Re: SSO - Changer d'utilisateur dans Share

dranakan · ‎20 May 2011

Hello,

J'ai activé le SSO dans Alfresco Share. Tout fonctionne à merveille :-)

J'aimerais pouvoir changer d'utilisateur (pour des tests par exemple,…) mais je n'y arrive pas….
Sous Explorer, on peut le faire en accédant via http://200.200.200.115:8080/alfresco/faces/jsp/extension/login.jsp.

Comment puis-je changer d'utilisateur dans Share avec le SSO activé ?
(Firefox dépanne car il ne va pas avec SSO, une demande de login est demandée si on ferme et redémarre)

Merci bien.

(Alfresco 34.D Redhat)
Pour activer le SSO dans Share, j'ai ajouter ceci dans /opt/Alfresco/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml

<!–        Overriding endpoints to reference an Alfresco server with external SSO enabled
        NOTE: If utilising a load balancer between web-tier and repository cluster, the "sticky
              sessions" feature of your load balancer must be used.
        NOTE: If alfresco server location is not localhost:8080 then also combine changes from the
              "example port config" section below.
        *Optional* keystore contains SSL client certificate + trusted CAs.
        Used to authenticate share to an external SSO system such as CAS
        Remove the keystore section if not required i.e. for NTLM.
   –>
   <config evaluator="string-compare" condition="Remote">
      <remote>
         <keystore>
             <path>alfresco/web-extension/alfresco-system.p12</path>
             <type>pkcs12</type>
             <password>alfresco-system</password>
         </keystore>

         <connector>
            <id>alfrescoCookie</id>
            <name>Alfresco Connector</name>
            <description>Connects to an Alfresco instance using cookie-based authentication</description>
            <class>org.springframework.extensions.webscripts.connector.AlfrescoConnector</class>
         </connector>

         <endpoint>
            <id>alfresco</id>
            <name>Alfresco - user access</name>
            <description>Access to Alfresco Repository WebScripts that require user authentication</description>
            <connector-id>alfrescoCookie</connector-id>
            <endpoint-url>http://localhost:8080/alfresco/wcs</endpoint-url>
            <identity>user</identity>
            <external-auth>true</external-auth>
         </endpoint>
      </remote>
   </config>
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

bertrandf · ‎21 May 2011

Bonjour,

Vous voudriez que lors que vous cliquez sur le bouton déconnexion, vous soyez déconnecté du CAS ?

Si c'est le cas, il faut probablement faire une configuration sur votre serveur web pour qu'il y ait une redirection vers la page de déconnexion CAS (https://votre-serveur-cas/cas/logout) lors de l'accès à l'URL http://votre-serveur/share/page/dologout.

Cordialement.

dranakan · ‎21 May 2011

Merci bien.

Oui l'idée serait de pouvoir forcer la connexion avec un autre utilisateur que celui identifié par l'ouverture de session.

dranakan · ‎24 May 2011

Merci BertrandF,

une redirection vers la page de déconnexion CAS (http://votre-serveur-cas/cas/logout)

Ceci est accessible dès qu'une authentification active le SSO ) Je n'arrive pas à y accéder… je dois lancer ce lien ..cas/logout ?

J'ai constaté que je arrive pas à identifier mes utilisateurs dans NTML quand le SSO est activé.
Quand j'arrive sur la page par exemple (http://ged:8080/alfresco) une popup me demande de me connecter à "MonServeurGed.external". Je suis surpris de ce ".external"

Je peux me logger uniquement avec les comptes dans AD et pas NTML. (je peux par contre identifier correctement ces users d'NTLM en allant à : http://ged:8080/alfresco/faces/jsp/extension/login.jsp… je reste coincé pour faire la même chose avec Share).

J'ai configurer comme comme ceci :
(les fichiers non mentionné sont par défaut)

/opt/Alfresco/tomcat/shared/classes/alfresco-global.properties

authentication.chain=passthru1:passthru,alfrescoNtlm1:alfrescoNtlm,ldap-ad1:ldap-ad‍

/opt/Alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/alfrescoNtlm/alfrescoNtlm1/alfresco-authentication.properties

alfresco.authentication.allowGuestLogin=false
alfresco.authentication.authenticateCIFS=false‍‍

/opt/Alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/passthru/passthru1/passthru-authentication-context.properties

passthru.authentication.useLocalServer=false
passthru.authentication.domain=Office
passthru.authentication.servers=Office\\1.2.3.4,1.2.3.4
passthru.authentication.guestAccess=false
passthru.authentication.defaultAdministratorUserNames=
#Timeout value when opening a session to an authentication server, in milliseconds
passthru.authentication.connectTimeout=5000
#Offline server check interval in seconds
passthru.authentication.offlineCheckInterval=300
passthru.authentication.protocolOrder=NetBIOS,TCPIP
passthru.authentication.authenticateCIFS=true
passthru.authentication.authenticateFTP=true‍‍‍‍‍‍‍‍‍‍‍‍

/opt/Alfresco/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/passthru/passthru1/ntlm-filter.properties

ntlm.authentication.sso.enabled=true
ntlm.authentication.mapUnknownUserToGuest=false
ntlm.authentication.browser.ticketLogons=true‍‍‍

dranakan · ‎27 May 2011

Notre besoin du SSO est utile pour éviter la demande d'authentification lors de l'édition en ligne. La contrainte est de pouvoir valider des utilisateurs (admin…) dans NTLM (pour la maintenance en utilisant des utilisateurs qui ne sont pas dans l'annuaire AD).

Comment pourrais-je créer un autre accès à Share (exemple : http://ged:8080/sharentlm) qui lui-même utiliserait le fichier (/opt/Alfresco/tomcat/shared/classes/alfresco/web-extension/share-config-custom.xml) sans l'extension SSO ?

<!–        Overriding endpoints to reference an Alfresco server with external SSO enabled
        NOTE: If utilising a load balancer between web-tier and repository cluster, the "sticky
              sessions" feature of your load balancer must be used.
        NOTE: If alfresco server location is not localhost:8080 then also combine changes from the
              "example port config" section below.
        *Optional* keystore contains SSL client certificate + trusted CAs.
        Used to authenticate share to an external SSO system such as CAS
        Remove the keystore section if not required i.e. for NTLM.
   –>
   <config evaluator="string-compare" condition="Remote">
      <remote>
         <keystore>
             <path>alfresco/web-extension/alfresco-system.p12</path>
             <type>pkcs12</type>
             <password>alfresco-system</password>
         </keystore>

         <connector>
            <id>alfrescoCookie</id>
            <name>Alfresco Connector</name>
            <description>Connects to an Alfresco instance using cookie-based authentication</description>
            <class>org.springframework.extensions.webscripts.connector.AlfrescoConnector</class>
         </connector>

         <endpoint>
            <id>alfresco</id>
            <name>Alfresco - user access</name>
            <description>Access to Alfresco Repository WebScripts that require user authentication</description>
            <connector-id>alfrescoCookie</connector-id>
            <endpoint-url>http://localhost:8080/alfresco/wcs</endpoint-url>
            <identity>user</identity>
            <external-auth>true</external-auth>
         </endpoint>
      </remote>
   </config>‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

dranakan · ‎10 Aug 2011

J'ai trouvé :

Explorer : Aller dans http://ged:8080/alfresco/faces/jsp/extension/login.jsp
Share : (Redémarrer le navigateur si le compte SSO est connecté) http://ged:8080/share/page?pt=login
‍‍‍

SSO - Changer d'utilisateur dans Share

SSO - Changer d'utilisateur dans Share