Zoom sur… Newtest LDAP intégration - IP
Transcription
Zoom sur… Newtest LDAP intégration - IP
Juillet 2011 Zoom sur… Newtest LDAP intégration L a suite Newtest doit s’intégrer parfaitement dans votre Système d’Information afin, notamment, d’en faciliter l’usage. La version NEP 2.1.1 ne déroge pas à cette règle en vous proposant de bénéficier du Single Sign On (SSO) au niveau de Newtest Management Console (NMC) et de Newtest Reporting (NRS). Vous et vos équipes pourrez donc accéder directement à vos interfaces Newtest sans devoir vous ré-authentifier. L’authentification unique via le LDAP devient un point central de l’architecture SI. Site A Utilisateur Site B Site Z Utilisateur Utilisateur MailServer Newtest NMC Supervision& Gestion LDAP SI AD Application Ged NRS reporting extranet Intranet Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 1 Juillet 2011 Quels sont les prérequis techniques ? L a solution SSO Newtest se base sur le LDAP Active Directory de Microsoft. Les prérequis sont donc les suivants : ‐ ‐ ‐ ‐ ‐ ‐ ‐ Disposer d’un LDAP de type Microsoft Active Directory Avoir l’option LD AD sur la gamme de produits Newtest. Cette nouvelle fonctionnalité est soumise à la licence « LDAP authentification » au niveau du serveur NMC Avoir un compte utilisateur qui dispose des droits pour naviguer dans l’Active Directory Avoir Newtest Management Console (NMC) et Newtest Reporting (NRS) dans le même domaine que l’AD Etre capable de naviguer dans la racine de l’AD à partir du NMC et du NRS avec le compte utilisateur S’assurer que l’URL du LDAP (de type LDAP://domain_name) est accessible Etre mono domaine Comment fonctionne Newtest SSO ? ous utilisons l’information auth_login contenue dans le header HTTP. Nous mémorisons dans nos repository une association groupe AD et type de profil utilisateur Newtest. Lors de la demande de connexion, nous extrayons de l’AD les membres appartenant aux groupes AD présents dans nos repository et vérifions l’appartenance de l’utilisateur à un de ces groupes. Si cela est le cas, nous créons dynamiquement l’utilisateur au niveau des systèmes Newtest en utilisant les informations de l’AD et en lui appliquant les droits du profil utilisateur associé au groupe AD. N L’authentification SSO Newtest se base sur deux nouvelles URL : Pour NMC : http://<nep-address>/nmcsso/login.aspx Pour NRS : http://<nep-address>/nrssso/login.aspx Ces deux répertoires virtuels de IIS pointent sur les mêmes ressources Web que les sites avec authentification standard Newtest, à la différence que seul l’accès authentification Windows est autorisé. L’analyse LDAP se contente d’interroger LDAP sur les groupes de l’utilisateur. Un droit en lecture suffit. L’analyse des groupes d’appartenance se base sur les « member of » du LDAP pour l’utilisateur demandeur de login. La récupération du user s’effectue par l’analyse du HTTP header à travers la lecture de la variable auth_login. Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 2 Juillet 2011 Requête HTTP Transit AUTH_LOGIN VIDE http header Accès anonyme Rejet code 401 Rejet code 401+liste des authentifications supportés client Requête HTTP header authentification windows iis newtest Ldap ad server Transit AUTH_LOGIN user windows http header Authentification windows Requête LDAP sur le user Auth_LOGIN pour collecte de member of Si ok accès home page si ko accès login.aspx Accès home page si ok sinon login.aspx Le basculement de l’authentification Newtest vers l’authentification SSO LDAP AD s’appuie sur la configuration du Virtual Directory NMC ainsi que sur les mécanismes de IIS. Pour diagnostiquer, rapidement, le bon format du HTTP header, nous fournissons, à la racine de nos sites, une page de test « httpheader.asp ». Celle-ci vous permet de vérifier la présence et la valeur de la variable auth_login Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 3 Juillet 2011 Exemple Variables Values ALL_HTTP HTTP_CONNECTION:Keep-Alive HTTP_ACCEPT:image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/xshockwave-flash, application/vnd.ms-excel, application/vnd.mspowerpoint, application/msword, */* HTTP_ACCEPT_LANGUAGE:fr HTTP_COOKIE:NOPAut=Username=sysadmin&Password=E83 56458D210FB897885E7B35F4CAB4 HTTP_HOST:west HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) HTTP_UA_CPU:x86 ALL_RAW Connection: Keep-Alive Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: fr Cookie: NOPAut=Username=sysadmin&Password=E8356458D210FB8 97885E7B35F4CAB4 Host: west User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) UA-CPU: x86 APPL_MD_PATH /LM/W3SVC/1/ROOT/nmc APPL_PHYSICAL_PATH F:\nmc_210\Web\ AUTH_PASSWORD AUTH_TYPE AUTH_USER CERT_COOKIE CERT_FLAGS CERT_ISSUER CERT_KEYSIZE CERT_SECRETKEYSIZE CERT_SERIALNUMBER CERT_SERVER_ISSUER CERT_SERVER_SUBJECT CERT_SUBJECT CONTENT_LENGTH 0 CONTENT_TYPE Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 4 Juillet 2011 GATEWAY_INTERFACE CGI/1.1 HTTPS Off HTTPS_KEYSIZE HTTPS_SECRETKEYSIZE HTTPS_SERVER_ISSUER HTTPS_SERVER_SUBJECT INSTANCE_ID 1 INSTANCE_META_PATH /LM/W3SVC/1 LOCAL_ADDR 192.168.5.61 LOGON_USER PATH_INFO /nmc/httpheader.asp PATH_TRANSLATED F:\nmc_210\Web\httpheader.asp QUERY_STRING REMOTE_ADDR 192.168.5.200 REMOTE_HOST 192.168.5.200 REMOTE_USER REQUEST_METHOD GET SCRIPT_NAME /nmc/httpheader.asp SERVER_NAME west SERVER_PORT 80 SERVER_PORT_SECURE 0 SERVER_PROTOCOL HTTP/1.0 SERVER_SOFTWARE Microsoft-IIS/6.0 URL /nmc/httpheader.asp HTTP_CONNECTION Keep-Alive HTTP_ACCEPT image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* HTTP_ACCEPT_LANGUAGE fr HTTP_COOKIE NOPAut=Username=sysadmin&Password=E8356458D210FB8 97885E7B35F4CAB4 HTTP_HOST west HTTP_USER_AGENT Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1) HTTP_UA_CPU x86 Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 5 Juillet 2011 Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 6 Juillet 2011 Quelles sont les spécificités de la configuration des produits Newtest pour le SSO ? P our la configuration du SSO sous Newtest, nous vous conseillons de vous procurer la documentation d’implémentation. Toutefois, voici les éléments spécifiques nécessaires au bon fonctionnement de l’interconnexion de l’AD et de Newtest. • Les clés de registres Windows De nouvelles clés de registres Windows sont créées : • base HKLM\SOFTWARE\Auditec sa\NEWTEST SERVER clé valeur chaîne ADPassword : mot de passe de l’utilisateur du domaine clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de lecture au niveau du serveur LDAP Clé de registre serveur reporting • base HKLM\SOFTWARE\Auditec sa\Enterpriseportal clé valeur chaîne ADPassword : mot de passe de l’utilisateur du domaine clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de lecture au niveau du serveur LDAP Les mots de passe sont cryptés durant l’utilisation de notre utilitaire configtool (installdir\web\bin). Si pour une nécessité quelconque, vous deviez mettre à jour les données des registres Windows, utilisez la commande : configtool -adu « nom de l’utilisateur » -adp « mot de passe de l’utilisateur » • Les paramètres d’application Associés aux clés de registres, de nouveaux paramètres d’application sont liés à l’option LDAP. Ils sont configurables via le menu de Gestion des paramètres d’application : • LDAPServerAddress : URL LDAP utilisée pour toutes les requêtes vers l’AD • LDAPAuthentification : booléen d’activation de l’authentification LDAP Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 7 Juillet 2011 Comment activer le SSO au niveau du NMC et du NRS ? ette nouvelle fonctionnalité est soumise à la licence « LDAP authentification » au niveau du serveur NMC. Il faut donc : • Disposer d’une licence ayant l’option LDAP activée ; • Activer l’authentification LDAP via les paramètres d’application ; • Configurer l’utilisateur AD et le mot de passe utilisé pour l’interrogation de l’AD ; • Renseigner l’URL du LDAP : • Configurer les règles AD (menu utilisateurs/règles AD) : association groupe AD et profil utilisateur Newtest ; C Attention les règles AD Newtest (association groupe AD et profil utilisateur Newtest) ne se configurent qu’au niveau du serveur NMC. Ces même règles seront diffusées à Newtest Reporting via le DWH par les lots ETL. Un déclenchement de transfert de données NMC/DWH et DWH /Newtest Reporting est donc nécéssaire avant l’utilisation du SSO Newtest au niveau du NRS. Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 8 Juillet 2011 Quelles sont les éléments de l’AD interrogés et obligatoires pour un bon fonctionnement avec Newtest ? otre interrogation LDAP est basée sur certains champs de l’AD. N Pour les groupes (génération des associations groupes AD profil utilisateur Newtest) : Nom objectClass groupType Obligatoire Oui Oui cn distinguishedName sAMAccountName member Oui Oui Oui Non Valeur group -2147483646 ou 2147483640 Pour les utilisateurs (vérification d’appartenance au groupe AD référencés dans Newtest et création du compte local Newtest): Nom objectClass objectCategory sAMAccountName distinguishedName userPrincipalName sn givenName mail homePhone Obligatoire Oui Oui Oui Oui Oui Non Non Non Non Valeur user person Nous parcourrons l’AD à partir de la racine. Mais seul certains types de groupe sont éligibles pour l’association groupe AD et profil utilisateur Newtest. Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 9 Juillet 2011 La liste de tous les types présents dans l’Active Directory ainsi que tous les groupes utilisables sont donnés dans le tableau ci-dessous : les groupes « global » et « universel » de type security Group Scope Domain local Global Universal Group Type Security NOK OK OK Distribution NOK NOK NOK Quels sont les flux de données LDAP/AD /Newtest ? N otons trois mécanismes bien distincts : • définition des associations groupe AD et profil utilisateur Newtest : ce mécanisme se base sur : o interrogation à partir du root de l’AD de tous les groupes de type global ou universel o utilisation de l’utilisateur et mot de passe des clés de registre pour collecter la liste des groupes AD o utilisation de l’URL LDAP de tblconfig pour l’interrogation de l’AD • contrôle des droits d’accès d’un utilisateur du domaine en SSO o récupération des groupes AD des ADRules de la base Newtest o liste de tous les « member of » de ces groupes en utilisant l’utilisateur AD de la registry o vérification de la présence de l’utilisateur dans un de ces groupes o si test OK création de l’utilisateur s’il n’existe pas et s’il appartient à un groupe de règles démarrage de session o si test KO refus de connexion si l’utilisateur n’appartient pas à un des groupes de règles • contrôle des droits d’accès d’un utilisateur de domaine se signant via la page d’authentification Newtest o test de connexion à l’AD en utilisant identifiant et mot de passe saisie dans la page d’authentification Newtest o si test OK récupération des groupes AD des ADRules de la base Newtest Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 10 Juillet 2011 liste de tous les « member of » de ces groupes en utilisant l’utilisateur AD de la registry vérification de la présence de l’utilisateur dans un de ces groupes si test OK • création de l’utilisateur si il n’existe pas et s’il appartient à un groupe de règles • démarrage de session si test KO • refus de connexion si l’utilisateur n’appartient pas à un des groupes de règles Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 11 Juillet 2011 Soit pour le contrôle des droits d’accès d’un utilisateur du domaine en SSO : NEP user Web Browser Htlm header AUTH_USER Query NEP URL IIS 5 Serveur LDAP Home page access 2 NEP WEB SITE Home Page NEP WEB SITE Login Page Query member of Ad group On LDAP://DEV_DOMAIN Check auth_user is member 3 Query Ad rules Ad Groups 1 NMC Databases Create user if necessary 4 Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 12 Juillet 2011 Soit pour la définition des associations groupe AD et profil utilisateur Newtest : NEP user Nep Administration profile IIS Serveur LDAP NEP WEB SITE Adrules Page Query Ad group Global and universal on root domain On LDAP://DEV_DOMAIN With Aduser and Adpassword 1 Write Ad rules Bind Ad Groups and Newtest user profile 2 NMC Databases Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 13 Juillet 2011 Soit pour le contrôle des droits d’accès d’un utilisateur de domaine se signant via la page d’authentification Newtest : NEP user Query NEP URL IIS 6 1 Home page access NEP WEB SITE Home Page Serveur LDAP Connexion with user/password LDAP://DEV_DOMAIN NEP WEB SITE Login Page 3 Query member of Ad group On LDAP://DEV_DOMAIN Check auth_user is a member 4 Query Ad rules Ad Groups 2 NMC Databases Create user if necessary 5 Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 14 Juillet 2011 Comment installer cette fonctionnalité ? Le document Newtest_LDAP_v11_EN.pdf permet la mise en service et la configuration des différents éléments du SSO sous Newtest. Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 15