Single sign-on NTLM

Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version de **<DDE install>/apache-tomcat/lib **avant d’installer la nouvelle.

22

23

Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer.

24

25

Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat9** dans le dossier **<DDE install>/apache-tomcat/lib **:

* caffeine-2.8.4.jar

* guava-19.0.jar

* jna-5.6.0.jar

* jna-platform-5.6.0.jar

31

* slf4j-api-1.7.21.jar

32

* slf4j-log4j12-1.7.21.jar

33

* log4j-1.2.15.jar

34

* waffle-jna-2.3.0.jar

35

* waffle-tomcat9-2.3.0.jar

36

* waffle_digdash_extension_tomcat9.jar

37

* log4j.properties

38

39

== apache-tomcat / conf / context.xml ==

40

41

Décommentez ou ajoutez le XML suivant pour la valve de sécurité :

42

43

44

<Valve className="waffle.apache.SharedNegotiateAuthenticator"

45

principalFormat="fqn"

46

roleFormat="both"

47

sharedPasswd="SecretPwdToChange"

48

allowAddr="localhost,127.0.0.*">

</Valve>

(% class="box" %)

(((

Pour décommenter, supprimez les séquences **<!~-~-** et **~-~->** entourant le code xml.

55

)))

56

57

Il est nécessaire de changer le mot de passe partagé (**sharedPasswd**). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Studio.

58

59

Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (**allowAddr**) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut **allowAddr**, vous devriez ajouter au minimum l'adresse IP de votre serveur.

60

61

(% id="Hapache-tomcat2Fconf2Fweb.xml" %)

62

== apache-tomcat / conf / web.xml ==

63

64

Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité :

<security-role>

<role-name>Tout le monde</role-name>

69

</security-role>

70

<security-constraint>

71

<display-name>Waffle Security Constraint</display-name>

72

<web-resource-collection>

73

<web-resource-name>Protected Area</web-resource-name>

74

<url-pattern>digdash_dashboard*</url-pattern> <!-- Mettre ici l'url de la webapp sur laquelle

75

va s'appliquer la waffle ou utiliser /* pour tout limiter -->

76

</web-resource-collection>

77

<auth-constraint>

78

<role-name>Tout le monde</role-name>

79

</auth-constraint>

80

</security-constraint>

81

<security-constraint>

82

<display-name>vjdbc Security Constraint</display-name>

83

<web-resource-collection>

84

<web-resource-name>UnProtected Area</web-resource-name>

85

<url-pattern>/vjdbc/*</url-pattern>

86

</web-resource-collection>

87

</security-constraint>

Pour trouver le rôle à utiliser pour la waffle (role-name) :

92

93

* Ouvrez les logs de la waffle situé dans le fichier C:/Temp/dd-waffle.log.

94

* Trouvez la ligne SharedNegotiateAuthenticator.java:441 puis là où se trouvent les rôles.

95

* Sélectionnez le rôle à utiliser parmi ceux disponibles (choix client utilisateur).

96

97

(% class="box warningmessage" %)

98

(((

99

Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs

100

)))

101

102

Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar.

103

104

Il suffit de le placer dans le répertoire **<DDE install>/apache-tomcat/lib**.

105

106

= Configuration des applications DigDash =

107

108

(% class="wikigeneratedid" id="Hdigdash.properties" %)

109

Depuis la version 2021 R1, toutes les applications de DigDash Enterprise se configurent via un seul fichier : **digdash.properties**

110

111

L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome||anchor="externalisation"]]

112

113

Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier **digdash.properties** en conséquence.

114

115

== Serveur (ddenterpriseapi.war) ==

116

117

Cherchez la définition du paramètre **authMethod** et changez sa valeur en **NTUser** ou **NTUserOrLDAP**:

118

119

120

ddenterpriseapi.authMethod=NTUser

//Note ~://

Le mode «** NTUserOrLDAP **» permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec.

126

127

Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash.

128

129

Dans ce mode, un paramètre supplémentaire «** loginForm **» de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash.

130

131

== Tableau de bord (digdash_dashboard.war) ==

132

133

Cherchez la définition du paramètre **digdash_dashboard.sharedPasswd**.

134

Décommentez la ligne en supprimant le caractère **#** en début de ligne.

135

136

Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).

137

138

139

digdash_dashboard.sharedPasswd=SecretPwdToChange

140

141

142

(% class="box warningmessage" %)

143

(((

144

Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.

)))

(% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %)

149

__Paramètres recommandés pour le login automatique du tableau de bord__ :

150

151

Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).

152

153

Spécifiez (et forcez) le domaine DigDash Enterprise :

154

155

156

digdash_dashboard.DOMAIN=ddenterpriseapi

157

digdash_dashboard.FORCEDOMAIN=true

Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.

162

Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard.

163

Adaptez le port si nécessaire :

164

165

166

digdash_dashboard.SERVERURL=http://localhost:8080

167

digdash_dashboard.FORCESERVERURL=true

168

169

170

Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :

171

172

173

digdash_dashboard.urlLogout=/adminconsole

(% class="box warningmessage" %)

178

(((

179

Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.

180

Il est important de spécifier une URL de retour en cas de déconnexion.

181

)))

182

183

Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres.

184

185

== Studio (studio.war) ==

186

187

(% id="cke_bm_653S" style="display:none" %)

188

189

(% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre **authMethod.**

190

Décommentez la ligne en supprimant le caractère # en début de ligne.

191

192

193

studio.authMethod=NTUserOrLDAP

194

195

196

Cherchez la définition du paramètre **studio.sharedPasswd**.

197

Décommentez la ligne en supprimant le caractère # en début de ligne.

198

Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).

199

200

201

studio.sharedPasswd=SecretPwdToChange

202

203

204

(% class="box warningmessage" %)

205

(((

206

Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.

)))

__Paramètres recommandés pour le login automatique du Studio__ :

211

212

Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).

213

214

Spécifiez (et forcez) le domaine DigDash Enterprise :

215

216

217

studio.FORCEDOMAIN=true

218

studio.DOMAIN=ddenterpriseapi

219

220

221

Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.

222

Utilisez l’adresse **//localhost//** si l’application web **ddenterpriseapi** est installée sur le même Tomcat que l’application **studio**.

223

Adaptez le port si nécessaire :

224

225

226

studio.FORCESERVERURL=true

227

studio.SERVERURL=http://localhost:8080

228

229

230

Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :

231

232

233

studio.urlLogout=/adminconsole

234

235

236

Par défaut, la déconnexion du Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.

237

Il est important de spécifier une URL de retour en cas de déconnexion.

Code source wiki de Single sign-on NTLM

Sommaire

author	version	line-number	content
		1	{{ddtoc/}}
		2
		3	----
		4
		5	Ce document décrit comment connecter la valve Waffle dans DigDash Enterprise pour activer la Sécurité Intégrée Windows (NTLM...).
		6
		7	Cet add-on est situé dans le dossier <DDE install>/add-ons/singlesignon/Waffle.
		8
		9	La version actuelle de Waffle est 1.8.1.
		10
		11	Ce document décrit chaque dossiers et fichiers à modifier pour activer cette valve.
		12
		13	= Configuration de Tomcat =
		14
		15	(((
		16	== apache-tomcat / lib ==
		17	)))
		18
		19	__Désinstallation de la version précédente de Waffle :__
		20
		21	Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version de <DDE install>/apache-tomcat/lib avant d’installer la nouvelle.
		22
		23	Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer.
		24
		25	Ajoutez les librairies JAR Waffle du dossier <DDE install>/add-ons/singlesignon/Waffle/Tomcat9 dans le dossier <DDE install>/apache-tomcat/lib :
		26
		27	* caffeine-2.8.4.jar
		28	* guava-19.0.jar
		29	* jna-5.6.0.jar
		30	* jna-platform-5.6.0.jar
		31	* slf4j-api-1.7.21.jar
		32	* slf4j-log4j12-1.7.21.jar
		33	* log4j-1.2.15.jar
		34	* waffle-jna-2.3.0.jar
		35	* waffle-tomcat9-2.3.0.jar
		36	* waffle_digdash_extension_tomcat9.jar
		37	* log4j.properties
		38
		39	== apache-tomcat / conf / context.xml ==
		40
		41	Décommentez ou ajoutez le XML suivant pour la valve de sécurité :
		42
		43	{{code language="XML" cssClass="notranslate"}}
		44	<Valve className="waffle.apache.SharedNegotiateAuthenticator"
		45	principalFormat="fqn"
		46	roleFormat="both"
		47	sharedPasswd="SecretPwdToChange"
		48	allowAddr="localhost,127.0.0.*">
		49	</Valve>
		50	{{/code}}
		51
		52	(% class="box" %)
		53	(((
		54	Pour décommenter, supprimez les séquences <!~-~- et ~-~-> entourant le code xml.
		55	)))
		56
		57	Il est nécessaire de changer le mot de passe partagé (sharedPasswd). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Studio.
		58
		59	Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (allowAddr) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut allowAddr, vous devriez ajouter au minimum l'adresse IP de votre serveur.
		60
		61	(% id="Hapache-tomcat2Fconf2Fweb.xml" %)
		62	== apache-tomcat / conf / web.xml ==
		63
		64	Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité :
		65
		66	{{code cssClass="notranslate" language="XML"}}
		67	<security-role>
		68	<role-name>Tout le monde</role-name><!-- Voir ci-dessous pour plus d'informations -->
		69	</security-role>
		70	<security-constraint>
		71	<display-name>Waffle Security Constraint</display-name>
		72	<web-resource-collection>
		73	<web-resource-name>Protected Area</web-resource-name>
		74	<url-pattern>digdash_dashboard*</url-pattern> <!-- Mettre ici l'url de la webapp sur laquelle
		75	va s'appliquer la waffle ou utiliser /* pour tout limiter -->
		76	</web-resource-collection>
		77	<auth-constraint>
		78	<role-name>Tout le monde</role-name>
		79	</auth-constraint>
		80	</security-constraint>
		81	<security-constraint>
		82	<display-name>vjdbc Security Constraint</display-name>
		83	<web-resource-collection>
		84	<web-resource-name>UnProtected Area</web-resource-name>
		85	<url-pattern>/vjdbc/*</url-pattern>
		86	</web-resource-collection>
		87	</security-constraint>
		88
		89	{{/code}}
		90
		91	Pour trouver le rôle à utiliser pour la waffle (role-name) :
		92
		93	* Ouvrez les logs de la waffle situé dans le fichier C:/Temp/dd-waffle.log.
		94	* Trouvez la ligne SharedNegotiateAuthenticator.java:441 puis là où se trouvent les rôles.
		95	* Sélectionnez le rôle à utiliser parmi ceux disponibles (choix client utilisateur).
		96
		97	(% class="box warningmessage" %)
		98	(((
		99	Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs
		100	)))
		101
		102	Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar.
		103
		104	Il suffit de le placer dans le répertoire <DDE install>/apache-tomcat/lib.
		105
		106	= Configuration des applications DigDash =
		107
		108	(% class="wikigeneratedid" id="Hdigdash.properties" %)
		109	Depuis la version 2021 R1, toutes les applications de DigDash Enterprise se configurent via un seul fichier : digdash.properties
		110
		111	L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome\|\|anchor="externalisation"]]
		112
		113	Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier digdash.properties en conséquence.
		114
		115	== Serveur (ddenterpriseapi.war) ==
		116
		117	Cherchez la définition du paramètre authMethod et changez sa valeur en NTUser ou NTUserOrLDAP:
		118
		119	{{code language="properties" cssClass="notranslate"}}
		120	ddenterpriseapi.authMethod=NTUser
		121	{{/code}}
		122
		123	//Note ~://
		124
		125	Le mode « NTUserOrLDAP » permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec.
		126
		127	Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash.
		128
		129	Dans ce mode, un paramètre supplémentaire « loginForm » de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash.
		130
		131	== Tableau de bord (digdash_dashboard.war) ==
		132
		133	Cherchez la définition du paramètre digdash_dashboard.sharedPasswd.
		134	Décommentez la ligne en supprimant le caractère # en début de ligne.
		135
		136	Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
		137
		138	{{code language="properties" cssClass="notranslate"}}
		139	digdash_dashboard.sharedPasswd=SecretPwdToChange
		140	{{/code}}
		141
		142	(% class="box warningmessage" %)
		143	(((
		144	Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier <DDE install>/apache-tomcat/conf/context.xml.
		145	)))
		146
		147
		148	(% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %)
		149	__Paramètres recommandés pour le login automatique du tableau de bord__ :
		150
		151	Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
		152
		153	Spécifiez (et forcez) le domaine DigDash Enterprise :
		154
		155	{{code language="properties" cssClass="notranslate"}}
		156	digdash_dashboard.DOMAIN=ddenterpriseapi
		157	digdash_dashboard.FORCEDOMAIN=true
		158
		159	{{/code}}
		160
		161	Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
		162	Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard.
		163	Adaptez le port si nécessaire :
		164
		165	{{code language="properties" cssClass="notranslate"}}
		166	digdash_dashboard.SERVERURL=http://localhost:8080
		167	digdash_dashboard.FORCESERVERURL=true
		168	{{/code}}
		169
		170	Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
		171
		172	{{code language="properties" cssClass="notranslate"}}
		173	digdash_dashboard.urlLogout=/adminconsole
		174	{{/code}}
		175
		176
		177	(% class="box warningmessage" %)
		178	(((
		179	Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
		180	Il est important de spécifier une URL de retour en cas de déconnexion.
		181	)))
		182
		183	Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres.
		184
		185	== Studio (studio.war) ==
		186
		187	(% id="cke_bm_653S" style="display:none" %)
		188
		189	(% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre authMethod.
		190	Décommentez la ligne en supprimant le caractère # en début de ligne.
		191
		192	{{code language="properties" cssClass="notranslate"}}
		193	studio.authMethod=NTUserOrLDAP
		194	{{/code}}
		195
		196	Cherchez la définition du paramètre studio.sharedPasswd.
		197	Décommentez la ligne en supprimant le caractère # en début de ligne.
		198	Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
		199
		200	{{code language="properties" cssClass="notranslate"}}
		201	studio.sharedPasswd=SecretPwdToChange
		202	{{/code}}
		203
		204	(% class="box warningmessage" %)
		205	(((
		206	Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier <DDE install>/apache-tomcat/conf/context.xml.
		207	)))
		208
		209
		210	__Paramètres recommandés pour le login automatique du Studio__ :
		211
		212	Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
		213
		214	Spécifiez (et forcez) le domaine DigDash Enterprise :
		215
		216	{{code language="properties" cssClass="notranslate"}}
		217	studio.FORCEDOMAIN=true
		218	studio.DOMAIN=ddenterpriseapi
		219	{{/code}}
		220
		221	Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
		222	Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application studio.
		223	Adaptez le port si nécessaire :
		224
		225	{{code language="properties" cssClass="notranslate"}}
		226	studio.FORCESERVERURL=true
		227	studio.SERVERURL=http://localhost:8080
		228	{{/code}}
		229
		230	Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
		231
		232	{{code language="properties" cssClass="notranslate"}}
		233	studio.urlLogout=/adminconsole
		234	{{/code}}
		235
		236	Par défaut, la déconnexion du Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
		237	Il est important de spécifier une URL de retour en cas de déconnexion.