questa configurazione permette agli utenti web di collegarsi alle applicazioni senza dover inserire le proprie credenziali, garantendo comuque la sicurezza e l'identificazione dell'utente stesso.
Il processo di autenticazione avviene senza il passaggio di credenziali nella rete, qusto a garanzia del fatto che anche in caso di sniffing della rete, non vi sia nulla da “sniffare”.
Lo schema seguente illustra il processo di autenticazione.
I passi necessari alla configurazione sono pochi e semplici, in pochi minuti possiamo abilitare l'SSO tra Windows e Domino.
Nel caso descritto ho eseguito la configurazione utilizzando gli “Internet Sites”, definendo un virtual host specifico per l'ambiente di SSO.
Obbiettivo avere due domini distinti di SSO, in modo da non inficiare le configurazioni preesistenti.
Nell esempio il “dominio” net2action ammette l'SSO con Windows, mentre il dominio shamrock no
per farlo è necessario creare i rispettivi documenti di WebSSO Configuration
creare le relative Domino SSO key o importarel'LTPA WebSphere Key
in questo modo i due VH emetterano due distinte chiavi LTPA.
Ora è necessario creare un utente AD da utilizzare per lo start del server Domino e per mappare l'host di SSO.
Nel server AD con i Support tool installati eseguire il comando
SETSPN -a HTTP/<fqdn> <user>
utilizzare l'FQDN che utilizzeranno gli utenti per raggiungere il server web.
Nel nostro caso
SETSPN -a HTTP/mail.net2action.com DomioStart
con li comando SETSPN -l <user> verifichiamo la correttezza della configurazione, se servono si possono configurare più FQDN.
ora è necessario aggiungere al campo FullName del documeto persona dell'utente il proprio id Windwos nel formato <user>@<domain> nel ns caso p.rossi@SHAMEROCK.COM
ovviamente non è difficile creare un agente che provveda alla mappatura, ma è più funzionale utilizzare un'Assembly Line di IDI, in modo che questa configurazione sia dinamica e pilotata dai cambiamenti efettuati in AD.
La configurazione è terminata. Per verificarla è sufficente collegarsi ad un pc nel domino, aprire un browser e chiamare il ns server domino, nell esempio:
ci sono alcuni flag del Notes.ini che ci aiutano nella verifica della configurazione, vediamoli:
I browser supportati sono:
IE 6,7,8
FF 4,5
Chrome non in modo esplicito, ma funzionicchia, per la mail solo UltraLite.
bene ora basta procedere..... buon lavoro
Andrea Fontana
Nessun commento:
Posta un commento