In questo articolo spiegherò come configurare SSO (Single Sign-On) con GLPI installato con IIS.
SSO impedisce all’utente d’inserire il proprio identificatore per connettersi a GLPI.
Prerequisiti
- Aver configurato l’Active Directory in GLPI e importare gli utenti.
- Per configurare il single sign-on per GLPI, devi aver installato l’autenticazione di Windows 1 nelle funzionalità del ruolo del server Web IIS e il tuo server IIS deve essere un membro del dominio.
Configurazione del sito in IIS
1. Aprire la console IIS, andare al sito GLPI 1 e fare clic su Autenticazione 2.
2. Selezionare Autenticazione anonima 1 e fare clic su Disabilita 2.
3. Selezionare Autenticazione Windows 1 e fare clic su Attiva 2.
4. L’autenticazione di Windows è abilitata 1.
Configurazione GLPI
In questa parte configureremo GLPI per indicare in quale variabile del server è memorizzato l’utente.
Le seguenti operazioni devono essere eseguite con un account super amministratore.
1. Dal menu di navigazione, andare su Configurazione 1 / Autenticazione 2.
2. Fare clic su Altri metodi di autenticazione 1.
3. Selezionare REMOTE_USER 1 nei campi di memorizzazione dell’identificazione nella richiesta HTTP e fare clic su Salva 2.
L’autenticazione è a posto. Da una postazione client nel dominio, aprire Internet Explorer e andare su GLPI, non devono essere richieste informazioni di autenticazione.
Risoluzione dei problemi
Windows richiede le credenziali
Quando si apre GLPI, viene visualizzata una finestra che richiede le credenziali. Per risolvere il problema, è necessario modificare le impostazioni di sicurezza Internet.
1. Apri le opzioni Internet, vai alla scheda Sicurezza 1 e fai clic su Siti 2.
2. Fare clic su Avanzate 1.
3. Inserisci l’URL del tuo sito GLPI 1 quindi fai clic su Aggiungi 2 e Chiudi la finestra 3.
4. Fchiudi le opzioni Internet e aggiorna la pagina. Il problema dovrebbe essere risolto.
Questo parametro può essere distribuito dall’oggetto Criteri di gruppo su tutte le workstation.
Crea un sito senza SSO per FusionInventory
L’implementazione dell’SSO impedirà l’inventario tramite l’agente FusionInventory perché questo non invia alcuna credenziale e quindi non potrà più accedere alla pagina che utilizza per inviare i dati.
Questo sito può essere utilizzato anche se le attività automatiche sono configurate con una chiamata al browser o per utilizzare l’account GLPI predefinito.
1. Apri la console IIS e fai clic con il pulsante destro del mouse su Siti 1 e fai clic su Aggiungi un sito Web … 2.
2. Immettere il nome del nome del sito 1. Seleziona la posizione del sito GLPI 2 (questo in cui SSO è abilitato), inserisci l’URL del sito 3 e fai clic su OK 4.
3. Il sito è pronto 1.
4. Verifica che le estensioni PHP siano abilitate per il sito.
5. Aggiungi un record DNS per poter risolvere l’URL del sito.
6. Da una postazione client, aprire un browser e inserire l’url, viene visualizzata la pagina di autenticazione ed è possibile selezionare la base di autenticazione.
Affinché gli agenti FI funzionino correttamente, dovranno essere configurati con questo URL.