È una forma di autenticazione LDAP senza inserimento delle credenziali, permette cioè di realizzare un accesso di tipo "Single Sign On". Sfrutta le credenziali dell'utente di Windows, trasmesse dal browser, per poi interrogare il server LDAP.
Per usare l'autenticazione integrata basta accedere a StartWeb con l'indirizzo base del sito, seguito da "/intranet".
La trasmissione del nome utente e della password a un server Web IIS è compito del browser. Perché il browser invii automaticamente le credenziali, cioè senza richiesta esplicita, devono essere soddisfatte delle precise condizioni (vedi sezione Riferimenti sotto).
Per superare questa limitazione, può essere necessario inserire il server dove c'è StarWeb all'interno delle security area “intranet” di windows attraverso GPO.
Si noti in particolare che, di default, l’automatismo funziona solo nell’area intranet (cioè nell’area locale) e con certi browser, come Internet Explorer e Chrome. In altri casi, oppure usando un altro browser, come Firefox, c’è una richiesta di credenziali tramite una finestra popup.
Da questa finestra si possono inserire le credenziali windows, in cui il nome utente è indicato nella forma “nome@dominio” oppure “dominio\nome” e viene validato dal server Web IIS.
Una volta che il browser ha recuperato le credenziali dell’utente, in modo automatico o con inserimento esplicito, questo vengono inoltrate per i controlli successivi, come spiegato di seguito.
Se il processo non si completa, si vede una pagina che mostra in dettaglio le verifiche fatte e consente di ripetere l'operazione oppure di andare alla pagina di login normale di StartWeb.
Caratteristiche
L'autenticazione integrata di Windows consiste dei seguenti passi:
| 1. | si identifica il nome dell'utente Windows |
| 2. | si utilizza questo nome per interrogare un server LDAP |
| 3. | un attributo dell'utente trovato al passo precedente è usato come utente di StarWeb |
Premessa: in Windows, una coppia utente-dominio si scrive nella forma "dominio\utente" oppure "utente@dominio"; per i controlli di login, StartWeb normalizza il nome dell'utente nella forma forma "utente@dominio".
Passo 1. L'identità di Windows viene rilevata grazie al fatto che si accede a StartWeb con la URL principale seguita da “/intranet”:
http://.../StartWeb/intranet.
Se l’account di Windows è riconosciuto da IIS, si passa al passo 2, altrimenti si viene reindirizzati alla pagina di login tradizionale, che mostra il motivo per cui è fallita l’autenticazione.
Se le credenziali sono riconosciute da IIS, si passa alla fase successiva, altrimenti si ha l’errore HTTP 401 (non si è autorizzati a vedere la pagina);
Passo 2. In questa fase, il nome dell'utente completo di dominio, ad es. "andrea@produzione" viene utilizzato per la ricerca LDAP.
Note importanti:
| • | la ricerca LDAP fatta in questo passaggio verifica solo l'esistenza del nome, non si fa nessun controllo sulla password (che non è nota); |
| • | per questo motivo, bisogna indicare delle credenziali complete da usare per l’interrogazione del server LDAP; questi parametri sono presenti nella pagina di configurazione con descrizione “Utente per l'interrogazione di LDAP” e “Password per l'interrogazione di LDAP” |
Passo 3: è la continuazione dell'autenticazione LDAP tradizionale, quindi l'attributo dell'utente configurato è utilizzato per ricercare un nome utente di StartWeb.
Configurare l’autenticazione integrata
La procedura di installazione di StartWeb, configura opportunamente IIS, definendo le directory virtuali e le modalità di autenticazione. Può essere però necessario rivedere queste impostazioni, ad esempio quando si fa un’installazione manuale con la copia dei file, oppure per risolvere eventuali malfunzionamenti.
In particolare, bisogna fare attenzione a come è configurata l'applicazione "intranet" contenuta in "StartWeb". Un'installazione corretta di StartWeb ha queste carattersitiche:
| • | il sito StartWeb è composto da 2 directory virtuali, che corrispondono a 2 applicazioni: la directory virtuale del sito, StartWeb, e la directory virtuale intranet che punta alla sottodirectory “intranet” del sito; |
| • | StartWeb: per questa applicazione, IIS è configurato con i seguenti tipi di autenticazione: |
| o | Autenticazione anonima (Anonymous Authentication) |
| o | Autenticazione Forms (Forms Authentication) |
| • | intranet: su questa applicazione, sono configurati i seguenti tipi di autenticazione: |
| o | Windows Authentication |
| o | ASP.NET Impersonation |
L’applicazione “intranet” serve unicamente per implementare l’autenticazione integrata di Windows di StartWeb, infatti l’accesso a “intranet” ha come unico effetto quello di ricavare le credenziali dell’utente e di passarle a StartWeb. Per questo motivo, per disattivare l’autenticazione integrata è sufficiente rimuovere l’applicazione “intranet” o la stessa directory virtuale.
Riferimenti
Perché il browser apre la popup di richiesta delle credenziali:
https://support.microsoft.com/it-it/help/258063/internet-explorer-may-prompt-you-for-a-password