Authentification unique (SSO)

L’authentification unique a été conçue pour empêcher les utilisateurs de se servir de plusieurs ordinateurs avec le même nom d’utilisateur. Elle est transparente pour l’utilisateur; aucun message spécifique n’y est associé. Lors de l’enregistrement dans une nouvelle ferme ou de la modification d’une ferme existante pour laquelle l’authentification Windows est sélectionnée, le message suivant apparaît en cas d’échec: Windows Authentication Failed (Échec de l’authentification Windows). Vous devez entrer le nom d’utilisateur et le mot de passe.

L’authentification unique (SSO) fonctionne parallèlement au processus d’authentification Symphony en cours/existant. L’authentification Windows est plus sécurisée que l’authentification Symphony; elle utilise le système de sécurité Windows intégré. La communication entre le client et le serveur se fait via un service Web SOAP WSE 3.0.

 

Important: Si les utilisateurs veulent que leurs fermes enregistrées soient disponibles sur n’importe quel poste du domaine, ils doivent activer le profil utilisateur itinérant (Windows).

Symphony ne prend pas en charge l’authentification interdomaine pour SSO.

L’authentification unique a été conçue pour empêcher les utilisateurs de se servir de plusieurs ordinateurs avec le même nom d’utilisateur ; cependant, un utilisateur peut se connecter par inadvertance plusieurs fois sur le même ordinateur.

Enchaînement des opérations

1       Lorsque le client Symphony se connecte à une ferme, il crée un jeton de sécurité basé sur l’identité de l’utilisateur Windows actuellement connecté. L’utilisateur DOIT s’être connecté au compte du domaine.

2       Le jeton de sécurité est envoyé à la ferme/au serveur pour authentification.

3       La ferme/le serveur vérifie que le jeton est valide et détermine le compte de domaine qui lui est associé.

4       En cas de succès, la ferme/le serveur renvoie un ID de session au client.

5       En cas d’échec, l’état de la ferme du client passe sur Unauthorized (Non autorisé).

6       En cas d’échec, l’utilisateur peut se connecter à l’aide de ses informations d’identification Symphony:

a.     Dans le client Symphony, cliquez avec le bouton droit de la souris sur votre ferme dans Liste de serveurs.

b.     Sélectionnez l’option Modifier. La boîte de dialogue Server Login Information (Informations de connexion au serveur) s’affiche.

c.      Désactivez l’authentification unique: désélectionnez la case Windows Authentication (Authentification Windows).

d.     Cliquez sur OK.

e.     Entrez votre nom d’utilisateur et votre mot de passe.

 

Important: Plusieurs clients Symphony sur un même identifiant Windows (enregistrés chacun avec un utilisateur différent) sont nécessaires pour l’exécution de l’interdiction du direct. Ainsi, l’authentification unique ne sera pas disponible pour les murs vidéo lors de l’exécution simultanée de Live Ban.

 

Prérequis

La fonctionnalité d’authentification unique (SSO) utilise l’identité de domaine du client pour l’authentification sur le serveur. Le client et le serveur doivent donc appartenir au même domaine de sécurité. Ainsi, la fonctionnalité d’authentification unique est disponible uniquement dans les cas suivants:

       Les postes client et serveur sont connectés au même domaine.

       L’utilisateur se connecte au poste client en tant qu’utilisateur du domaine à l’aide des informations d’identification du domaine. (Un utilisateur peut se connecter à un poste en local, auquel cas la fonctionnalité d’authentification unique n’est pas disponible.)

Sur les domaines contrôlés par Windows Server 2008 (ou version ultérieure) et les clients exécutant Windows Vista/Windows 7:

       Le cryptage AES256_HMAC_SHA1 doit être désactivé car il ne peut pas être géré par le service WSE 3.0 utilisé par l’authentification unique. Cette stratégie doit être mise en place par le contrôleur de domaine et définie par le personnel informatique responsable du domaine.

Activation de l’authentification unique (SSO)

       Tâche 1: Dans le client Symphony (ou manuellement), activer l’authentification unique

       Tâche 2: Dans le client Symphony, modifier le chemin de stockage pour l’enregistrement de la ferme sur un serveur réseau

Tâche 1: Dans le client Symphony (ou manuellement), activer l’authentification unique

Pour activer ou désactiver l’authentification unique dans le client Symphony:

1       Dans le client Symphony, cliquez avec le bouton droit de la souris sur votre ferme dans la liste des serveurs.

2       Sélectionnez l’option Modifier. La boîte de dialogue Server Login Information (Informations de connexion au serveur) s’affiche.

       Pour activer l’authentification unique, cochez la case Windows Authentication (Authentification Windows).

       Pour désactiver l’authentification unique, désélectionnez la case Windows Authentication (Authentification Windows).

3       Cliquez sur OK.

 

Administration_chap100001.jpg

Case d’authentification Windows

 

Pour activer manuellement l’authentification unique:

1       Modifiez le fichier %APPDATA%\Aimetis\RegisteredFarms.xml.

Exemple:

<RegisteredFarms>

     <Farm ID="74083">

         <Encryption>6.2</Encryption>

          <Alias>10.234.10.76</Alias>

         <SpecifiedAddress>10.234.10.76</SpecifiedAddress>

         <UserName>MVYlTEIRRUhQ</UserName>

          <Password>kjdflasdkjflakj</Password>
      <UseWindowsAuthentication>false </UseWindowsAuthentication>

          <Addresses>

               <Address>

                 <SpecifiedAddress>10.222.10.73</SpecifiedAddress>

                 <IP>10.222.10.73</IP>

                 <Port>50001</Port>

               </Address>

          </Addresses>

     </Farm>

</RegisteredFarms>

2       Sous <Farm ID = number”>:

       Pour activer l’authentification unique, définissez:
<UseWindowsAuthentication>true </UseWindowsAuthentication>

       Pour désactiver l’authentification unique, définissez:
<UseWindowsAuthentication>false </UseWindowsAuthentication

Tâche 2: Dans le client Symphony, modifier le chemin de stockage pour l’enregistrement de la ferme sur un serveur réseau

Pour vous assurer que les informations d’enregistrement de la ferme sont stockées sur un serveur réseau:

1       Dans le menu Affichage, sélectionnez Paramètres. La boîte de dialogue Symphony Paramètres du client s’affiche.

2       Cliquez sur l’onglet Global.

Administration_chap100014.png

Onglet Global de la boîte de dialogue Paramètres de Symphony Client

 

3       Cochez la case Custom path to farm registration (Chemin personnalisé pour l’enregistrement de la ferme).

4       Dans le champ suivant, entrez le chemin du réseau sur lequel les informations d’enregistrement seront stockées pour tous les utilisateurs itinérants.

       Le serveur réseau stockant tous les enregistrements de ferme doit être accessible à partir de tous les clients.

       Il s’agit d’un paramètre global. Tous les utilisateurs se connectant à ce client utiliseront ce paramètre. Utilisez la variable %WINUSER% lors de la configuration de ce chemin afin que chaque utilisateur dispose d’un chemin unique pour le stockage de l’enregistrement de ferme. L’utilisateur doit posséder des droits Windows en « modification » sur ce dossier. Ce paramètre est défini une seule fois sur chaque poste client.

Important: Le partage d’un enregistrement de ferme entre plusieurs utilisateurs représente un risque pour la sécurité.

 

Administration_chap100015.png

Modification de l’emplacement de stockage des informations d’enregistrement de ferme