Service Creatio, enterprise edition
PDF
Это документация Creatio версии 7.9.0. Мы рекомендуем использовать новую версию документации.

Как настроить аутентификацию по протоколу NTLM

Для использования функциональности аутентификации по протоколу NTLM необходимо зарегистрировать пользователей в системе вручную или импортировать из LDAP и предоставить им лицензии. Также необходимо, чтобы в настройках браузера пользователей была разрешена запись локальных данных в cookie-файлы.

Настройка NTLM-аутентификации осуществляется на сервере, где развернуто приложение, и включает в себя:

Настройку сервера IIS, которая активирует аутентификацию по протоколу NTLM.

Настройку файла Web.config приложения-загрузчика, которая определяет провайдеров аутентификации и порядок проверки наличия пользователей среди зарегистрированных в bpm’online.

Настройка сервера IIS

1.Для приложения-загрузчика включите проверку подлинности Windows и анонимную аутентификацию, а также отключите аутентификацию форм (Рис. 437).

Рис. 437 — Активация аутентификации Windows для приложения загрузчика в настройках IIS

chapter_ldap_synchronization_ntlm_auth.png 

2.Во всех рабочих приложениях внутри приложения-загрузчика выключите проверку подлинности Windows и анонимную аутентификацию, а также включите аутентификацию форм (Рис. 438).

Рис. 438 — Активация аутентификации форм в настройках IIS

chapter_ldap_synchronization_ntlm_auth_work_apps.png 

3.Для сервисов уровня 0/ServiceModel включите проверку подлинности Windows и анонимную аутентификацию, а также отключите аутентификацию форм, чтобы активировать работу сервисов с доменной авторизацией (Рис. 437).

Обратите внимание, что анонимная аутентификация приложения-загрузчика и рабочих приложений должна выполняться под пользователем Application Pool Identity. Для этого перейдите в окно редактирования данных для входа пункта Authentication при помощи кнопки [Edit] в боковом меню [Actions] менеджера IIS, и выберите пользователя “Application Pool Identity” (Рис. 439).

Рис. 439 — Указание пользователя для анонимной аутентификации в настройках IIS

chapter_ldap_synchronization_ntlm_auth_anonymous.png 

На заметку

Подробнее о настройке аутентификации Windows читайте в справочной документации Microsoft.

Настройка файла Web.config приложения-загрузчика

1.Откройте для редактирования файл Web.config приложения-загрузчика.

2.Укажите в файле провайдеры аутентификации Windows, например:

auth providerNames = “InternalUserPassword,SSPLdapProvider,Ldap”
autoLoginProviderNames = “NtlmUser,SSPNtlmUser”

[InternalUserPassword] — провайдер, указанный в файле Web.config по умолчанию. Если вы хотите предоставить возможность аутентификации по NTLM-протоколу только пользователям, которые не синхронизированы с LDAP, не указывайте для параметра providerNames дополнительные значения.

[Ldap] — добавьте к значениям параметра [providerNames] данный провайдер, чтобы предоставить возможность аутентификации по NTLM-протоколу пользователям основного приложения, которые синхронизированы с LDAP.

[SSPLdapProvider] — добавьте к значениям параметра [providerNames] данный провайдер, чтобы предоставить возможность аутентификации по NTLM-протоколу пользователям портала самообслуживания, которые синхронизированы с LDAP.

[NtlmUser] — добавьте к значениям параметра [autoLoginProviderNames] данный провайдер, чтобы предоставить возможность аутентификации по NTLM-протоколу пользователям основного приложения, независимо от того, синхронизированы ли они с LDAP и какой тип аутентификации установлен для данных пользователей в bpm’online.

[SSPNtlmUser] — добавьте к значениям параметра [autoLoginProviderNames] данный провайдер, чтобы предоставить возможность аутентификации по NTLM-протоколу пользователям портала самообслуживания, независимо от того, синхронизированы ли они с LDAP и какой тип аутентификации установлен для данных пользователей в bpm’online.

Порядок записи провайдеров параметра [autoLoginProviderNames] определяет, в каком порядке выполняется проверка наличия пользователя системы среди пользователей основного приложения (NtlmUser) или среди пользователей портала (SSPNtlmUser). Например, чтобы проверка осуществлялась в первую очередь среди пользователей основного приложения, укажите провайдер [NtlmUser] первым в списке значений параметра [autoLoginProviderNames].

Важно

Вы можете указать в качестве значения параметра [autoLoginProviderNames] провайдер [SSPNtlmUser], только если указан дополнительно провайдер [NtlmUser]. Существует возможность использовать отдельно только провайдер [NtlmUser].

3.Если вы хотите активировать сквозную аутентификацию, чтобы пользователь имел возможность авторизоваться в bpm’online, минуя страницу входа, укажите значение “true” для параметра [UsePathThroughAuthentication] элемента <appSettings>:

<appSettings>
<add key="UsePathThroughAuthentication" value="true" />
...
</appSettings>

Для отображения страницы входа в систему с доступной ссылкой [Войти под доменным пользователем] укажите значение “false” для параметра [UsePathThroughAuthentication].

Смотрите также

Аутентификация по протоколу NTLM

Как работает аутентификация по протоколу NTLM

Как осуществляется вход в систему при настроенной аутентификации по протоколу NTLM

Был ли данный материал полезен?

Как можно улучшить эту статью?