GLPI : SSO avec IIS – Authentification unique

Dans cet article, je vais expliquer comment mettre en place le SSO (Single Sign-On : Authentification unique) avec GLPI installé avec IIS.

Le SSO évite au utilisateur d’avoir besoin de saisir leur identifiant pour se connecter à GLPI.

Prérequis

  • Avoir configuré l’annuaire Active Directory dans GLPI et importer les utilisateurs.
  • Afin de mettre en place l’authentification unique pour GLPI, il faut avoir installé l’Authentification Windows 1 dans les fonctionnalités du rôle Serveur Web IIS et votre serveur IIS doit être membre du domaine.
GLPI SSO : prerequis Authentification Windows

Configuration du site sous IIS

1. Ouvrir la console IIS, aller sur le site GLPI 1 et cliquer sur Authentification 2.

Console IIS site GLPI

2. Sélectionner Authentification anonyme 1 et cliquer sur Désactiver 2.

Désactivation authentification anonyme

3. Sélectionner Authentification Windows 1 et cliquer sur Activer 2.

Authentification Windows à activer

4. L’authentification Windows est activée 1.

Authentification Windows activée

Configuration de GLPI

Dans cette partie, nous allons configurer GLPI pour lui indiquer dans quelle variable serveur est stocké l’utilisateur.

Les manipulations ci-après sont à faire avec un compte super-admin.

1. Depuis le menu de navigation aller sur Configuration 1 / Authentification 2.

Menu de configuration GLPI

2. Cliquer sur Autres méthodes d’authentification 1.

Méthode d'authenfication

3. Sélectionner REMOTE_USER 1 dans Champs de stockage de l’identification dans la requête HTTP et cliquer sur Enregistrer 2.

Choix de la variable REMOTE_USER

L’authentification est place. Depuis un poste client dans le domaine ouvrir Internet Explorer et aller sur GLPI aucune information d’authentification doit être demander.

Troubleshooting

Windows demande les identifiants

Quand vous ouvrez GLPI, une fenêtre demandant les identifiants s’affiche. Pour résoudre le problème, il faut modifier  les paramètres de sécurité Internet.

1. Ouvrir les options Internet, aller sur l’onglet Sécurité 1 et cliquer sur Sites 2.

Option internet

2. Cliquer sur Avancé 1.

Avancé

3. Entrer l’url de votre site GLPI 1 puis cliquer sur Ajouter 2 et Fermer la fenêtre 3.

URL du GLPI pour le SSO

4. Fermer les options Internet et actualiser la page. Le problème devrait être réglé.

Il est possible de déployer ce paramètre par GPO sur l’ensemble des postes.

Créer un site sans SSO pour FusionInventory

La mise en place du SSO va empêcher l’inventaire via l’agent FusionInventory car celui-ci n’envoie pas d’information d’identification et ne pourra de ce fait plus accéder à la page qu’il utilise pour envoyer les données.

Ce site peut également être utilisé si les taches automatiques sont configurées avec un appel par navigateur ou pour utiliser le compte par défaut GLPI.

1. Ouvrir la console IIS et faire un clic droit sur Sites 1 et cliquer sur Ajouter un site web … 2.

Nouveau site dans la console IIS

2. Entrer le nom du nom site 1. Sélectionner l’emplacement du site GLPI 2 (celui-ci où le SSO est activé), entrer l’url du site 3 et cliquer sur OK 4.

paramètre du site

3. Le site est prêt 1.

Site ajouté

4. Vérifier que les extensions PHP soit activées pour le site.

5. Ajouter un enregistrement DNS pour pouvoir résoudre l’url du site.

Enregistrement DNS

6. Depuis un poste client, ouvrir un navigateur et entrer l’url, la page d’authentification s’affiche et il est possible de sélectionner la base d’authentification.

Formulaire authentification

Pour que les agents FI fonctionnent correctement, ils devront être configurés avec cette URL.




Laisser un commentaire