Configurar a Autenticação Integrada do Windows

Configure o servidor do Controlador de Domínio do Active Directory, o Servidor AX e o ambiente de desktop para o usuário final de cada aplicativo cliente para configurar a Autenticação Integrada do Windows. A Autenticação Integrada do Windows permite controle de acesso SSO para usuários do Cliente AX.

Nota

A Autenticação Integrada do Windows não é compatível para instâncias do Cliente AX executadas no sistema operacional do servidor. Você precisa se conectar de um sistema operacional cliente, caso contrário, o aplicativo utilizará a autenticação padrão baseada em formulário.

Como funciona?

A Autenticação Integrada do Windows usa os recursos de segurança dos clientes e servidores Windows. Ela não solicita aos usuários o nome de usuário e senha, e as informações atuais de usuário do Windows no computador cliente são fornecidas pelo navegador da web por meio de troca criptográfica. Os seguintes protocolos são usados para gerenciar a autenticação:

Se a troca de autenticação inicialmente falhar ao identificar o usuário, o navegador da web solicitará que o usuári informe um nome de usuário e senha de conta de usuário Windows.

Criação de uma conta SPN

Crie uma nova conta de Nome da Entidade de Serviço (SPN) do Windows no Active Directory para mapear o serviço de autenticação do Servidor AX para uma conta do Active Directory.

ClosedMostre-me como
  1. No servidor do Controlador de Domínio do Active Directory, clique em Iniciar > Todos os programas > Ferramentas administrativas > Usuários e Computadores do Active Directory.
  2. Clique com o botão direito do mouse na entrada do domínio na exibição em árvore onde deseja criar a nova conta SPN e selecione Novo > Usuário.
  3. Insira as informações solicitadas e clique em Avançar.
  4. Configure a senha do usuário e clique em Avançar:
    1. Insira a senha da conta.
    2. Desmarque a opção Usuário deve alterar a senha no próximo logon.
    3. Selecione a opção Senha nunca expira.
  5. Clique em Concluir.

Mapeamento do serviço de autenticação para a conta SPN

Mapeie o serviço de autenticação do Servidor AX para a conta SPN do Active Directory usando o comando ktpass.

ClosedMostre-me como
  1. No servidor do Controlador de Domínio do Active Directory, abra um prompt de comando e altere os diretórios para o diretório no qual ktpass.exe está localizado.

    O local padrão é C:\Arquivos de Programas\Ferramentas de Suporte.

  2. Para mapear o serviço de autenticação para a conta SPN, insira o seguinte comando keypass: 
    ktpass /out nome_arquivo /princ nome /pass senha /mapuser nome_usuário_local /ptype tipo_entidade /crypto tipo_criptografia

Para informações sobre a sintaxe ktpass, consulte Referência do Microsoft Ktpass.

Exemplo

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

Registro de um SPN para o serviço Conector do AX

Registre um SPN para o serviço Conector do AX usando o comando setspn.

ClosedMostre-me como
  1. No servidor do Controlador de Domínio do Active Directory, abra um prompt de comando e altere os diretórios para o diretório no qual setspn.exe está localizado.

    O local padrão é C:\Arquivos de Programas\Ferramentas de Suporte.

  2. Para registrar o SPN, insira o seguinte comando setspn: 
    setspn -A ACLSE/domínio_completo_e_nome_do_servidor nome_do_computador

    Nota

    ACLSE é o valor necessário para identificar o Conector do AX e precisa ser digitado em maiúsculas. O valor nome_do_computador pode ser inserido como nome ou domínio\nome.

  3. Opcional. Para verificar o mapeamento da conta SPN, use o seguinte comando setspn: 
    setspn -L nome_do_computador

Exemplo

setspn -A ACLSE/axserver.acl.com axserver

Teste do mapeamento da conta SPN

Opcionalmente, copie o arquivo keytab para a instância do Servidor AX e utilize o comando kinit para testar o mapeamento da conta SPN.

ClosedMostre-me como

Pré-requisito: Adicione o subdiretório bin do Java à variável de ambiente path para usar o comando klist sem especificar o caminho completo.

set PATH=caminho_do_bin_do_java;%PATH%
  1. No servidor do Controlador de Domínio do Active Directory, copie o arquivo .keytab criado com o comando ktpass e cole-o no diretório Windows no Servidor AX.
  2. No diretório Windows do Servidor AX, crie um arquivo chamado krb5.ini.
  3. No prompt de comando, use o seguinte comando para verificar se o arquivo keytab pode ser lido: 
    klist -k
  4. Para tentar autenticar, use o seguinte comando: 
    kinit nome_de_usuário@REALM.COM
  5. Insira a senha do usuário e pressione Enter.

Arquivo krb5.ini de exemplo

 [libdefaults] ticket_lifetime = 24000 default_realm = <domínio> default_keytab_name = <caminho_para_o_arquivo_keytab> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <domínio> = { kdc = <servidorad.domínio.com>:88 } [domain_realm] <.domínio> = <DOMAIN> <domínio> = <DOMAIN>

Habilitação da Autenticação Integrada do Windows a partir do Internet Explorer

Habilite a Autenticação integrada do Windows a partir do Internet Explorer no ambiente de desktop de cada usuário final. A Autenticação Integrada do Windows não é compatível para instâncias do Cliente AX executadas no sistema operacional do servidor.

ClosedMostre-me como
  1. No Microsoft Internet Explorer, clique em Ferramentas > Opções da Internet > Avançadas.
  2. No grupo Segurança, selecione a opção Habilitar a Autenticação Integrada do Windows e clique em Aplicar.
  3. Clique na guia Segurança.
  4. Selecione o ícone Intranet local e, em seguida, clique em Sites.
  5. Na caixa de diálogo Intranet local, clique em Avançadas e insira a URL HTTPS para sua instância do Servidor AX e clique em Adicionar.

    Por exemplo: https://axserver.ax.com.

  6. Clique em Fechar, OK em cada caixa de diálogo aberta até que a caixa de diálogo Opções da Internet seja fechada e reinicie o Internet Explorer.

As configurações atualizadas serão aplicadas na próxima vez em que o Internet Explorer for iniciado.