine fois que vous lancerez Internet Explorer.