Configurar a Autenticação Integrada do Windows

Configure o servidor do Controlador de Domínio do Active Directory, o Servidor AX e o ambiente de desktop para o usuário final de cada aplicativo cliente para configurar a Autenticação Integrada do Windows.

Visão geral da configuração

  1. Crie uma nova conta de Nome da Entidade de Serviço (SPN) do Windows no Active Directory para mapear o serviço de autenticação do Servidor AX para uma conta do Active Directory. Para ver as etapas, consulte Criação de uma conta SPN.
  2. Mapeie o serviço de autenticação do Servidor AX para a conta SPN do Active Directory usando o comando ktpass. Para ver as etapas, consulte Mapeamento do serviço de autenticação para a conta SPN.
  3. Registre um SPN para o serviço AX Connector usando o comando setspn. Para ver as etapas, consulte Registro de um SPN para o serviço AX Connector.
  4. Opcional. Copie o arquivo keytab para a instância do Servidor AX e utilize o comando kinit para testar o mapeamento da conta SPN. Para ver as etapas, consulte Teste do mapeamento da conta SPN.
  5. Habilite a Autenticação integrada do Windows a partir do Internet Explorer no ambiente de desktop de cada usuário final. Para ver as etapas, consulte Habilitação da Autenticação Integrada do Windows a partir do Internet Explorer.

Criação de uma conta SPN

  1. No servidor do Controlador de Domínio do Active Directory, clique em Iniciar > Todos os programas > Ferramentas administrativas > Usuários e Computadores do Active Directory.
  2. Clique com o botão direito do mouse na entrada do domínio na exibição em árvore onde deseja criar a nova conta SPN e selecione Novo > Usuário.
  3. Insira as informações solicitadas e clique em Avançar.
  4. Configure a senha do usuário e clique em Avançar:
    1. Insira a senha da conta.
    2. Desmarque a opção Usuário deve alterar a senha no próximo logon.
    3. Selecione a opção Senha nunca expira.
  5. Clique em Concluir.

Mapeamento do serviço de autenticação para a conta SPN

  1. No servidor do Controlador de Domínio do Active Directory, abra um prompt de comando e altere os diretórios para o diretório no qual ktpass.exe está localizado.

    O local padrão é C:\Arquivos de Programas\Ferramentas de Suporte.

  2. Para mapear o serviço de autenticação para a conta SPN, insira o seguinte comando keypass: 
    ktpass /out nome_arquivo /princ nome /pass senha /mapuser nome_usuário_local /ptype tipo_entidade /crypto tipo_criptografia

Para informações sobre a sintaxe ktpass, consulte Referência do Microsoft Ktpass.

Exemplo

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Registro de um SPN para o serviço AX Connector

  1. No servidor do Controlador de Domínio do Active Directory, abra um prompt de comando e altere os diretórios para o diretório no qual setspn.exe está localizado.

    O local padrão é C:\Arquivos de Programas\Ferramentas de Suporte.

  2. Para registrar o SPN, insira o seguinte comando setspn: 
    setspn -A ACLSE/domínio_completo_e_nome_do_servidor nome_do_computador

    Nota

    ACLSE é o valor requerido para identificar o AX Connector e precisa ser digitado em maiúsculas. O valor nome_do_computador pode ser inserido como nome ou domínio\nome.

  3. Opcional. Para verificar o mapeamento da conta SPN, use o seguinte comando setspn: 
    setspn -L nome_do_computador

Exemplo

setspn -A ACLSE/axserver.acl.com axserver

Teste do mapeamento da conta SPN

Pré-requisito: Adicione o subdiretório bin do Java à variável de ambiente path para usar o comando klist sem especificar o caminho completo.

set PATH=caminho_do_bin_do_java;%PATH%
  1. No servidor do Controlador de Domínio do Active Directory, copie o arquivo .keytab criado com o comando ktpass e cole-o no diretório Windows no Servidor AX.
  2. No diretório Windows do Servidor AX, crie um arquivo chamado krb5.ini.
  3. No prompt de comando, use o seguinte comando para verificar se o arquivo keytab pode ser lido: 
    klist -k
  4. Para tentar autenticar, use o seguinte comando: 
    kinit nome_de_usuário@REALM.COM
  5. Insira a senha do usuário e pressione Enter.

Arquivo krb5.ini de exemplo

 [libdefaults] ticket_lifetime = 24000 default_realm = <domínio> default_keytab_name = <caminho_para_o_arquivo_keytab> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <domínio> = { kdc = <servidorad.domínio.com>:88 } [domain_realm] <.domínio> = <DOMAIN> <domínio> = <DOMAIN>

Habilitação da Autenticação Integrada do Windows a partir do Internet Explorer

  1. No Microsoft Internet Explorer, clique em Ferramentas > Opções da Internet > Avançadas.
  2. No grupo Segurança, selecione a opção Habilitar a Autenticação Integrada do Windows e clique em Aplicar.
  3. Clique na guia Segurança.
  4. Selecione o ícone Intranet local e, em seguida, clique em Sites.
  5. Na caixa de diálogo Intranet local, clique em Avançadas e insira a URL HTTPS para sua instância do Servidor AX e clique em Adicionar.

    Por exemplo: https://axserver.ax.com.

  6. Clique em Fechar, OK em cada caixa de diálogo aberta até que a caixa de diálogo Opções da Internet seja fechada e reinicie o Internet Explorer.

As configurações atualizadas serão aplicadas na próxima vez em que o Internet Explorer for iniciado.