GIR Titan-Hyperion Prérequis du système

GIR Titan-Hyperion
Prérequis du système
www.gir.fr
[email protected]
Version 1.0-9, mai 2011
2
c 2004-2011 klervi. All rights reserved.
Copyright °
La reproduction et la traduction de tout ou partie de ce manuel sont
interdites, sans autorisation écrite préalable de klervi.
Les informations contenues dans ce document ne sont données qu'à
titre indicatif ; elles peuvent être modiées sans préavis. Klervi ne
peut, en aucun cas, être tenu responsable des erreurs qui pourraient
s'y être glissées.
Table des matières
1 Généralités
1.1
1.2
1.3
1.4
1.5
Principe . . . . . . . . . . . . . . . . . . . . . . . . . . .
Base de données . . . . . . . . . . . . . . . . . . . . . .
Conguration minimale . . . . . . . . . . . . . . . . . .
Capacités de stockage . . . . . . . . . . . . . . . . . . .
1.4.1 Capacités de stockage des bornes TIP1-Pabbay .
1.4.2 Capacités de stockage des bornes TIP2-Vatersay
1.4.3 Capacités de stockage des bornes GC90 . . . . .
1.4.4 Capacités de stockage des casiers à clefs . . . . .
1.4.5 Capacités de stockage de GIR Titan-Hyperion .
Export traclient . . . . . . . . . . . . . . . . . . . . . . .
1.5.1 Exports automatiques . . . . . . . . . . . . . . .
1.5.2 Export à la demande . . . . . . . . . . . . . . . .
1.5.3 Modication de transaction . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7
7
8
8
9
9
9
9
9
9
10
10
10
10
2 Accès au réseau
11
3 Droits d'accès au système (version Windows)
15
4 Droits d'accès au système (version Linux)
17
2.1
2.2
Fonctionnement général . . . . . . . . . . . . . . . . . . . . . . .
Volume du trac . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 Intégration intranet
5.1
5.2
Intégration graphique . . . . .
Gestion de l'authentication . .
5.2.1 Droits utilisateurs . . .
5.2.2 Authentication externe
5.2.3 Connexion automatique
3
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11
12
19
19
20
20
21
22
4
TABLE DES MATIÈRES
Introduction
GIR Titan-Hyperion est un logiciel de gestion de parc automobile. Il couvre
la distribution du carburant, l'aectation des véhicules aux usagers, les entretiens des véhicules, l'accès à la station ou à des locaux, la distribution de clefs.
GIR Titan-Hyperion regroupe à la fois la communication avec les automates,
l'édition des données, et la consultation des états.
5
6
TABLE DES MATIÈRES
Chapitre 1
Généralités
1.1 Principe
Borne 1
Serveur Hyperion
H
internet
H
Simple navigateur web
H
Borne 2
Simple navigateur web
Le logiciel GIR Titan-Hyperion est installé sur une seule machine que l'on
désignera dans ce document par Serveur Hyperion. L'accès à Hyperion s'eectue avec un simple navigateur web.
La communication avec les bornes s'eectue toujours entre le serveur Hyperion et les bornes, indépendamment du poste sur lequel est lancé le navigateur
web.
Il est possible d'installer Hyperion :
Sur un serveur (dédié ou non) : l'application est utilisée sur les diérents
postes de travail avec un navigateur web.
Sur un poste de travail isolé : l'utilisation de l'application reste possible
en accédant au serveur web via l'interface réseau locale (127.0.0.1).
7
8
CHAPITRE 1. GÉNÉRALITÉS
Sur un poste de travail en réseau : l'application est utilisée aussi bien sur
le poste d'installation que sur d'autres postes de travail en réseau.
Sous Windows, l'accès à Hyperion sur le poste d'installation est simplié
par une icône située à côté de l'horloge dans la barre des tâches. Un double clic
sur cette icône permet de lancer directement un navigateur web avec l'adresse
adéquate.
1.2 Base de données
Hyperion est écrit en langage C et utilise une base de données de type ISAM.
Il intègre un outil de sauvegarde automatique de la base de données, dont l'exécution est paramétrable (Voir Programmations automatiques dans le manuel
utilisateur). La taille d'un chier de sauvegarde va de 500 Ko à quelques Mo
(environ 3 Mo pour une base de 1000 véhicules et 100 000 transactions).
L'export de données à partir d'Hyperion est possible de plusieurs manières :
Export des transactions carburant, au l de l'eau ou à la demande, dans
un chier traclient. Ce chier peut être dans un format texte de longueur
xe, ou au format CSV (Voir 1.5, page 10).
Export de toutes les tables directement depuis l'interface, par téléchargement d'un chier CSV.
Export personnalisé en sélectionnant les champs à exporter dans un chier
script.
L'import depuis une base de données existante n'est pas possible directement,
mais fait partie des prestations proposées par GIR.
1.3 Conguration minimale
Le
serveur Hyperion doit satisfaire les conditions minimales suivantes :
Processeur type Intel Pentium III
250 Mo d'espace réservés pour l'application sur le disque dur
128 Mo de RAM réservés pour l'application
Système d'exploitation :
Microsoft Windows 2000, XP, 2003, Vista, 7 ou Server 2008 (Microsoft
Windows 95, 98 et Me sont également supportés)
GNU/Linux kernel 2.2, 2.4 ou 2.6
Les postes clients doivent disposer d'un navigateur web :
Microsoft Internet Explorer version 6 ou supérieure
Mozilla Firefox version 1 ou supérieure
Google Chrome, Apple Safari, ou tout autre navigateur respectant les
standards web.
1.4. CAPACITÉS DE STOCKAGE
9
1.4 Capacités de stockage
1.4.1 Capacités de stockage des bornes TIP1-Pabbay
nombre de produits illimité
3000 véhicules (demande de compteur kilométrique ou horaire paramétrable pour chaque produit)
3000 usagers
2500 transactions (tous types de transactions confondus)
500 activités
100 messages
En version 6000 usagers :
6000 usagers
200 activités
1.4.2 Capacités de stockage des bornes TIP2-Vatersay
nombre de produits illimité
15000 véhicules
15000 usagers
2500 transactions (tous types de transactions confondus)
1000 activités
100 messages
1.4.3 Capacités de stockage des bornes GC90
8 produits
1200 véhicules (3 produits par véhicule. Les compteurs kilométrique et
horaire peuvent être demandés soit sur sur un seul produit, soit sur tous
les produits. Dans ce dernier cas, le paramétrage sera le même pour tous
les produits.)
1200 usagers
750 à 1500 transactions selon la conguration (tous types de transactions
confondus)
400 activités
100 messages
1.4.4 Capacités de stockage des casiers à clefs
Les casiers à clefs sont entièrement pilotés à distance par Hyperion, et ne
stockent pas de données.
1.4.5 Capacités de stockage de GIR Titan-Hyperion
15000 véhicules
15000 usagers
1000 activités
100 messages
150 000 transactions carburant
150 000 transactions accès
150 000 transactions de prise de clef
10
CHAPITRE 1. GÉNÉRALITÉS
1.5 Export traclient
Toutes les transactions enregistrées par GIR Titan-Hyperion peuvent être
exportées dans un chier traclient. Ce chier peut ensuite être utilisé pour
retraiter les transactions dans d'autres applications. Les formats de chiers traclient sont décrits dans le manuel utilisateur.
Un chier traclient peut être généré de plusieurs manières :
1.5.1 Exports automatiques
Export au l de l'eau : les transactions sont ajoutées au chier au fur et à
mesure de leur traitement. Nom du chier : data\dto\traclien.dat. Le
chier est créé s'il n'existe pas. Sinon, les transactions sont ajoutées en n
de chier.
Export quotidien : les transactions faites pendant le jour J sont exportées au jour J+1. L'heure d'export est paramétrable. Nom du chier :
data\dto\traclien-AAAAMMJJ.dat. Un nouveau chier est créé chaque
jour.
Export mensuel : les transactions faites pendant le mois M sont exportées au mois M+1. Le jour d'export est paramétrable. Nom du chier :
data\dto\traclien-AAAAMM.dat. Un nouveau chier est créé chaque mois.
1.5.2 Export à la demande
Les transactions sont exportées lorsqu'un utilisateur utilise le menu Export
traclient. L'utilisateur choisit la période à exporter, et peut préciser plusieurs autres critères de ltrage. Nom du chier : data\dto\traclient.dat.
Un nouveau chier est créé à chaque export. Le chier peut également être
téléchargé par l'utilisateur.
1.5.3 Modication de transaction
Il est possible de modier une transaction dans GIR Titan-Hyperion après
son premier traitement. Ceci permet, par exemple, de changer la valeur d'un
compteur ou l'aectation d'un véhicule.
Lorsqu'une transaction est modiée, la transaction exportée varie selon la
méthode d'export :
Export au l de l'eau :
Pour les anciens formats, seule la transaction originale est exportée.
Pour les formats récents, les transactions modiées sont également exportées, avec un indicateur spécique. Ainsi, les modications peuvent
être soit ignorées, soit traitées. La seconde solution peut cependant nécessiter des traitements complexes.
Export quotidien, mensuel ou à la demande : seule la dernière version
d'une transaction est exportée. Pour les exports quotidiens et mensuels,
cela signie qu'une modication ne sera prise en compte dans l'export que
si elle est faite avant la date d'export.
Ex : si les transaction sont exportés le 5 de chaque mois, les modications
faites avant le 5 seront exportées, et celles faites après ne le seront pas.
Chapitre 2
Accès au réseau
2.1 Fonctionnement général
INTERNET
www.klervi.com
Poste client
HTTP
(4) HTTP GET ou POST
8080
Hyperion
(1)
(3) Envoi d’e−mails
Serveur SMTP
(2)
HTTP
Poste client
COM1
TCP
6001
Borne 1
TCP
COM2
Liaison série directe
Modem
6001
Borne 2
Borne 3
Borne 4
L'ensemble du trac réseau généré au cours de l'utilisation de GIR TitanHyperion est composé de quatre types de requêtes :
1. Connexion des postes clients vers le serveur Hyperion : il s'agit de requêtes
HTTP vers le port TCP 8080 du serveur web intégré à Hyperion.
2. Connexion avec les bornes en réseau : Hyperion se connecte à l'interface
réseau de la borne (adresse IP ou nom DNS de votre choix) sur le port TCP
6001. Les dialogues avec les bornes peuvent être lancés manuellement par
l'utilisateur, programmés pour s'exécuter automatiquement à heure xe,
ou encore lancés automatiquement dans le cadre d'un fonctionnement en
temps réel.
Bornes de gestion de carburant et d'accès :
En l'absence de liaison réseau entre les bornes et Hyperion, les pompes
ne sont pas bloquées : chaque borne fonctionne de manière autonome1 , et les données entre les bornes et Hyperion sont synchronisées
1 Les bornes TIP ont une capacité de stockage 2500 transactions
11
12
CHAPITRE 2. ACCÈS AU RÉSEAU
lors des dialogues. Si un dialogue ne peut pas s'exécuter pour cause de
réseau défaillant, la synchronisation est reportée mais la distribution
de carburant et le contrôle d'accès restent fonctionnels.
Casiers à clefs :
Les casiers à clefs sont entièrement pilotés à distance par le logiciel.
La distribution et le rendu de clefs ne sont donc possibles que lorsque
la liaison réseau entre le casier et Hyperion est fonctionnelle. Dans
le cas contraire, un message d'erreur signalant un défaut de liaison
s'achera lors de toute opération à la borne.
3. Envoi d'e-mails : Hyperion peut être paramétré pour envoyer des informations sous forme de messages électroniques. Les messages peuvent
être périodiques (ex : rapport quotidien) ou dépendre d'un événement
(ex : alerte). L'envoi d'e-mails nécessite l'accès à un serveur SMTP, dont
l'adresse est paramétrable. Hyperion supporte les méthodes d'authentication SMTP de type Login, Plain, et Cram-md5. L'adresse d'expéditeur
des messages est également paramétrable (une même adresse pour tous les
messages envoyés).
Deux types de formats sont disponibles pour les messages :
Format HTML, destiné aux utilisateurs.
Format texte, destiné au retraitement par un robot, pour le transfert
vers d'autres médias (SMS, Fax. . .). Ce format est décrit dans le manuel
utilisateur.
La conversion des messages texte vers d'autres médias fait partie des prestations proposées par GIR. En cas de souscription à cette prestation, le serveur SMTP doit permettre l'envoi à une adresse du type [email protected].
4. Accès à internet : Hyperion utilise internet pour envoyer ou recevoir des
chiers de manière simpliée avec le service après-vente de la société GIR.
Ces transferts de chiers sont lancés uniquement sur demande explicite
de l'utilisateur. Ils sont eectués par des requêtes HTTP de type GET ou
POST vers www.klervi.com. Il est possible de dénir un accès via proxy,
avec une authentication éventuelle. Hyperion supporte les authentications de type Basic, Digest et NTLM.
2.2 Volume du trac
Connexion entre les postes clients et le serveur web : comparable à un
trac web standard. Taille des pages html : de 10 Ko à 1 Mo (moins de
100 Ko en général).
Connexion aux bornes :
1. Mode autonome (Carburant, Accès)
en TIP1-Pabbay :
Environ 10 Ko pour récupérer 100 transactions.
Environ 100 Ko pour envoyer 500 véhicules et 500 usagers.
Jusqu'à 1 Mo pour une initialisation complète.
Hyperion gère une synchronisation avec les bornes an de limiter
le volume des données à envoyer. Les échanges lors des dialogues
automatiques seront donc limités à quelques dizaines de Ko en
2.2. VOLUME DU TRAFIC
13
général. Par exemple, un dialogue de synchronisation avec une
borne pour une centaine de transactions produira un trac d'environ 20 Ko pour une durée de 30 secondes.
en TIP2-Vatersay :
Environ 20 Ko pour récupérer 100 transactions.
Environ 200 Ko pour envoyer 500 véhicules et 500 usagers.
Jusqu'à 2 Mo pour une initialisation complète.
Même mécanisme de synchronisation qu'en TIP1-Pabbay.
2. Mode temps réel (Carburant, Accès) Trac quotidien (en Ko) :
15 + 0.3 ∗ N ∗ B
où N est le nombre de transactions par borne et par jour, et B le
nombre de bornes
3. Mode temps réel (Casier à clefs) Trac quotidien (en Ko) :
15 + 2 ∗ N ∗ B
où N est le nombre de transactions par borne et par jour, et B le
nombre de bornes
Connexion à internet :
Téléchargement d'une nouvelle version: quelques Mo.
Envoi de la base de données: très dépendant de taille de la base, environ
1 Mo pour 100 véhicules et 4000 transactions, jusqu'à 50 Mo pour une
base importante.
14
CHAPITRE 2. ACCÈS AU RÉSEAU
Chapitre 3
Droits d'accès au système
(version Windows)
Hyperion ne nécessite aucun logiciel particulier autre que le système d'exploitation : il est complètement autonome, et intègre son propre serveur
web1 .
Deux serveurs web sont fournis :
Le serveur web intégré dans l'exécutable hyperion.exe.
Le serveur tinyweb (tiny.exe).
Le lancement de ces deux applications est eectué par winhyprn.exe, qui
s'ache sous forme d'icône dans la barre des tâches. Le choix du serveur
web utilisé est paramétrable dans le chier winhyprn.ini.
Hyperion n'exige aucun droit particulier au niveau du système autre qu'un
accès total à son arborescence (c:\hyperion par défaut). Il n'utilise pas
la base de registre, il ne se sert d'aucune DLL partagée.
Dialogue avec les bornes :
pour les liaisons directes ou par modem, Hyperion doit avoir l'autorisation d'ouvrir le port série correspondant
pour les liaisons réseau, Hyperion doit avoir l'autorisation d'ouvrir une
connexion TCP vers l'interface réseau de la borne
En version Windows, Hyperion est constitué des processus suivants :
1. Avec serveur web intégré :
1 Hyperion ne nécessite donc pas d'installer Apache, IIS ou tout autre serveur web. Si un
tel serveur web est installé sur la même machine qu'Hyperion, il fonctionnera de manière totalement indépendante (Les deux serveurs devront toutefois écouter sur un port TCP diérent,
le port par défaut du serveur Hyperion étant 8080)
15
16CHAPITRE 3. DROITS D'ACCÈS AU SYSTÈME (VERSION WINDOWS)
winhyprn.exe
Connexion aux bornes
Requête HTTP du navigateur
sur le poste client
TCP
hyperion.exe
8080
TCP
4747
Connexion à internet
winhyprn.exe: Application permettant de lancer hyperion.exe via une
icône dans la barre des tâches.
hyperion.exe: Ecoute en local sur les ports TCP 8080 et 4747, se connecte
aux bornes par TCP ou via un port série, se connecte à internet pour
les transferts de chier et les envois d'e-mails.
2. Avec serveur web tinyweb :
Requête HTTP du navigateur
sur le poste client
8080
tinyweb.exe
winhyprn.exe
Connexion aux bornes
TCP
twcgibin.exe
hyperion.exe
4747
Connexion à internet
winhyprn.exe: Application permettant de lancer tiny.exe et hyperion.exe
via une icône dans la barre des tâches.
tiny.exe: Serveur web, écoute sur le port TCP 8080 et lance twcgibin.exe.
twcgibin.exe: Se connecte à hyperion.exe sur l'interface locale (127.0.0.1)
sur le port 4747. Plusieurs instances de ce processus peuvent s'exécuter
en même temps.
hyperion.exe: Ecoute en local sur le port TCP 4747, se connecte aux
bornes par TCP ou via un port série, se connecte à internet pour les
transferts de chiers et les envois d'e-mails.
Chapitre 4
Droits d'accès au système
(version Linux)
Hyperion ne nécessite aucun logiciel particulier autre que le système d'exploitation : il est complètement autonome, et intègre son propre serveur
web.
Il est cependant possible de désactiver le serveur web intégré pour utiliser
une application tierce (par exemple un serveur web Apache). Dans ce cas,
le serveur doit fournir une gestion des cgi-bin.
Hyperion n'exige aucun droit particulier au niveau du système autre qu'un
accès total à son arborescence (/home/hyperion par défaut). Il n'utilise
aucune bibliothèque partagée.
Dialogue avec les bornes :
pour les liaisons directes ou par modem, Hyperion doit avoir l'autorisation d'ouvrir le port série correspondant
pour les liaisons réseau, Hyperion doit avoir l'autorisation d'ouvrir une
connexion TCP vers l'interface réseau de la borne
En version Linux, Hyperion est constitué des processus suivants :
1. En mode totalement autonome :
Connexion aux bornes
Requête HTTP du navigateur
sur le poste client
TCP
hyperion
8080
TCP
4747
Connexion à internet
hyperion: Ecoute en local sur les ports TCP 8080 et 4747, se connecte
aux bornes par TCP ou via un port série, se connecte à internet pour
les transferts de chier et les envois d'e-mails.
2. Avec un serveur web Apache externe :
17
18
CHAPITRE 4. DROITS D'ACCÈS AU SYSTÈME (VERSION LINUX)
Requête HTTP du navigateur
sur le poste client
apache
Connexion aux bornes
TCP
twcgibin
hyperion
4747
Connexion à internet
apache: Serveur web, écoute sur un port dédié et lance twcgibin. Plusieurs
instances de ce processus peuvent s'exécuter en même temps.
twcgibin: Se connecte au processus hyperion sur l'interface locale (127.0.0.1)
sur le port 4747. Plusieurs instances de ce processus peuvent s'exécuter
en même temps.
hyperion: Ecoute en local sur le port TCP 4747, se connecte aux bornes
par TCP ou via un port série, se connecte à internet pour les transferts
de chier et les envois d'e-mails.
Chapitre 5
Intégration intranet
5.1 Intégration graphique
Il est possible de personnaliser certains aspects de l'apparence de GIR TitanHyperion, an de l'adapter à la charte graphique d'un intranet.
Ce paramétrage est lu par GIR Titan-Hyperion au démarrage, dans le chier
data\dti\cust_cfg.txt. Un exemple documenté de ce chier est fourni dans le
répertoire examples de l'application. Il contient un ensemble de variables sous
la forme Nom=Valeur.
GIR Titan-Hyperion peut également inclure des chiers HTML placés dans
data\dti an de permettre une intégration plus poussée. Voir le chier d'exemple
cust_cfg.txt pour plus de détails.
19
20
CHAPITRE 5. INTÉGRATION INTRANET
5.2 Gestion de l'authentication
GIR Titan-Hyperion supporte plusieurs méthodes d'authentication pour la
connexion des utilisateurs à l'application :
Méthode classique: Les utilisateurs sont déclarés dans l'application par un
login et un mot de passe, qu'ils doivent saisir lors de la connexion. La
validité du mot de passe est vériée par Hyperion. C'est le mode de fonctionnement par défaut.
Authentication externe: Les utilisateurs sont déclarés dans l'application
uniquement par leur login. Pour se connecter à l'application, ils saisissent
leurs login et mot de passe comme ci-dessus, mais ces informations sont
ensuite transmises par Hyperion à un script externe, qui détermine la
validité du mot de passe.
Connexion automatique: Les utilisateurs sont déclarés dans l'application
uniquement par leur login, et l'authentication est entièrement réalisée
par une application tierce. Cette solution ore une grande souplesse, et
sera généralement utilisée an de rendre l'authentication transparente
pour les utilisateurs. Ils pourront ainsi se connecter à l'application par un
simple clic sur un lien hypertexte.
Dans tous les cas, le login de l'utilisateur doit être déni dans la base de
données de GIR Titan-Hyperion. Le champ Mot de passe associé détermine si
l'utilisateur peut se connecter avec la première méthode. L'option Identication
auto. détermine s'il peut se connecter avec l'une des deux autres méthodes.
Les deux dernières méthodes d'authentication sont détaillées dans la suite
de ce document.
5.2.1 Droits utilisateurs
À chaque utilisateur est associé un des niveaux d'accès suivants :
Installateur : Accès complet à l'application. Il ne peut y avoir qu'un seul
compte installateur. La connexion à l'application en mode installateur est
protégée par un dongle.
Gestionnaire: Accès complet à l'application, à l'exception des informations
de conguration matérielle qui ne sont accessibles qu'en lecture.
Standard: Accès restreint à l'application, selon les autorisations spéciées
dans l'onglet Autorisations.
Hérité: Identique au niveau Standard, avec possibilité de spécier un prol d'autorisations au moment de la connexion. Cette fonctionnalité n'est
utilisable que si le mode de connexion est l'authentication externe ou la
connexion automatique. Elle a deux applications :
Factoriser la dénition des autorisations lorsque plusieurs utilisateurs
ont les mêmes droits
Ne pas avoir à saisir explicitement tous les utilisateurs dans la base de
données de GIR Titan-Hyperion. Il est en eet possible de ne dénir que
des prols d'autorisations, et de créér automatiquement un utilisateur
lorsqu'il est authentié et que son login n'est pas encore déni dans
la base. Ce mode de fonctionnement doit être activé dans le chier
cust_cfg.txt.
5.2. GESTION DE L'AUTHENTIFICATION
21
5.2.2 Authentication externe
L'authentication externe consiste à déporter la vérication de la validité
d'un couple (login, mot de passe), selon le scénario suivant :
2
Serveur intranet
Hyperion
3
1
4
Poste client
1. Saisie du login et du mot de passe par l'utilisateur sur la page de connexion
à GIR Titan-Hyperion.
2. Transmission des informations de connexion à serveur intranet via une
requête HTTP GET.
3. Le serveur eectue l'authentication et renvoie le résultat.
4. Achage de la page d'accueil si la connexion a réussi, ou d'un message
d'erreur dans le cas contraire.
L'url à appeler pour réaliser l'authentication est dénie par la variable ExtAuthScriptURL dans le chier cust_cfg.txt.
Le résultat de l'authentication doit être une page au format text/plain dont
la première ligne commence par OK ou ERR. Pour plus de détails, voir la
section External authentication du chier d'exemple cust_cfg.txt.
Lors de la première étape, avant de transmettre les informations, l'application vérie d'abord l'existence du login dans sa base de données. Si un mot de
passe est déni pour ce login, il est comparé au mot de passe saisi. En cas de
correspondance, l'authentication réussit sans appel externe.
En cas de non correspondance, ou si aucun mot de passe n'est déni, l'application vérie que l'utilisateur possède l'option Identication auto.. Si c'est le
cas, l'authentication externe est alors eectuée.
Exemple :
Utilisateur
A
B
C
D
Mot de passe
Oui
Non
Oui
Non
Identication auto.
Non
Oui
Oui
Non
Authentication
Hyperion seulement
Externe seulement
Hyperion puis externe si échec
Utilisateur interdit
Un script PHP de démonstration est disponible dans examples\hyperion-extauth.php.
Il illustre la mise en place d'une authentication externe à partir d'un annuaire
LDAP.
22
CHAPITRE 5. INTÉGRATION INTRANET
5.2.3 Connexion automatique
La connexion automatique permet de déporter totalement la procédure d'authentication dans une application tierce. La mise en place de cette solution dans
GIR Titan-Hyperion s'eectue grâce à l'architecture suivante :
A.2
Serveur intranet
A.1
A.3
Hyperion
B.1
B.2
Poste client
A. Requête du poste client vers un serveur intranet
1. Le poste client se connecte sur un serveur intranet qui réalise l'authentication.
2. Le serveur intranet enregistre l'utilisateur comme étant authentié
auprès de GIR Titan-Hyperion, via une requête HTTP GET.
3. Le serveur intranet redirige le poste client vers l'URL de connexion
à GIR Titan-Hyperion.
B. Connexion du poste client à GIR Titan-Hyperion
1. Le navigateur web sur le poste client eectue la redirection.
2. L'utilisateur est connecté.
Le serveur intranet réalisant l'authentication peut aussi bien être installé
sur la même machine que GIR Titan-Hyperion, que sur une autre machine du
réseau. Dans ce second cas, le serveur intranet doit pouvoir eectuer une requête
HTTP GET sur le serveur hébergeant GIR Titan-Hyperion.
La sécurité de l'authentication repose sur les éléments suivants :
Lors de l'enregistrement de l'authentication (A.2), l'adresse IP de l'emetteur doit vérier le masque dénit par la variable AutologAuthAddr dans
le chier cust_cfg.txt. Si cette variable n'est pas dénie, l'enregistrement
de l'authentication est impossible.
Après avoir réalisé l'authentication (A.1), le serveur intranet génère un
nombre aléatoire (cookie), qui est transmis à GIR Titan-Hyperion lors
de l'enregistrement (A.2), puis au poste client lors de la redirection (A.3
et B.1). GIR Titan-Hyperion conserve ce cookie pendant un court délai, et
vérie que la valeur fournie lors de la connexion du poste client correspond
à la valeur enregistrée précédemment.
Une protection optionnelle par mot de passe (variable AutologAuthPassword dans cust_cfg.txt) pour l'enregistrement.
5.2. GESTION DE L'AUTHENTIFICATION
23
Déclaration des utilisateurs
La connexion automatique est autorisée seulement pour les utilisateurs déclarés dans GIR Titan-Hyperion avec l'option Identication auto.. Par ailleurs,
la dénition d'un mot de passe détermine l'autorisation de connexion en mode
manuel.
Exemple :
Utilisateur
A
B
C
Mot de passe
Oui
Non
Oui
Identication auto.
Non
Oui
Oui
Connexions autorisées
Manuel seulement
Auto. seulement
Manuel + Auto.
Les noms d'utilisateurs dans GIR Titan-Hyperion sont limités à 20 caractères,
et ne sont pas nécessairement les mêmes que les logins utilisés dans l'intranet.
Il est donc possible de dénir les correspondances entre logins intranet et logins Hyperion. Ces correspondances peuvent être déclarées manuellement, ou
bien être implicites. Pour plus de détails, voir la section Autologin du chier
d'exemple cust_cfg.txt.
Déconnexion
Par défaut, lorsqu'un utilisateur se déconnecte de GIR Titan-Hyperion, il est
redirigé vers la page de connexion à l'application. Dans le cas d'une connexion
automatique, l'utilisateur n'a pas besoin de passer par cette page pour se connecter. Il est donc possible de redénir l'URL de redirection après la déconnexion,
par exemple pour que l'utilisateur soit redirigé sur la page d'accueil de l'intranet, ou pour fermer la fenêtre du navigateur. Pour plus de détails, voir la section
Autologin du chier d'exemple cust_cfg.txt.
Mise en place sur un serveur IIS
Un script ASP est fourni pour réaliser la connexion automatique à GIR
Titan-Hyperion avec un serveur web IIS.
La procédure à suivre pour installer ce script est la suivante :
Installer le script hyperion-autologin.asp dans un répertoire exposé du
serveur web IIS (c:\inetpub\Scripts par exemple)
Editer le chier pour personnaliser la ligne
cfgURL = "http://MYSERVER/cgi-bin/twcgibin ?p=4747"
en fonction du serveur hébergeant GIR Titan-Hyperion.
Aller dans le Gestionnaire de services Internet
Aller dans les propriétés du script hyperion-autologin.asp
Cliquer sur l'onglet Sécurité du chier ou du répertoire
Sous Accès anonyme et contrôle d'authentication, cliquez sur Modier
Dans la boîte de dialogue Méthodes d'authentication, désactiver la case
à cocher Accès anonyme, puis activer la case à cocher Authentication
de base, Authentication Digest ou Authentication intégrée (Stimulation/Réponse de Windows NT).
Cliquer sur OK pour fermer les deux boîtes de dialogue
Dénir un lien vers http://adresse du serveur IIS /Scripts/hyperion-autologin.asp
pour réaliser la connexion automatique à GIR Titan-Hyperion.