Configurazione dell'autenticazione Shibboleth

Questa sezione descrive come configurare Shibboleth in modo da poter usare Service Desk o Asset Manager con il criterio di accesso Solo Shibboleth.

Per ulteriori dettagli e informazioni specifiche sulla configurazione di Shibboleth, fare riferimento alla documentazione su Shibboleth.

Shibboleth è formato da due componenti:

  • Un Identity Provider (IdP) – Un'applicazione Web configurata per dialogare con Active Directory. Visualizza una pagina Web di login in cui immettere le credenziali rilevanti e conferma l'identità dell'utente con i propri sistemi configurati.
  • Un Service Provider (SP) – Un componente aggiuntivo per il proprio server Web (ad esempio, IIS o Apache) configurato per proteggere determinati percorsi a siti Web (come /ServiceDesk.WebAccess). Reindirizza gli utenti al proprio IdP per accedere e passare le informazioni sulla propria identità alla propria applicazione web, aggiungendo intestazioni alla richiesta HTTP. Non è necessario che l'SP e l'IdP comunichino direttamente, ma devono essere configurati in modo da stabilire reciproche relazioni di trust. Il browser Web dell'utente richiede la visibilità di entrambi.

Se si sta utilizzando IIS, assicurarsi che la IIS 6 Management Compatibility Windows Feature sia installata sul proprio server Web.

Gli esempi in basso includono indirizzi di esempio, ricordarsi di sostituire tali indirizzi con i propri valori

Connessione al proprio IdP interno

Il primo passo richiede la connessione al proprio IdP interno.

Per connettersi al proprio IdP interno:

  1. Aprire la pagina https://localhost/Shibboleth.sso/Metadata sul proprio server Web per scaricare un file XML contenente informazioni dettagliate sull'SP.
  2. Salvare tale file con un nome univoco per il proprio SP.
  3. Sul proprio server Shibboleth, copiare il file XML dal passaggio precedente in C:\Program Files (x86)\Shibboleth\IdP\metadata.
  4. Aprire il file C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml in un editor di testo.
  5. Laddove richiesto dal commento, aggiungere una riga come la seguente utilizzando un ID univoco e il percorso al proprio file di metadati, che risulterà simile a:
Copia 
<MetadataProvider id="LocalMetadataUNIQUEID" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/example.com.xml"/>
  1. Salvare e chiudere il file.
  2. Riavviare il servizio Shibboleth 3 IdP Daemon, dopodiché disconnettersi dal server.
  3. Sul proprio server Web navigare in C:\Program Files\Shibboleth\etc\shibboleth e aprire il file shibboleth2.xml.
  4. Nella sezione <Sessions> sostituire il tag <SSO> con un testo simile a:
Copia 
<SSO entityID="https://www.example.com/idp/shibboleth"> SAML2 SAML1</SSO>
  1. Nella sezione <ApplicationDefaults>, aggiungere un tag a <MetadataProvider>:
Copia 
<MetadataProvider type="XML"
    uri="https://www.example.com/idp/shibboleth"
    backingFilePath="lab-shib01-idp-metadata.xml"
    reloadInterval="180000"/>
  1. Salvare il file, quindi riavviare IIS e il servizio Shibboleth 2 Daemon (predefinito).

In fondo all'elenco di variabili del server sono presenti alcuni valori relativi a Shibboleth, tra cui HTTP_EPPN, che conferma il nome utente registrato.

Ulteriori informazioni sulla sessione sono disponibili all'indirizzo https://webserver/Shibboleth.sso/Session.

Modifica del nome variabile del server in HTTP_LANDESK_USER

L'intestazione predefinita prevista dalle applicazioni Asset Manager e Service Desk per il nome utente registrato è HTTP_LANDESK_USER. È possibile escluderla nel file tps.config file in modo da abbinarla al valore predefinito (vedere Configurazione di Web Access per l'utilizzo di una variabile server diversa) oppure è possibile riconfigurare Shibboleth.

Configurazione e protezione di Service Desk e Asset Manager

Una volta associati i propri utenti Service Desk e Asset Manager a un login di rete mediante il componente Amministrazione della console e configurato il Criterio di accesso come descritto in Impostazione del criterio di accesso, è possibile proteggere la propria istanza di Web Access.

Per proteggere l'istanza di Web Access:

  1. Navigare in C:\Program Files\Shibboleth\etc\shibboleth e aprire shibboleth2.xml.
  2. Nella sezione <Host> aggiungere un nuovo tag <Path> con il nome della propria istanza di Web Access:
Copia 
<Host name="hd37f6c6dv3ctrh.example.com">
    <Path name="secure" authType="shibboleth" requireSession="true"/>
    <Path name="ServiceDesk.WebAccess" authType="shibboleth"
        requireSession="true"/>
</Host>
  1. Salvare il file, quindi riavviare IIS e il servizio Shibboleth 2 Daemon (predefinito).
  2. Passare alla pagina https://webserver/ServiceDesk.WebAccess
    L'utente ha effettuato l'accesso.

Web Access ricerca il valore HTTP_LANDESK_USER in due posizioni. Per prima cosa li ricerca nelle intestazioni HTTP popolate dall'SP Shibboleth. Dopodiché, li ricerca nella stringa delle query URL, che rappresenta il modo di testare l'autenticazione Shibboleth senza una configurazione dell'ambiente completamente integrata.

Per testare Web Access utilizzando la stringa di query URL, navigare in: https://webserver/ServiceDesk/WebAccess/[email protected].

Ciò non ha effetto sull'ambiente Shibboleth integrato. L'SP reindirizza comunque l'utente alla pagina di accesso IdP e popola l'intestazione HTTP, che assume la precedenza rispetto al valore URL.

Configurazione di Web Access per l'utilizzo di una variabile server diversa

Piuttosto che riconfigurare Shibboleth per l'utilizzo del nome attributo HTTP_LANDESK_USER, è possibile riconfigurare Web Access per l'utilizzo del nome attributo predefinito di HTTP_EPPN.

Per configurare Web Access per l'utilizzo di una variabile server diversa:

  1. Aprire il file tps.config per Web Access e aggiungere la riga:
Copia 
<add key="ShibbolethHeaderId" value="HTTP_EPPN" />
  1. Riciclare il pool di applicazioni utilizzato da Web Access.