Dans cet article, je vais expliquer comment mettre en place le SSO (Single Sign-On : Authentification unique) avec GLPI installé avec IIS.
Le SSO évite au utilisateur d’avoir besoin de saisir leur identifiant pour se connecter à GLPI.
Prérequis
- Avoir configuré l’annuaire Active Directory dans GLPI et importer les utilisateurs.
- Afin de mettre en place l’authentification unique pour GLPI, il faut avoir installé l’Authentification Windows 1 dans les fonctionnalités du rôle Serveur Web IIS et votre serveur IIS doit être membre du domaine.
Configuration du site sous IIS
1. Ouvrir la console IIS, aller sur le site GLPI 1 et cliquer sur Authentification 2.
2. Sélectionner Authentification anonyme 1 et cliquer sur Désactiver 2.
3. Sélectionner Authentification Windows 1 et cliquer sur Activer 2.
4. L’authentification Windows est activée 1.
Configuration de GLPI
Dans cette partie, nous allons configurer GLPI pour lui indiquer dans quelle variable serveur est stocké l’utilisateur.
Les manipulations ci-après sont à faire avec un compte super-admin.
1. Depuis le menu de navigation aller sur Configuration 1 / Authentification 2.
2. Cliquer sur Autres méthodes d’authentification 1.
3. Sélectionner REMOTE_USER 1 dans Champs de stockage de l’identification dans la requête HTTP et cliquer sur Enregistrer 2.
L’authentification est place. Depuis un poste client dans le domaine ouvrir Internet Explorer et aller sur GLPI aucune information d’authentification doit être demander.
Troubleshooting
Windows demande les identifiants
Quand vous ouvrez GLPI, une fenêtre demandant les identifiants s’affiche. Pour résoudre le problème, il faut modifier les paramètres de sécurité Internet.
1. Ouvrir les options Internet, aller sur l’onglet Sécurité 1 et cliquer sur Sites 2.
2. Cliquer sur Avancé 1.
3. Entrer l’url de votre site GLPI 1 puis cliquer sur Ajouter 2 et Fermer la fenêtre 3.
4. Fermer les options Internet et actualiser la page. Le problème devrait être réglé.
Il est possible de déployer ce paramètre par GPO sur l’ensemble des postes.
Créer un site sans SSO pour FusionInventory
La mise en place du SSO va empêcher l’inventaire via l’agent FusionInventory car celui-ci n’envoie pas d’information d’identification et ne pourra de ce fait plus accéder à la page qu’il utilise pour envoyer les données.
Ce site peut également être utilisé si les taches automatiques sont configurées avec un appel par navigateur ou pour utiliser le compte par défaut GLPI.
1. Ouvrir la console IIS et faire un clic droit sur Sites 1 et cliquer sur Ajouter un site web … 2.
2. Entrer le nom du nom site 1. Sélectionner l’emplacement du site GLPI 2 (celui-ci où le SSO est activé), entrer l’url du site 3 et cliquer sur OK 4.
3. Le site est prêt 1.
4. Vérifier que les extensions PHP soit activées pour le site.
5. Ajouter un enregistrement DNS pour pouvoir résoudre l’url du site.
6. Depuis un poste client, ouvrir un navigateur et entrer l’url, la page d’authentification s’affiche et il est possible de sélectionner la base d’authentification.
Pour que les agents FI fonctionnent correctement, ils devront être configurés avec cette URL.