Configurazione della pre-autenticazione

Configurazione della pre-autenticazione

In questa sezione:

Nella pre-autenticazione, WebFOCUS confida che l'autenticazione è già avvenuta e che le informazioni di identità dell'utente sono state inoltrate a WebFOCUS, tramite uno dei metodi descritti nei seguenti argomenti. In questa configurazione, WebFOCUS non visualizza una pagina di accesso agli utenti. Certe funzioni WebFOCUS, come l'accesso anonimo e l'abilità per gli utenti di modificare le proprie parole d'ordine, dovrebbero essere disabilitate.

La pre-autenticazione offre vari benefici, come l'esperienza dell'accesso singolo (SSO) per utenti e l'autenticazione centralizzata per amministratori, eliminando il bisogno di sincronizzare password tra WebFOCUS e un'altra origine. A seconda del metodo di pre-autenticazione scelto, potrebbe essere necessario eseguire ulteriori passaggi per assicurarsi che la configurazione della pre-autenticazione non sia compromessa. Per esempio, se l'ID utente pre-autenticato verrà inoltrato in una intestazione HTTP, risulta necessario eseguire dei passaggi per assicurarsi che il valore di questa intestazione non venga compromesso.

Se un utente esegue l'accesso da una zona di sicurezza configurata per la pre-autenticazione, WebFOCUS in modo automatico:

Nasconde il link Cambia Password sulla pagina di benvenuto e su qualsiasi portale.
Nasconde il link Disconnetti sulla pagina di benvenuto, ma non lo nasconde automaticamente sui portali.
Per i portali, o disabilitare il link Disconnetti nella propria barra del menu o impostare un valore appropriato per l'impostazione IBI_Signout_Redirect_URL, per evitare di causare un loop infinito di tentativi di accesso non riusciti.

Per esempio, se si sta usando un sistema di gestione di accesso web o OpenID, impostare IBI_Signout_Redirect_URL al valore specificato dalla documentazione del fornitore. Se si sta usando l'autenticazione di Windows, impostare il valore su un URL completamente qualificato al di fuori dell'applicazione web di WebFOCUS. Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione.

Configurazione della pre-autenticazione con l'autenticazione Windows

Come:

configurare la pre-autenticazione con l'autenticazione Windows

È possibile configurare WebFOCUS per pre-autenticare gli utenti di Microsoft Windows, autenticati da Microsoft Internet Information Services (IIS) con le proprie opzioni di autenticazione di base o con l'autenticazione di Windows. Questa configurazione richiede la configurazione di un plug-in che abilita IIS per inoltrare in modo protetto le identità al container dell'applicazione web Java che ospita WebFOCUS. Ulteriori informazioni per IIS con Tomcat e IIS con la configurazione WebSphere sono incluse nella seguente procedura.

Alcuni problemi da poter affrontare con l'autenticazione Windows includono:

L'autenticazione Windows potrebbero avvenire usando NT LAN Manager (NTLM) o usando Kerberos, a seconda della negoziazione tra IIS e il browser web. WebFOCUS supporta sia NTLM e Kerberos. La configurazione descritta in questa sezione della documentazione è sufficiente per la maggior parte delle installazioni WebFOCUS. Tuttavia, la delegazione Kerberos richiede ulteriori passaggi. Per ulteriori passaggi sulla configurazione della delega Kerberos, consultare Configurazione Kerberos per Accesso Singolo.
In via generale, IIS sospende il dominio Windows dell'utente all'ID utente inoltrato a WebFOCUS, nel formato nome dominio/ID utente. Per impostazione predefinita, WebFOCUS elimina il dominio e la barra rovesciata (\) dal valore, lasciando solo l'ID utente, che viene quindi usato per completare il processo di accesso. Per modificare questo comportamento, cambiare l'impostazione stripDomain su true nella sezione j2eepreauthPreference di uno o entrambi i file di securitysettings.xml o securitysettings-zone.xml, a seconda dei propri requisiti.
Per impostazione predefinita, Internet Explorer usa automaticamente l'autenticazione di Windows solo con indirizzi web nel modulo http://machinename. Per aabilitare l'autenticazione di Windows per utenti che accedono WebFOCUS da http://machinename.domain.com, si potrebbe dover riconfigurare le impostazioni della zona intranet locale su Internet Explorer o computer utente.

Procedura: Come configurare la pre-autenticazione con l'autenticazione Windows

Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

Si consiglia inoltre di eseguire il backup del file securitysettings.xml prima di modificarlo.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Aprire il file drive:/ibi/WebFOCUS81/config/securitysettings.xml in text editor, eseguire le seguenti modifiche e quindi salvare il file.
1. Nella sezione filterPreference del file, impostare anonymousAuthEnabled su false, formAuthEnabled su false, and j2eePreAuthFilterEnabled su true.
2. Per impostazione predefinita, WebFOCUS rimuove il prefisso del dominio Windows dall'ID utente fornito da IIS. Se si desidera mantenere il prefisso del dominio, impostare stripDomain su false nella sezione j2eepreauthPreference del file.
Abilitare il proprio container Java per dare fiducia all'ID utente inoltrato dal connettore.
- Per Tomcat, aprire il file /tomcat/conf/server.xml, aggiungere la parola chiave tomcatAuthentication nel blocco Connettore AJP ed impostarlo su false, come illustrato nella seguente immagine.
```
 
<Connector port="8009" protocol="AJP/1.3"
tomcatAuthentication="false" redirectPort="8443" />
```
- Per WebSphere, consultare la documentazione di WebSphere per istruzioni o usare la variabile WebSphere REMOTE_USER per esporre l'ID utente che il connettore IIS inoltra a WebFOCUS.
Se si pianifica di disabilitare il link Disconnetti nelle barre menu del proprio portale, continuare al passaggio 4. Se i propri portali si visualizzeranno nel collegamento Disconnetti, è necessario impostare un indirizzo di disconnessione alternativo, per evitare di creare un loop infinito di tentativi di disconnessione.
1. Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
2. Nella console di gestione, selezionare Configurazione, quindi Impostazioni Applicazione e Sicurezza.
3. Nel campo IBI_Signout_Redirect_URL, immettere l'URL completamente qualificato di una pagina al di fuori dell'applicazione web WebFOCUS.
  Fare clic su Salva e uscire dalla console di gestione.
Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione.
Riavviare l'applicazione web di WebFOCUS.

Se si abilita la zona alternata, come consigliato, è ora possibile accedere a WebFOCUS usando l'autenticazione interna, se ci si trova sul computer WebFOCUS. L'URL è http://localhost/ibi_apps.

In alternativa, la pre-autenticazione consente di accedere a WebFOCUS, eseguendo l'accesso a http://machinename/ibi_apps da qualsiasi postazione di lavoro.

Nota: Se il browser web non è configurato per usare automaticamente l'autenticazione di Windows con il dominio, il browser richiederà le credeziali agli utenti, quando si esegue l'accesso usando http://machinename.domain.com/ibi_apps.

Configurazione pre-autenticazione con i sistemi di gestione accesso web

Come:

configurare la pre-autenticazione con i sistemi di gestione accesso web

I sistemi di gestione dell'accesso web, inclusi Oracle Access Manager (formerly Oblix), and IBM Tivoli Access Manager WebSEAL, possono essere usati per abilitare l'accesso singolo (SSO) con WebFOCUS. Questi sistemi rilevano le richieste a WebFOCUS, assicurando che l'utente sia autenticato e autorizzato ad accedere a WebFOCUS, quindi a fornire una intestazione HTTP, in cui WebFOCUS è in grado di trovare l'ID utente pre-autenticato. Poiché questi sistemi rilevano e popolano l'intestazione HTTP su ogni richiesta, WebFOCUS può fidarsi che l'ID utente trovato nell'intestazione HTTP sia valido.

Procedura: Come configurare la pre-autenticazione con i sistemi di gestione accesso web

Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

Si consiglia inoltre di eseguire il backup del file securitysettings.xml prima di modificarlo.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
Selezionare Diagnostica, quindi Info Richiesta HTTP. Verificare lo spelling del nome di intestazione HTTP che WebFOCUS userà per la pre-autenticazione.
Nota: Alcune configurazioni server web cambiano i nomi dell'intestazione HTTP. Per esempio, i simboli di sottolineatura (_) devono essere sostituiti con trattini (-) o le lettere cambiano da maisucole a minuscole.
Selezionare Configurazione, quindi Impostazioni Applicazione e quindi Sicurezza.
Nel campo IBI_Signout_Redirect_URL, immettere un indirizzo di accesso valido per il proprio sistema di gestione accesso web e fare clic su Salva.
Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione.
Aprire il file drive:/ibi/WebFOCUS81/config/securitysettings.xml in text editor, eseguire le seguenti modifiche e quindi salvare il file.
1. Nella sezione filterPreference del file, impostare anonymousAuthEnabled su false, preAuthEnabled su true e formAuthEnabled su false.
2. Nella sezione requestHeaderPreAuthenticatedPreference, impostare principalRequestHeader nel nome dell'intestazione HTTP che conterrà l'ID utente pre-autenticato. Il valore è sensibile alle maiuscole/minuscole, ma lo spelling deve corrispondere allo spelling della console di gestione.
  Per CA SiteMinder, il valore è di solito SM_USER. Per IBM Tivoli Access Manager WebSEAL, il valore è di solito iv-user. Per Oracle Access Manager, non è presente un valore predefinito. Per ulteriori informazioni, consultare il proprio amministratore Oracle Access Manager.
Riavviare l'applicazione web di WebFOCUS.

Configurazione della pre-autenticazione con Java Container Security

Come:

configurare la pre-autenticazione con Java Container Security

I container Java, come Apache Tomcat, IBM WebSphere e Oracle WebLogic sono in grado di autenticare utenti per conto di WebFOCUS. Il container Java usa la chiamata getRemoteUser() per fornire ID a WebFOCUS.

Procedura: Come configurare la pre-autenticazione con Java Container Security

Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

Si consiglia inoltre di eseguire il backup del file securitysettings.xml prima di modificarlo.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Aprire il file drive:/ibi/WebFOCUS81/config/securitysettings.xml in text editor, eseguire le seguenti modifiche e quindi salvare il file.
1. Nella sezione filterPreference del file, impostare anonymousAuthEnabled su false, formAuthEnabled su false e J2eePreAuthFilterEnabled su true.
2. Consultare la propria documentazione del container Java per ulteriori istruzioni sull'abilitazione dell'autenticazione J2EE.
Se si pianifica di disabilitare il link Disconnetti nelle barre menu del proprio portale, continuare al passaggio 3. Se i propri portali si visualizzeranno nel collegamento Disconnetti, è necessario impostare un indirizzo di disconnessione alternativo, per evitare di creare un loop infinito di tentativi di disconnessione.
1. Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
2. Nella console di gestione, selezionare Configurazione, quindi Impostazioni Applicazione e Sicurezza.
3. Nel campo IBI_Signout_Redirect_URL, immettere l'URL completamente qualificato di una pagina al di fuori dell'applicazione web WebFOCUS.
4. Fare clic su Salva e uscire dalla console di gestione.
Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione.
Riavviare l'applicazione web di WebFOCUS.

Configurazione della pre-autenticazione con OpenID

Come:

configurare la pre-autenticazione con OpenID

Un fornitore OpenID è in grado di autenticare utenti per WebFOCUS. I fornitori supportati includono account Google e Yahoo®, ma è anche possibile usare un fornitore OpenID presente a livello internazionale. WebFOCUS supporta solo un fornitore OpenID per installazione. Assicurarsi di configurare l'URL di disconnessione appropriato.

Per ulteriori informazioni sulla configurazione di OpenID, consultare la documentazione del fornitore OpenID.

Procedura: Come configurare la pre-autenticazione con OpenID

Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

Si consiglia inoltre di eseguire il backup del file securitysettings.xml prima di modificarlo.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Aprire il file nel drive:/ibi/WebFOCUS81/config/securitysettings.xml in text editor, eseguire le seguenti modifiche e salvare il file.
1. Nella sezione filterPreference del file, impostare anonymousAuthEnabled su false, formAuthEnabled su false e openIDAuthEnabled su true.
2. Nella sezione openIDPreference, immettere l'URL fornitore OpenID come impostazione claimedIdentityFieldValue. Immettere l'attributo di denominazione che WebFOCUS sarà in grado di usare per OpenID come impostazione attributeNameForAccountID.
  Per impostazione predefinita, claimedIdentityFieldValue è impostata all'URL appropriato per Google Account. Il valore predefinito per attributeNameForAccountID è email.
Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
Selezionare Configurazione, quindi Impostazioni Applicazione e quindi Sicurezza.
Nel campo IBI_Signout_Redirect_URL, immettere un indirizzo di disconnessione valido per il fornitore OpenID, quindi fare clic su Salva.
Per esempio, per Google Account, immettere:
```
https://www.google.com/accounts/Logout
```
Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione. Per ulteriori informazioni sugli indirizzi di disconnessione per OpenID, consultare la documentazione fornitore OpenID.
Riavviare l'applicazione web di WebFOCUS.

Configurazione della pre-autenticazione con SAML 2.0

WebFOCUS offre accesso singolo sul supporto di SAML 2.0. Per ulteriori informazioni sulla configurazione di SAML con CA SiteMinder or CA CloudMinder, consultare:

https://techsupport.informationbuilders.com/tech/wbf/wbf_rln_saml_2.html

Configurazione della pre-autenticazione con servizio di autenticazione centrale (CAS)

Come:

È possibile configurare WebFOCUS per usare il servizio di autenticazione centrale (CAS) per la pre-autenticazione. CAS consente ai client, come applicazioni web, di autenticare utenti senza avere accesso alle credenziali di sicurezza utente. Invece, il client si auto autentica al server CAS, che quindi risulta in un ticket di sicurezza al client, per convalidare che quella connessione risulti sicura. Il client convalida il ticket, fornendo il ticket e il proprio identificatore di servizio al server CAS, il quale restituisce informazioni protette se un utente individuale è stato autenticato.

Se il server CAS usa un certificato autofirmato, in molti casi, sarà necessario aggiungere il certificato di firma dell'autorità ai certificati radice protetti per JVM usato da WebFOCUS.

Procedura: Come configurare la pre-autenticazione con il servizio di autenticazione centrale

Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

Si consiglia inoltre di eseguire il backup del file securitysettings.xml prima di modificarlo.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Aprire il file nel drive:/ibi/WebFOCUS81/config/securitysettings.xml in text editor, eseguire le seguenti modifiche e salvare il file.
1. Nella sezione filterPreference del file, impostare anonymousAuthEnabled su false, formAuthEnabled su false e casAuthEnabled su true.
2. Nella sezione CasPreference, personalizzare i valori per loginURL, serviceURL e casServerUrlPrefix.
  
  loginURL
  
  Specifica il protocollo server CAS, porta e accesso URL.
  
  serviceURL
  
  Specifica il protocollo, porta e contesto WebFOCUS.
  
  casServerUrlPrefix
  
  Specifica il protocollo, porta e contesto server CAS.
  
  Nota: Le impostazioni sendRenew, chiave e ticketValidatorClassName non devono essere modificate.
Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
Selezionare Configurazione, quindi Impostazioni Applicazione e quindi Sicurezza.
Nel campo IBI_Signout_Redirect_URL, immettere un indirizzo di disconnessione valido per il server CAS (per esempio, https://CASserver.ibi.com/cas/logout), quindi fare clic su Salva.
Quando gli utenti si disconnettono a WebFOCUS con questo URL, termina sia la sessione WebFOCUS che CAS.

Per ulteriori informazioni sull'impostazione IBI_Signout_Redirect_URL, consultare Impostazioni protezione. Per ulteriori informazioni sugli indirizzi di disconnessione per CAS, consultare la documentazione server CAS.
Riavviare l'applicazione web di WebFOCUS.

Se si sta usando un certificato, firmato da una autorità di certificato protetto, WebFOCUS è ora configurato per usare l'autenticazione CAS. Se si sta usando un certificato autofirmato, sarà necessario aggiungere il certificato di firma dell'autorità ai certificati radice protetti per JVM usato da WebFOCUS. Per ulteriori informazioni, consultare Come aggiungere un certificato autofirmato al CAS Certificate Store .

Esempio: Aggiornamento di casPreferences nel file securitysettings.xml

Il seguente codice è un esempio su come alterare la sezione casPreference nel file securitysettings.xml per implementare la pre-autenticazione per CAS.

<bean id="casPreference" class="com.ibi.webapp.security.config.WFCasPreference">
<property name="loginUrl" value="https://CASServer:port/cas/login"/>
<property name="serviceUrl" value="http://WebFOCUSServer:port/ibi_context/"/>
<property name="sendRenew" value="false"/>
<property name="key" value=""/>
<property name="casServerUrlPrefix" value="https://CASServer:port/cas"/>
<property name="ticketValidatorClassName" value=""/>
</bean>

dove:

CASServer:port: Il server e la porta CAS.
WebFOCUSServer:port/ibi_context/: Il server, la porta e la directory radice di contesto WebFOCUS.

Procedura: Come aggiungere un certificato autofirmato al CAS Certificate Store

Se si sta usando un certificato autofirmato, sarà necessario aggiungere il certificato alla radice protetta, i certificati per il JVM usato da WebFOCUS.

Nota: Questa attività non è necessaria se si sta usando un certificato firmato da una autorità di certificato protetta.

Interrompere il server Tomcat.
Navigare a Tomcat JDK e localizzare il file cacerts. Di solito, il file cacerts si torva nella cartella JDK\jre\lib\security\.
1. Nella cartella che contiene il file cacerts, eseguire il seguente comando:
```
..\..\..\bin\keytool -import
-alias youralias -keystore cacerts -file path\to\youralias.crt                      
```
  dove:
  
  youralias
  
  L'alias assegnato al proprio certificato.
  
  youralias.crt
  
  File certificato.
2. Se si richiede per la password, immettere changeit. Se richiesto di importare un certificato, immettere sì.
Riavviare il server Tomcat.

Esempio: Errori Convalida CAS

Errori di convalida CAS potrebbero avvenire se si sta usando un certificato autofirmato non aggiunto al magazzino di certificati affidabili. In questi casi, si riceverà un errore simile al seguente:

[YYYY-MM-DD hh:mm:ss,sss] ERROR 
org.jasig.cas.client.validation.Cas20ServiceTicketValidator
http-apr-8080-exec-2 - javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target 
javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
.
.
.
... 60 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(Unknown Source)
at java.security.cert.CertPathBuilder.build(Unknown Source)
... 66 more

Configurazione della pre-autenticazione con soluzioni di accesso singolo personalizzate (SSO)

È possibile integrare WebFOCUS con altre applicazioni, per fornire agli utenti una esperienza di accesso singolo (SSO). Per esempio, gli utenti sono in grado di eseguire l'accesso ad una applicazione web esistente con credenziali convalidate dall'applicazione. Se gli utenti fanno clic su pulsanti o collegamenti che li collegano ad un portale WebFOCUS, si potrebbe voler consentire agli utenti di eseguire l'accesso automatico a WebFOCUS, piuttosto che richiedere di fornire di nuovo le password.

Il miglior modo per eseguire questa integrazione è quello tramite lo sviluppo di un filtro servlet Java personalizzato, dentro l'applicazione web di WebFOCUS. Il servizio di supporto clienti è in grado di sviluppare una soluzione personalizzata, basata su IBIServletFilter. In alternativa, se gli utenti accedono a WebFOCUS tramite ISS, è possibile installare un modulo HTTP usando ASP.NET in IIS.

Le soluzioni personalizzate di solito seguono uno dei seguenti approcci:

One-Time Token

L'utente inizia una connessione a WebFOCUS facendo clic su un collegamento, pulsante o scheda nell'applicazione web esistente. L'applicazione web crea una stringa casuale, o token, e memorizza l'ID utente in un database che WebFOCUS è in grado di accedere. Questo token si inoltra a WebFOCUS con la richiesta di connessione da parte di reindirizzamento HTTP 302, avviata dal server di applicazione o da una richiesta JavaScript asincrono, avviata dall'applicazione nel browser web.

Quando IBIServletFilter determina l'assenza di una sessione WebFOCUS, associata con questa richiesta SSO, il servlet esegue una richiesta ODBC al database condiviso per recuperare l'ID utente associato con il token. La riga di elimina dal database per impedire al token di riusarla. L'ID utente è impostato come valore di una intestazione HTTP personalizzata, che viene inoltrato a WebFOCUS nella pre-autenticazione.

Segreto Condiviso

L'utente inizia una connessione a WebFOCUS facendo clic su un collegamento, pulsante o scheda nell'applicazione web esistente. L'applicazione web crea una hash dell'ID utente che integra un segreto condiviso con IBIServletFilter. L'hash quindi si inoltra a WebFOCUS. IBIServletFilter genera una hash dell'ID utente usando lo stesso segreto e algoritmo e lo paragona all'hash inoltrata nella richiesta. Se c'è corrispondenza, l'ID utente risulta di fiducia. Se non c'è corrispondenza, la connessione viene rifiutata.

Integrazione SAML

L'applicazione web potrebbe essere in grado di generare una asserzione SAML contenente l'ID utente e altre informazioni. È possibile modificare IBIServletFilter per convalidare l'asserzione SAML inoltrata dall'applicazione ed impostare una intestazione HTTP con l'ID utente.

Nota: Inoltrando semplicemente l'ID utente in una intestazione o cookie HTTP non crea una implementazione SSO protetta. È inoltre necessario fornire alcuni mezzi per assicurarsi che l'ID utente sia valido.

Per esempio, se si inoltra semplicemente l'ID utente in una intestazione ID, chiamato SSO_USER, un utente non autorizzato potrebbe usare un plug-in del browser web, per generare quell'intestazione HTTP e popolarla con qualsiasi ID utente valido. WebFOCUS non è in grado di sapere che l'intestazione HTTP è stata creata da un processo non autorizzato. L'uso di token di sicurezza, segreti condivisi o integrazione SAML fornisce la convalida necessaria per impedire questa situazione.

Per ulteriori informazioni su una soluzione SSO personalizzata, contattare il servizio di supporto clienti.

Configurazione della pre-autenticazione con carte accesso comune, utilizzando lo Standard Infrastruttura Chiave Pubblica (PKI).

In questa sezione:

Come:

abilitare la pre-autenticazione con un certificato PKI Client

United States Department of Defense emette una smart card chiamata Common Access Card (CAC) per l'identificazione di tutti i dipendenti e appaltatori del Department of Defense. Quando usate con la configurazione appropriata di lettura carta su un computer dell'utente finale, con un server web configurato per richiedere certificati lato-client, seguendo gli standard di Public Key Infrastructure (PKI), è possibile usare queste carte per eseguire l'autenticazione basata sul certificato.

WebFOCUS è in grado di recuperare gli attributi del nome comune o nome principale utente dal certificato utente fornito e di usare l'attributo per popolare la variabile REMOTE_USER. Si fornisce un accesso protetto a WebFOCUS usando CAC.

Requisiti Pre-Installazione

È necessario configurare il server web per richiedere agli utenti i certificati lato client, usando PKI. Il software di lettura carte ActivIdentity™ deve essere installato correttamente su computer di utenti finali, prima di configurare WebFOCUS Client per convalidare il certificato del cliente. Per informazioni sull'impostazione del software ActivIdentity, consultare la documentazione fornita dal dipartimento della difesa.

LA PROCEDURA Prima di iniziare, eseguire i seguenti passaggi se non già effettuati:

Creare un account amministratore WebFOCUS.
Abilitare l'accesso superuser a WebFOCUS.
Abilitare la zona alternativa.

L'ID utente dell'account dell'amministratore WebFOCUS deve essere il valore dell'attributo del certificato scelto per l'impostazione IBI_PKI_Userid_Source.

Per esempio, se l'amministratore WebFOCUS ha un nome comune (CN) di Joe.Smith.1122334455 e IBI_PKI_Userid_Source è impostato su cn, l'ID utente WebFOCUS deve essere Joe.Smith.1122334455. Se l'amministratore WebFOCUS ha un nome principale utente (UPN) di 1122334455@mil e IBI_PKI_Userid_Source è impostato su upn, l'ID utente WebFOCUS deve essere 1122334455@mil.

Per ulteriori informazioni sulla creazione di un account dell'amministratore WebFOCUS, consultare Come creare un account amministratore WebFOCUS per le origini esterne. Per ulteriori informazioni sull'abilitazione della zona alternativa, consultare Come abilitare la zona alternativa. Per ulteriori informazioni sull'abilitazione dell'accesso del superuser, consultare Come abilitare l'accesso dell'utente con privilegi.

Procedura: Come abilitare la pre-autenticazione con un certificato PKI Client

Accedere alla console di gestione di WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
Selezionare Configurazione, quindi Impostazioni Applicazione, quindi selezionare PKI.
Modificare le impostazioni PKI come necessario e salvare le proprie modifiche.
Gli attributi sono attivati appena salvati. Non risulta necessario reciclare il server di applicazione.

Riferimento: Impostazioni di Sicurezza per la pre-autenticazione con un certificato PKI Client

IBI_PKI_Filter_Enabled

Consente di attivare il filtro PKI che estrarrà l'attributo specifico nell'impostazione IBI_PKI_Userid_Source per popolare REMOTE_USER. Managed Reporting e ReportCaster devono essere configurati separatamente per utilizzare la variabile REMOTE_USER per effettuare l'accesso. Il valore predefinito è False. Per ulteriori informazioni, consultare Configurazione della pre-autenticazione.

IBI_PKI_Userid_Source

Specifica l'attributo al certificato da usare per popolare l'ID utente specificato da REMOTE_USER. I valori possibili sono:

cn. Il nome comune per il certificato. Per esempio, Joe.Smith.1122334455.
soggetto. L'attributo soggetto per il certificato. Questo è il valore predefinito.
upn. L'attributo userPrincipalName dalla sezione Nome alternativo soggetto del certificato. Per esempio, 1122334455@mil.

A causa del modo in cui UPN è codificato, è necessario avere una copia della libreria Bouncy Castle Java Cryptography all'interno del percorso classi. È possibile scaricarla dal sito web Bouncy Castle in http://www.bouncycastle.org/java.html.

IBI_PKI_Allow_IP

Consente di specificare un elenco di indirizzi IP, separati da punti e virgola (;), che sarà in grado di passare il filtro PKI, anche con l'assenza di un certificato client valido nella richiesta. L'indirizzo IP del server di distribuzione di ReportCaster deve essere inserito in questo elenco per consentire al server di distribuzione di recuperare i contenuti di WebFOCUS. Un elenco di esempio potrebbe avere questo aspetto:

127.0.0.1;127.0.0.2

Se un indirizzo IP non è specificato qui e non è stato fornito un certificato client, il filtro PKI restituirà un errore 403 non consentito quando si tenta l'accesso.

Considerazioni di Developer Studio

In questo momento, Developer Studio non supporta la fornitura si un certificato client usando PKI. Non è possibile usare Developer Studio in un ambiente dove questa funzione è stata configurata.

Configurazione Kerberos per Accesso Singolo

In questa sezione:

WebFOCUS supporta l'accesso singolo (SSO) tra un browser web, WebFOCUS Client e WebFOCUS Reporting Server per Windows. Questo include il supporto di impersonificazione sul Reporting Server, ovvero la capacità SSO può essere estesa tramite adattatori RDBMS che supporta connessioni protette, incluso Microsoft SQL Server. Questo argomento spiega come configurare l'ambiente SSO, che usa il supporto Kerberos nativo in Active Directory.

La capacità SSO richiede un dominio Active Directory in un livello funzionale Windows 2000 o superiore:

Apache Tomcat 6 superiore, in modalità indipendente o dietro a Microsoft Internet Information Server. Consenti Anonimo deve essere la sola opzione configurata su IIS.
WebFOCUS Client Release 8.0 Versione 02 o superiore.
WebFOCUS Reporting Server per Windows Release 8.0 Versione 02 o superiore, configurato con sicurezza OPSYS.

Limiti

ReportCaster. È possibile usare ReportCaster in un ambiente Kerberos. Per dettagli di configurazione e ulteriori requisiti di release, consultare Configurazione del supporto per ReportCaster.
WebFOCUS Client e Reporting Server sullo stesso computer. Quando entrambi i componenti sono sullo stesso computer, è necessario specificare la parola chiave HOST per il nodo nel formato nome computer. L'uso del localhost o di un nome dominio completamente qualificato risulta in errori nel run-time. Se i componenti si trovano su computer diversi, è possibile usare o il formato nome computer o il formato nome dominio qualificato. La parola chiave HOST si specifica nella sezione Servizi Remoti della console di gestione. Per ulteriori informazioni, consultare Impostazioni del Reporting Server.
Browser web. Kerberos non è supportato tra un browser web e WebFOCUS quando i due si trovano sullo stesso computer Windows.
Gli utenti che appartengono a molti gruppi. L'implementazione Kerberos memorizza ogni gruppo a cui un utente appartiene all'interno del proprio ticket Kerberos. Questa situazione potrebbe risultare in dimensioni di ticket superiori, quando gli utenti appartengono a centinaia di gruppi. Per dettagli di configurazione, consultare Configurazione del supporto di ticket di grandi dimensioni.
Formato ID Utente. Quando si usa Kerberos, è necessario creare l'ID utente usando il formato
```
user_ID@domain.com
```
dove:

user_ID

ID utente appropriato.

domain.com

Un dominio e estensione disponibili.
Suffisso Dominio. In via generale, Kerberos sospende il dominio Windows dell'utente all'ID utente inoltrato a WebFOCUS, nel formato utente ID@domain.com. Per impostazione predefinita, WebFOCUS estrae il dominio dal valore, lasciando solo l'ID utente. L'ID utente quindi si usa per completare il processo di accesso. Per accodare il dominio, cambiare l'impostazione stripDomainSuffix su false, nella sezione kerberosPreference del file securitysettings.xml.

Passaggi per la pre-installazione per Windows 2003 e Windows 2008

Un amministratore di rete con i privilegi di gestione dominio deve eseguire i seguenti passaggi pre-installazione. Le immagini campione si applicano ad ambienti Windows 2003 o Windows 2008.

Nota: Se si sta eseguendo Windows 2008, potrebbe risultare necessario installare il seguente patch Microsoft per il proprio controller dominio, per supportare l'uso di un file keytab Kerberos:

http://support.microsoft.com/kb/951191

Procedura: Come eseguire i passaggi di pre-installazione per Windows 2003 e Windows 2008

Creare un account di servizio in Active Directory per la funzione WebFOCUS SSO.
Il valore specificato per Field 1 deve iniziare con HTTP in caratteri maiuscoli. Il formato è
```
HTTP/computername.domain.ext                  
```
dove:

computername.dominio.ext

Il nome dominio completamente qualificato del computer su cui si installerà WebFOCUS Client.

Il valore specificato per Field 2 diventa l'attributo sAMAccountName per l'account di servizio. Il formato è
```
http_computername                  
```
dove:

computername

Il nome del computer su cui si installerà WebFOCUS Client.

La seguente immagine è un esempio della finestra di dialogo Nuovo Oggetto - Utente. Mostra campi impostati nel formato consigliato, indicante che WebFOCUS Client sarà installato su un computer chiamato wf-kerb.
Sulla finestra di dialogo Nuovo Oggetto - Utente, fare clic su Avanti. La casella di dialogo richiede la propria password, come illustrato nella seguente immagine.
1. Nei campi Password e Conferma Password, immettere una password.
2. Selezionare le caselle di spunta per Utente non in grado di modificare la password e Password non scade mai, quindi fare clic su Avanti.
  Si visualizza una finestra di dialogo di conferma, indicante che l'utente sarà creato con le proprietà visualizzate.
Fare clic su Fine per andare alle proprietà di account servizio.
Revisionare le proprietà per l'account di servizio, come illustrato nella seguente immagine.

Nota: La scheda Delega non si visualizza nella finestra di dialogo Proprietà. La scheda Delega non si visualizzerà fino all'esecuzione del comando ktpass, come descritto nel passaggio 5.
Eseguire il comando ktpass per impostare l'attributo servicePrincipalName (SPN) sul proprio account di servizio e per generare il file keytab Kerberos per WebFOCUS.
È necessario eseguire ktpass dalla linea di comando, sul controllore dominio su una linea. Sostituire i propri valori nell'esempio che segue. Mantenere una copia della sintassi di comando che si usa. Questo elemento potrebbe risultare necessario per risolvere problemi, legati agli obiettivi, in futuro.

Il formato del comando ktpass è
```
ktpass /out filename /mapuser user_ID /princ principal /crypto encryption/pass password /ptype KRB5_NT_PRINCIPAL
```
Dove:

filename

Il nome che ktpass userà per creare il file keytab Kerberos. Il valore consigliato è http_computername.keytab.

user_ID

Il valore sAMAccountName fornito nel passaggio 1.

principale

Specificato concatenando il valore del nome di accesso utente, fornito nel passaggio 1 con @REALM, dove REALM rappresenta il settore Kerberos. Il settore Kerberos è di solito lo stesso del suffisso DNS di Active Directory, tranne che è in caratteri maiuscoli.

codifica

L'opzione di codifica che si userà quando si crea il file keytab. Si potrebbe voler scaricare gli strumenti di supporto Microsoft più recenti, per una versione del comando ktpass che supporta il valore consigliato di RC4-HMAC-NT.

Nota: Se uno qualsiasi dei computer sul proprio network si sta eseguendo su Windows 2008, Windows R2, Windows 7, o successivo, è necessario scegliere RC4-HMAC-NT per questi computer, per funzionare correttamente con Kerberos. Microsoft ha rimosso tutto il supporto per DES in versioni successive di Windows.

parola d'ordine

La password Windows associata con l'account di servizio, in un testo semplice.

Un comando ktpass formattato in modo corretto, che si applica agli esempi, forniti in precedenza in questa sezione, è:
```
C:\>ktpass /out http_wf-kerb.keytab /mapuser http_wf-kerb /princ
HTTP/wf-kerb.ibi.com@IBI.COM /crypto RC4-HMAC-NT /pass password1
/ptype KRB5_NT_PRINCIPAL
```
Windows risponde con i seguenti messaggi:
```
Targeting domain controller: ibidca.ibi.com
Successfully mapped HTTP/wf-kerb.ibi.com to http_wf-kerb.
Key created.
Output keytab to http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL)
vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x0df97e7355555817c828671454137af0)
```
Il commando ktpass aggiunge un attributo chiamato servicePrincipalName (SPN) e modifica l'attributo userPrincipalName (UPN), come illustrato nella seguente immagine.
Localizzare l'account del computer dove si installerà WebFOCUS Client e selezionare il pallino Computer attendibile per la delega a qualsiasi servizio (solo Kerberos), come illustrato nella seguente immagine.
Selezionare l'account di servizio.
La scheda Delega ora si visualizza nella finestra di dialogo Proprietà, come illustrato nella seguente immagine.

Nota: Prima di eseguire il comando ktpass, la scheda Delega non si visualizza. Dopo aver eseguito il comando ktpass, l'opzione Delega risulta disponibile.
Se non si stanno usando intestazioni host, copiare il file keytag risultante (per esempio, http_wf-kerb.keytab) sul computer in cui si installerà WebFOCUS. Se si stanno usando intestazioni host, consultare Passaggi per la pre-installazione per Windows 2003 e Windows 2008.

Supporto Intestazione Host

Se si stanno usando una o varie intestazioni host, è necessario eseguire i seguenti passaggi.

Procedura: Come implementare il supporto intestazione host

La seguente procedura presume che sono presenti due nomi intestazione host, ovvero wf-kerb1 e wf-kerb2.

Aggiungere record A per ogni intestazione host in DNS, puntando allo stesso indirizzo IP come nome NetBIOS.
Nota: Non creare record C.

Eseguire un comando ktpass per ogni intestazione host, usando il seguente formato:

ktpass /in filename /out filename /princ principal /crypto encryption/pass password /ptype KRB5_NT_PRINCIPAL

Per wf-kerb1, eseguire il seguente comando ktpass:

ktpass /in c:\keytab\http_wf-kerb.keytab 
/out c:\keytab\http_wf-kerb.keytab 
/princ HTTP/wf-kerb1.ibi.com@IBI.COM /crypto RC4-HMAC-NT 
/pass password1 /ptype KRB5_NT_PRINCIPAL

L'emissione risultante è:

Existing keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
NOTE: creating a keytab but not mapping principal to any user.
      For the account to work within a Windows domain, the
      principal must be mapped to an account, either at the
      domain level (with /mapuser) or locally (using ksetup)
      If you intend to map HTTP/wf-kerb1.ibi.com@IBI.COM to an
      account through other means or don't need to map the
      user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\keytab\http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)

Per wf-kerb2, eseguire il seguente comando ktpass:

ktpass /in c:\keytab\http_wf-kerb.keytab 
/out c:\keytab\http_wf-kerb.keytab 
/princ HTTP/wf-kerb2.ibi.com@IBI.COM /crypto RC4-HMAC-NT 
/pass password1 /ptype KRB5_NT_PRINCIPAL

L'emissione risultante è:

Existing keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
NOTE: creating a keytab but not mapping principal to any user.
      For the account to work within a Windows domain, the
      principal must be mapped to an account, either at the
      domain level (with /mapuser) or locally (using ksetup)
      If you intend to map HTTP/wf-kerb2.ibi.com@IBI.COM to an
      account through other means or don't need to map the
      user, this message can safely be ignored.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\keytab\http_wf-kerb.keytab:
Keytab version: 0x502
keysize 63 HTTP/wf-kerb.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 2 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)
keysize 64 HTTP/wf-kerb1.ibi.com@IBI.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 1 etype
0x17 (RC4-HMAC) keylength 16 (0x5835048ce94ad0564e29a924a03510ef)

Eseguire i seguenti comandi setspn.

Nota: È possibile fare riferimento all'intestazione host in due modi, o usando il nome di dominio completamente qualificato, o usando il nome ad una parte. Per esempio, è possibile fare riferimento alla prima intestazione host come wf-kerb1.ibi.com (nome dominio completamente qualficato) o come wf-kerb1 (come ad una parte). Come risultato, quando si eseguono comando setspn in questo passaggio, ci sono quattro immissioni.

Esegui:

setspn -A HTTP/wf-kerb1.ibi.com ibi\http_wf-kerb

L'emissione risultante è:

Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb1.ibi.com
Updated object

Esegui:

setspn -A HTTP/wf-kerb1 ibi\http_wf-kerb

L'emissione risultante è:

Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb1
Updated object

Esegui:

setspn -A HTTP/wf-kerb2.ibi.com ibi\http_wf-kerb

L'emissione risultante è:

Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb2.ibi.com
Updated object

Esegui:

setspn -A HTTP/wf-kerb2 ibi\http_wf-kerb

L'emissione risultante è:

Registering ServicePrincipalNames for CN=http_wf-kerb,OU=USERS,OU=DEVELOPMENT,
O=BIPG,OU=COR,DC=ibi,DC=com
       HTTP/wf-kerb2
Updated object

Passaggi della configurazione di WebFOCUS Client

La seguente procedura descrive i passaggi per la configurazione di WebFOCUS Client.

Procedura: Come configurare WebFOCUS Client per l'autenticazione solo con Kerberos

Accedere a WebFOCUS come amministratore e selezionare Centro di Sicurezza dal menu Gestione.
Aggiungere un ID utente amministrativo al gruppo Amministratori. Il formato di questo ID utente dipenderà dall'impostazione kerberosPreference di stripDomainSuffix. Il valore consigliato predefinito è impostato su true, ovvero l'ID utente non conterrà le informazioni di suffisso dominio.
Se sono necessarie le informazioni di suffisso dominio:
```
<property name="stripDomainSuffix" value="false" />
```
L'ID utente verrà creato nel seguente formato:
```
user_ID@mydomain.extension
```

Nel file drive:\ibi\WebFOCUS81\config\securitysettings.xml, effettuare le seguenti modifiche:

Nella sezione <bean id="filterPreference"> , impostare i valori per anonymousAuthEnabled e formAuthEnabled su false e per spnegoAuthEnabled su true.

La sezione ora contiene il seguente codice:

<property name="anonymousAuthEnabled" value="false"/>
<property name="formAuthEnabled" value="false"/>
<property name="stripDomainSuffix" value="true"/>
.
.
.
<property name="spnegoAuthEnabled" value="true"/>

Nella sezione <bean id="kerberosPreference">, eseguire le seguenti modifiche:

<property name="servicePrincipal" value="HTTP/wf-kerb.ibi.com" />
<property name="keyTabLocation" value="file:c:/ibi/WebFOCUS81/
   webapps/webfocus/WEB-INF/http_wf-kerb.keytab" />

Dalla console di gestione, selezionare Configurazione, quindi Reporting Server e Servizi Remoti.
Selezionare la modalità Reporting Server per l'autenticazione Kerberos e fare clic su Modifica.
Selezionare Kerberos e fare clic su Salva.
Configurare il proprio browser web prima di verificare la propria configurazione di accesso singolo Kerberos.

Nota: Se si desidera estendere la capacità SSO su un RDBMS, come un server Microsoft SQL, impostare l'opzione di sicurezza adattatore per il Reporting Server su Protetto.

Procedura: Come configurare WebFOCUS Client per Kerberos con Forms Fallback Authentication

Accedere a WebFOCUS come amministratore e selezionare Centro di Sicurezza dal menu Gestione.
Aggiungere un ID utente amministrativo al gruppo Amministratori. Il formato di questo ID utente dipenderà dall'impostazione kerberosPreference di stripDomainSuffix. Il valore consigliato predefinito è impostato su true, ovvero l'ID utente non conterrà le informazioni di suffisso dominio.
Se sono necessarie le informazioni di suffisso dominio:
```
<property name="stripDomainSuffix" value="false"/>
```
L'ID utente verrà creato nel seguente formato:
```
user_ID@mydomain.extension
```

Nel file drive:\ibi\WebFOCUS81\config\securitysettings.xml, effettuare le seguenti modifiche:

Nella sezione <bean id="filterPreference"> , impostare i valori per anonymousAuthEnabled e formAuthEnabled su false e per spnegoAuthEnabled su true.

La sezione ora contiene il seguente codice:

<property name="anonymousAuthEnabled" value="false"/>
<property name="formAuthEnabled" value="true"/>
<property name="stripDomainSuffix" value="true"/>
<property name="formAuthenticationFallbackEnabled" value="true"/>
.
.
.
<property name="spnegoAuthEnabled" value="true"/>

Nella sezione <bean id="kerberosPreference">, eseguire le seguenti modifiche:

<property name="servicePrincipal" value="HTTP/wf-kerb.ibi.com"/>
<property name="keyTabLocation" value="file:c:/ibi/WebFOCUS81/
   webapps/webfocus/WEB-INF/http_wf-kerb.keytab"/>

Dalla console di gestione, selezionare Configurazione, quindi Reporting Server e Servizi Remoti.
Selezionare la modalità Reporting Server per l'autenticazione Kerberos e fare clic su Modifica.
Selezionare Kerberos e fare clic su Salva.
Configurare il proprio browser web prima di verificare la propria configurazione di accesso singolo Kerberos.
Nota:
- Il modulo Autenticazione per immettere credenziali è in grado di essere interno, usando il contenitore WebFOCUS, o esterno, usando il Reporting Server. Questo dipende dall'impostazione IBI_Authentication_Type.
- Se si desidera estendere la capacità SSO ad un RDBMS, come il server Microsoft SQL, impostare l'opzione di sicurezza dell'adattatore per il Reporting Server su Protetto.

Configurazione Browser Web

La capacità SSO richiede un dominio Active Directory in un livello funzionale Windows 2000 o superiore: I seguenti browser sono supportati:

Microsoft Internet Explorer 8 o superiore.
Google Chrome™ 25.0.1364.152m (sebbene anche le versioni precedenti potrebbero funzionare).
Mozilla Firefox® 19.02 o successivo (sebbene anche le versioni precedenti potrebbero funzionare).

Procedura: Come configurare Internet Explorer Version 8 o superiore

Selezionare Opzioni Internet dal menu Strumenti.
Sulla scheda Sicurezza, selezionare la zona Intranet Locale, quindi fare clic su Siti.
Fare clic su Avanzato.
Immettere o un jolly per tutti i nomi host nel proprio DNS che verrà considerato parte dell'intranet local, o immettere il nome di solo un computer, dove si esegue WebFOCUS e fare clic su Aggiungi, come illustrato nella seguente immagine.
Fare clic su Chiudi, quindi su OK e ancora OK, per salvare le modifiche.
Selezionare la scheda Avanzato dalle Opzioni Internet e assicurarsi che Abilitare l'Autenticazione Windows Integrata sia selezionata nella sezione Sicurezza.

Procedura: Come configurare Mozilla Firefox

Immettere about:config nel campo dell'indirizzo e premere sul tasto Invio.
Immettere network.negotiate nel campo Ricerca, per localizzare le due impostazioni di fiducia. Si aggiungerà il proprio dominio a queste due impostazioni.
Fare doppio clic sull'immissione network.negotiate-auth.trusted-uris, aggiungere le informazioni di dominio per il server che esegue WebFOCUS e quindi fare clic su OK.
Fare doppio clic sull'immissione network.negotiate-auth.delegation-uris, come illustrato nella seguente immagine.
Aggiungere le informazioni di dominio, quindi fare clic su OK.

Procedura: Come Configurazione di Google Chrome

In molti casi, non si richiede nessuna configurazione speciale per Google Chrome in un ambiente Microsoft Windows. Sia l'autenticazione NTLM che Kerberos possono di solito essere completate senza nessuna modifica delle norme Chrome o parametri in linea di comando speciali. Se necessario, le impostazioni possono essere configurate con i parametri linea di comando.

Per esempio, per impostare il parametro auth-server-whitelist, avviare Chrome dalla linea di comando come segue:

 "C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe"
 --auth-server-whitelist="example.com"

Procedura: Come verificare la configurazione di WebFOCUS

Verificare il proprio accesso singolo Kerberos sulla configurazione, accedendo al portale di Business Intelligence (BIP), tramite uno dei propri browser precedentemente configurati.
La sintassi è:
```
http://server.url.domain:port/context                  
```
Se Kerberos è stato configurato in modo corretto e il proprio ID utente è stato aggiunto a Managed Reporting, come indicato in precedenza, si dovrebbe eseguire l'accesso a BIP, usando le proprie credenziali Kerberos.
Assicurarsi che WebFOCUS Client è in grado di delegare l'autenticazione al Reporting Server, tentando di eseguire un prospetto rispetto al nodo configurato Kerberos.
Il file di registrazione edaprint del Reporting Server registrerà richiesta per cmrpip0000xx per Kerberos connessione all'agente e rifletterà il proprio ID di accesso Windows nel formato UPN.

Configurazione del supporto per ReportCaster

L'autenticazione Kerberos richiede una connessione sincrona tra il Reporting Server e la sessione browser utente, ma ReportCaster non usa una sessione browser mentre esegue prospetti pianificati. Quindi, ReportCaster deve fornire Kerberos una password e ID utente per abilitare i prospetti.

Lo strumento di configurazione del server di ReportCaster, configurare ognuno dei server dati con cui ReportCaster è impostato a comunicare. Impostare Esegui Tipo ID su Utente per assicurarsi che si richiedano agli utenti finali le password e ID utente, una volta per ogni nodo.

In alternativa, impostare Esegui Tipo ID in Statico e fornire l'ID e password utente che si useranno per tutte le pianificazioni per il Reporting Server.

Procedura: Come configurare Server Dati di ReportCaster

Accedere a WebFOCUS come amministratore e selezionare Console di ReportCaster dal menu Strumenti.
Selezionare la scheda Configurazione e aprire la cartella Server Dati.
Selezionare il nodo desiderato e modificare le seguenti impostazioni.
1. Dall'elenco a discesa Tipo Sicurezza, selezionare Utente o Statico.
2. Se si seleziona Statico, fare clic sul pulsante a destra del campo Utente.
3. Nella finestra di dialogo Utente, immettere la password e ID utente e fare clic su OK.
4. Fare clic sul pulsante Salva per salvare le modifiche.

Configurazione del supporto di ticket di grandi dimensioni

L'implementazione di Microsoft Windows di Kerberos posiziona tutti gli identificatori gruppo di Windows all'interno del ticket Kerberos di ogni utente, in grado di poter risultare in un ticket di dimensioni maggiori per un utente che appartiene a molti gruppi. Il ticket Kerberos si trasporta in una intestazione HTTP, che comporta vari problemi tecnici, quando la dimensione del ticket diventa grande. Se qualsiasi utente appartiene a più di 100 gruppi, si potrebbe dover eseguire alcune o tutte le seguenti azioni di configurazione speciali:

Estendere la propria dimensione buffer intestazione HTTP Tomcat Server. Per eseguire questa azione, aggiungere l'impostazione maxHttpHeaderSize=”xx, dove xx rappresenta il numero di byte in multipli di 4096. Questa impostazione potrebbe aver bisogno fino a 65,536 byte. Aggiungere questa impostazione al blocco connettore 8080 o 8009, nel file server.xml per Tomcat, a seconda di quale blocco si sta usando.
Su ogni stazione di servizio a cui gli utenti accedono, i quali appartengono a molti gruppi:
- Configurare Windows per usare TCP per l'autenticazione Kerberos (invece di UDP). Questa azione si esegue nel registro, impostando MaxPacketSize su 1. Per ulteriori informazioni, consultare Microsoft Knowledge Base Articolo 244474.
- configurare MaxTokenSize in 65535. Per ulteriori informazioni, consultare Microsoft Knowledge Base Articolo 269643.
  È inoltre necessario impostare MaxTokenSize per i controllori di dominio.

Impostazione WebFOCUS con Kerberos in un ambiente multi-dominio

Questo argomento descrive gli ulteriori passaggi necessari per consentire a Kerberos di funzionare correttamente in un ambiente di multi-domini o sottodomini.

Per esempio, se sono presenti utenti che sono membri di SUBA.MYDOMAIN.COM, SUBB.MYDOMAIN.COM e MYDOMAIN.COM e tutti questi utenti necessitano di accedere all'ambiente Kerberos, è necessario seguire le direzioni in questo argomento.

Per gestire le ulteriori impostazioni di configurazione richieste per Kerberos, per lavorare in modo appropriato su un ambiente multi-domini, è necessario creare un file di configurazione Kerberos, chiamato krb5.ini. Questo file contiene tutte le ulteriori informazioni necessarie per Kerberos, per funzionare quando si stanno usando vari domini.

Varie versioni di Java hanno un bug che non consente a vari domini di funzionare in modo corretto, anche con la configurazione krb5.ini. Come risultato, potrebbe essere necessario aggiornare la propria versione di Java. Per dettagli sul bug Java, andare al seguente prospetto bug Java:

Procedura: Come creare un file krb5.ini per gestire le impostazioni Kerberos

Creare un nuovo file di testo chiamato krb5.ini.
È possibile creare questo file ovunque sul sistema file, in quanto, in seguito, si fa riferimento esplicitamente alla posizione. Per lo scopo di questo esempio, creare in file in:
```
C:\ibi\WebFOCUS81\config\krb5.ini
```
All'inizio del file krb5.ini, inserire le seguenti linee del codice per la sezione [libdefaults].
Sostituire il nome default_realm, MYDOMAIN.COM, nell'ultima riga dell'esempio con il nome DNS completamente qualificato per il dominio del computer che WebFOCUS Client ha aderito.

Immettere il nome default_realm i caratteri maiuscoli, in quanto sensibile alle maiuscole/minuscole.
```
[libdefaults]   
    ticket_lifetime = 600   
    default_tgt_enctypes = rc4-hmac   
    default_tgs_enctypes = rc4-hmac   
    default_checksum     = rsa-md5   
    forwardable = true   
    default_realm = MYDOMAIN.COM
```
Dopo la sezione [libdefaults], inserire le seguenti linee di codice per la sezione [realms]. Includere una immissione per ogni dominio e sottodominio che si userà, come illustrato nella seguente immagine.
Se i domini e sottodomini condividono controlli di dominio, è possibile creare una sezione [realms] qui e fare riferimento alle relazioni nella prossima sezione, [domain_realm]. La sezione [domain_realm] si trova nella sezione 4.
```
[realms]
MYDOMAIN.COM = {   
   kdc = dc1.mydomain.com:88
   kdc = dc2.mydomain.com:88
   kdc = dc3.mydomain.com:88
   default_domain = mydomain.com
}
SUBA.MYDOMAIN.COM = {
   kdc = dc1.suba.mydomain.com:88
   kdc = dc2.suba.mydomain.com:88
   default_domain = suba.ibi.com
}
SUBB.MYDOMAIN.COM = {
   kdc = dc1.subb.mydomain.com:88
   kdc = dc2.subb.mydomain.com:88
   default_domain = subb.ibi.com
}
```
Come nella sezione [libdefaults], i valori nella sezione [realms] sono sensibili alle maiuscole/minuscole. Per esempio, il primo nome di riferimento (come MYDOMAIN.COM nel primo blocco nell'esempio) deve essere in caratteri maiuscoli e il valore per default_domain deve essere in caratteri minuscoli.

Ogni immissione per kdc deve fare riferimento al nome DNS di un controllore di dominio per il dominio applicabile. Si richiede solo una immissione kdc per dominio elencato, ma varie immissioni kdc creano ridondanze.
Questo passaggio è facoltativo. Per mappare ulteriori domini o nomi host ad un realm specifico, inserire le seguenti linee di codice nella sezione opzionale [domain_realm].
Un dominio si collega al settore dello stesso nome, ma il nome del settore è in caratteri maiuscoli. Come risultato, le seguenti voci sono ripetitive:
```
[domain_realm]
   .suba.mydomain.com = SUBA.MYDOMAIN.COM
   .subb.mydomain.com = SUBB.MYDOMAIN.COM
   .mydomain.com = MYDOMAIN.COM
```
Per ulteriori informazioni sulla sezione [domain_realm], consultare le specificazioni MIT Kerberos nel seguente sito web:

http://web.mit.edu/kerberos/krb5-1.4/krb5-1.4.1/doc/krb5-admin/domain_realm.html
Questo passaggio è facoltativo. Se applicabile al proprio sito, inserire le seguenti linee di codice nella sezione [capaths] opzionale.
La sezione [capaths] è necessaria solo in ambienti, il quale dominio principale non ha relazioni di fiducia unilaterali con tutti i domini secondari, o in ambienti, nei quali si usano gerarchie con vari domini.

In quelle situazioni, il protocollo Kerberos non è in grado di determinare come autenticare un utente da un dominio, per una risorsa in un altro dominio. Come risultato, le relazioni richieste per ottenere l'autenticazione devono essere mappate, per consentire a Kerberos di sapere quale percorso intraprendere per autenticare un utente. Le seguenti relazioni di fiducia si applicano:
- Dominio SUBA.MYDOMAIN.COM si affida unilateralmente a SUBB.MYDOMAIN.COM.
- Dominio SUBB.MYDOMAIN.COM si affida unilateralmente a MYDOMAIN.COM.
- Dominio SUBA.MYDOMAIN.COM non si affida a MYDOMAIN.COM.
In questo esempio, Kerberos è in grado di autenticare direttamente qualsiasi utente da SUBA.MYDOMAIN.COM, per qualsiasi risorsa in SUBB.MYDOMAIN.COM. Per autenticare un utente in SUBA.MYDOMAIN.COM con MYDOMAIN.COM, è necessario autenticare quell'utente tramite SUBB.MYDOMAIN.COM, poiché SUBA.DOMAIN.COM non ha una relazione di fiducia diretta con MYDOMAIN.COM.
```
[capaths]
SUBA.MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
SUBB.MYDOMAIN.COM {
SUBA.MYDOMAIN.COM = .
MYDOMAIN.COM = .
}
MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
SUBA.MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
```
Nel primo blocco si trovano le informazioni per l'autenticazione di un utente da SUBA.MYDOMAIN.COM. Kerberos è in grado di autenticare un utente da SUBA.MYDOMAIN.COM rispetto SUBB.MYDOMAIN.COM, come rappresentato al periodo (.). Per autenticare un utente da SUBA.MYDOMAIN.COM rispetto a MYDOMAIN.COM, Kerberos deve andare al contrario rispetto a SUBB.MYDOMAIN.COM. Questo è il motivo per cui il codice dichiara MYDOMAIN.COM =SUBB.MYDOMAIN.COM.

Nel secondo blocco si trovano le informazioni per l'autenticazione di un utente da SUBB.MYDOMAIN.COM. In quanto Kerberos è in grado di autenticare direttamente un utente da SUBB.MYDOMAIN.COM, rispetto sia a SUBA.MYDOMAIN.COM che MYDOMAIN.COM, un punto (.) è incluso in entrambe queste colonne.

Nel terzo blocco si trovano le informazioni per l'autenticazione di un utente da MYDOMAIN.COM. Kerberos è in grado di autenticare direttamente un utente da MYDOMAIN.COM, per risorse in SUBB.MYDOMAIN.COM, rappresentato da un punto (.). Kerberos deve autenticare un utente da SUBA.MYDOMAIN.COM, passando prima tramite SUBB.MYDOMAIN.COM.

Per ulteriori informazioni sull'uso della sezione [capaths] con il protocollo Kerberos, consultare il seguente documento da MIT:

http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/capaths.html

Il proprio file krb.ini avrà un aspetto simile al seguente, alla fine dell'operazione:

[libdefaults]
   ticket_lifetime = 600
   default_tgt_enctypes = rc4-hmac
   default_tgs_enctypes = rc4-hmac
   default_checksum = rsa-md5
   forwardable = true
   default_realm = MYDOMAIN.COM
[realms]
MYDOMAIN.COM = {
   kdc = dc1.mydomain.com:88
   kdc = dc2.mydomain.com:88
   kdc = dc3.mydomain.com:88
   default_domain = mydomain.com
}
SUBA.MYDOMAIN.COM = {
   kdc = dc1.suba.mydomain.com:88
   kdc = dc2.suba.mydomain.com:88
   default_domain = suba.ibi.com
}
SUBB.MYDOMAIN.COM = {
   kdc = dc1.subb.mydomain.com:88
   kdc = dc2.subb.mydomain.com:88
   default_domain = subb.ibi.com
}
[domain_realm]
   .suba.mydomain.com = SUBA.MYDOMAIN.COM
   .subb.mydomain.com = SUBB.MYDOMAIN.COM
   .mydomain.com = MYDOMAIN.COM
[capaths]
SUBA.MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}
SUBB.MYDOMAIN.COM {
SUBA.MYDOMAIN.COM = .
MYDOMAIN.COM = .
}
MYDOMAIN.COM {
SUBB.MYDOMAIN.COM = .
SUBA.MYDOMAIN.COM = SUBB.MYDOMAIN.COM
}

Procedura: Come Specificare la posizione di krb5.ini in Apache Tomcat

Per consentire a Kerberos di usare il proprio file krb5.ini in WebFOCUS, è necessario fare riferimento alla posizione del file usando la seguente opzione Java™. È possibile specificare l'opzione -Djava.security.krb5.conf in Tomcat, come descritto nella seguente procedura.

Navigare alla bin directory di Tomcat.
Di solito, la bin directory si trova nella seguente posizione:
```
C:\ibi\tomcat\bin\
```
Fare doppio clic su tomcat7WFw.exe per aprire la finestra di dialogo della configurazione Tomcat.
Selezionare la scheda Java e aggiungere la seguente immissione alla fine dell'elenco di Opzioni Java.
```
-Djava.security.krb5.conf=C:\ibi\WebFOCUS81\config\krb5.ini
```
Se si sceglie una posizione diversa in cui memorizzare il proprio file krb5.ini, è necessario fare riferimento a quella posizione, invece della posizione nell'esempio precedente.
Fare clic su Applica per salvare l'impostazione.
Interrompere Tomcat e quindi riavviarlo per applicare l'impostazione.

WebFOCUS