Authentifications à W4 Engine en.net (SSO)

Transcription

1 Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Cette note technique a pour but d expliquer le mécanisme de fonctionnement de la connexion des utilisateurs à W4 Engine, notamment lorsque W4 Engine est couplé avec un annuaire de type LDAP. Elle expose donc les différents modes d authentification, la réplication des acteurs inexistants et enfin, expose les différentes possibilités de mise en œuvre d une authentification SSO en technologie.net. Sommaire 1 Rappels des modes d authentification standard Authentification interne : login standard W4 Engine Authentification externe : login SS Cohabitation et combinaison des authentifications 4 2 Mise en place de l authentification externe en.net Authentification intégrée Windows : SSO «simple» Délégation de l authentification à une classe tierce : Custom SSO 6 Référence : W4TN_SSO_NET_002_FR

2 Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) 2007 W4. Tous droits réservés. L'acquisition du présent document confère un droit d'utilisation incessible, non exclusif et personnel et non un droit de propriété. L'utilisation, la copie, la reproduction et la distribution du présent document sont permises à condition : 1. que la mention de droits d'auteur ci-dessus figure sur toutes les copies et que cette mention de droits d'auteur et la présente mention d'autorisation apparaissent conjointement ; 2. que le présent document ne soit utilisé qu'à des fins d'information et non commerciales ; 3. que le présent document ne soit modifié de quelque manière que ce soit. Tous les produits et marques cités sont la propriété de leurs titulaires respectifs. Les informations contenues dans ce document pourront faire l objet de modifications sans préavis.

3 1 Rappels des modes d authentification standard 1.1 Authentification interne : login standard W4 Engine Si aucun mécanisme d authentification externe n est en place, le moteur W4 Engine doit assurer l'authentification de ses utilisateurs. Il le fait : soit en utilisant la table interne des acteurs W4 Engine ; soit en utilisant un annuaire LDAP (si la configuration LDAP est active) Tous les comptes W4 Engine sont décrits dans une table qui contient, entre autres attributs des acteurs, leur identifiant (login) et leur mot de passe. Si aucun autre moyen n est disponible, l authentification se fait «contre» cette table en confrontant le mot de passe fourni et celui de la table. S il se trouve que le champ «mot de passe» est vide, l authentification contre la table des acteurs échouera toujours. L authentification devra se faire par un des autres moyens décrits ci-dessous. Dans le mode LDAP, l'utilisateur fournit son identifiant et son mot de passe qui sont récupérés par le moteur W4 Engine. W4 Engine transmet ensuite à l annuaire LDAP le couple identifiant/mot de passe pour validation. W4 Engine refuse la connexion si LDAP rend un verdict négatif. Ce fonctionnement est dit mode LDAP pur. Dans le mode LDAP avec repli, si LDAP n accrédite pas l utilisateur, le moteur W4 Engine se replie sur une tentative d authentification de l utilisateur «contre» la table des utilisateurs. La configuration du serveur permet de choisir l un ou l autre mode. Notons qu il est possible d exclure systématiquement certains comptes de l authentification LDAP car non présents dans l annuaire de l entreprise. Ces comptes devront avoir une entrée dans la table des acteurs avec un mot de passe non vide. Les comptes w4adm et automatic, qui ne représentent pas des utilisateurs réels référencés dans LDAP, sont dans ce cas. Cette liste de comptes peut être étendue. Remarques : Notons que même si LDAP est utilisé, l'authentification est toujours de la responsabilité du moteur W4 Engine. Mais au lieu de se référer à sa table d acteurs, le moteur «soustraite» l opération d authentification à un annuaire LDAP. Quand un acteur est authentifié contre LDAP et que «son» entrée dans la table des acteurs n existe pas, cette entrée est créée dans W4 Engine avec un mot de passe vide (les attributs de l acteur sont évidemment extraits de LDAP et répliqués dans W4 Engine). 3 NOTE TECHNIQUE Rappels des modes d authentification standard

4 1.2 Authentification externe : login SS0 Ce type d authentification n est possible qu à travers l interface web, elle est réalisée par le serveur web ou le serveur d application. Dans ce cas, l identifiant fourni par l utilisateur au serveur web ou au serveur d application est transmis, de façon transparente pour l utilisateur, à W4 Engine via son mode d authentification SSO. Le serveur web ou serveur d application informe ainsi W4 Engine que l'utilisateur se connectant est déjà authentifié. La commande login appelée vérifie que l identifiant de l acteur fourni en externe correspond bien à un acteur existant. La connexion est refusée si l identifiant de l utilisateur n existe pas dans la table W4 Engine. Dans ce mode, l'authentification de l utilisateur n'est donc pas faite par le moteur W4 Engine. Elle est externe. Toutefois, on peut coupler une configuration W4 Engine/LDAP à une authentification externe. Le fonctionnement sera alors le suivant: le serveur web ou d application assure l authentification ; W4 Engine assure la réplication d un acteur authentifié inexistant dans W4 Engine s'il existe dans l annuaire. Remarques : Si toutefois un identifiant est fourni en paramètre, il prend le dessus sur l identifiant externe transmis et l on se retrouve dans le cadre d une authentification interne. La possibilité de laisser le mot de passe à vide dans la table des acteurs est le moyen de garantir que l authentification W4 Engine ne pourra être réussie et donc de forcer l usage de l authentification externe. 1.3 Cohabitation et combinaison des authentifications Le mode «naturel» de fonctionnement de l interface web est le suivant : 1 Si le serveur web «annonce» l utilisateur comme identifié, l interface web en tient compte systématiquement. Le moteur W4 Engine «obéit» et accepte l utilisateur. En d autres termes l authentification externe ne peut être désactivée. 2 Cependant, même si l authentification externe est réalisée, elle est ignorée par l interface web si l utilisateur fournit un identifiant (éventuellement différent de celui de l authentification externe) et un mot de passe. Ceux-ci ont précédence sur l authentification externe. Ils sont récupérés par l interface web qui demandera une authentification interne au moteur W4 Engine sous ces coordonnées. Si l on «attaque» le moteur à travers les API c est l authentification interne qui est utilisée. Temporisation de sécurité : Si l authentification est interne, W4 Engine gère une temporisation de sécurité demandant à l utilisateur de s'authentifier à nouveau s il n a pas interagit pendant un certain temps avec le système. W4 BPM Suite NOTE TECHNIQUE 4 Authentifications à W4 Engine en.net (SSO)

5 Si l authentification est externe, W4 Engine suppose que ce mécanisme fait aussi partie des services offerts par l authentification externe et donc, pour ne pas interférer, W4 Engine ne gère pas de temporisation. 2 Mise en place de l authentification externe en.net 2.1 Authentification intégrée Windows : SSO «simple» Une page d accès à l application redirige vers la corbeille de l utilisateur s il existe dans W4 Engine. La connexion utilise le compte NT. Paramètres du web.config : <authentication mode="windows" /> <identity impersonate="true" /> Paramètres au niveau de l application Web (IIS) : Dans «connexions anonymes et contrôles d'authentification» : case "Authentification intégrée Windows" doit être la seule cochée. Paramètres au niveau du serveur W4 Engine : Un acteur ayant pour login le compte NT sans le nom de domaine doit exister. Algorithme de la connexion : Instanciation d'un objet W4.Session.TWFssoSessionContext TWFssoSessionContext ssoctx = new WFssoSessionContext("SRV","INST"); Utilisation de la factory W4.Session.TWFsessionFactory pour créer une W4.Session.TWFnativeSession, avec en paramètre l'objet ssoctx onatses =(TWFnativeSession)TWFsessionFactory.CreateSession(ssoCtx)); Ouverture de la connexion vers W4 Engine onatses.wfopenconnection (); Login de l'acteur W4 Engine/Compte NT onatses.wflogin (); Si (onatses.sessioncontext.actorid!= 0) Sauvegarde du contexte W4 Engine dans une variable de Session Redirection vers la corbeille = CONNEXION EFFECTUEE Si (ERREUR W4.Basic.TWFexception) Le compte NT n'existe pas en tant qu'acteur W4 Engine 5 NOTE TECHNIQUE Mise en place de l authentification externe en.net

6 Redirection vers une page de login standard= CONNEXION NON EFFECTUEE Finalement : fermeture de la connexion W4 Engine, et suppression de l'objet native session onatses.wfcloseconnection(); onatses = null; 2.2 Délégation de l authentification à une classe tierce : Custom SSO Page d accès à l application : redirige vers la corbeille de l utilisateur s'il est identifié auprès de W4 Engine. L'authentification est déléguée à une classe personnelle. Paramètres du web.config : <authentication mode="windows" /> <identity impersonate="true" /> Paramètres au niveau de l application Web (IIS) : Dans «connexions anonymes et contrôles d'authentification» : case "Authentification intégrée Windows" doit être la seule cochée. Paramètres au niveau W4 Engine : Écrire une bibliothèque de classe (ayant un nom fort : utilisation de sn.exe -k) : MY_ASSEMBLY_NAME Publier cette bibliothèque dans le GAC Référencer cette DLL au niveau de la création de la session Obligations au niveau de l'assembly : disposer d'une méthode renvoyant une chaîne : le login de l acteur. Algorithme de la connexion : Instanciation d'un objet W4.Session.TWFssoSessionContext TWFssoSessionContext ssoctx = new FssoSessionContext("SRV","INST"); Passage des paramètres liés à l assembly et à la classe ssoctx.ssocustomassemblyname = "MY_ASSEMBLY_NAME"; ssoctx.ssocustomclassname = "MY_ASSEMBLY_NAME.mySSOclass"; ssoctx.ssocustommethodname = "myssomethod"; Utilisation de la factory W4.Session.TWFsessionFactory pour créer une W4.Session.TWFnativeSession, avec en paramètre l'objet ssoctx onatses = (TWFnativeSession)TWFsessionFactory.CreateSession(ssoCtx)); W4 BPM Suite NOTE TECHNIQUE 6 Authentifications à W4 Engine en.net (SSO)

7 Ouverture de la connexion vers W4 Engine onatses.wfopenconnection (); Login de l'acteur onatses.wflogin (); Si (onatses.sessioncontext.actorid!= 0) Sauvegarde du contexte W4 Engine dans une variable de Session Redirection vers la corbeille = CONNEXION EFFECTUEE Si (ERREUR W4.Basic.TWFexception) Le compte n'existe pas en tant qu'acteur W4 Engine Redirection vers une page de login standard= CONNEXION NON EFFECTUEE Finalement : fermeture de la connexion W4 Engine, et suppression de l'objet native session onatses.wfcloseconnection(); onatses = null; 7 NOTE TECHNIQUE Mise en place de l authentification externe en.net

8 Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Pour toute remarque ou suggestion concernant ce document, vous pouvez contacter le support technique W4, en précisant la référence W4TN_SSO_NET_002_FR : par le service de traitement des dossiers Supportflow sur MyW4.com, à l adresse suivante : par courrier électronique : support@w4global.com par téléphone : 33 (0)