Single sign-on NTLM

Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version du dossier **lib **(indiqué ci-dessus)** **avant d’installer la nouvelle.

27

28

Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer.

29

30

Ajoutez les librairies JAR Waffle du dossier **<DDE install>/add-ons/singlesignon/Waffle/Tomcat9** dans le dossier **lib **indiqué ci-dessus :

* caffeine-2.8.4.jar

* guava-19.0.jar

* jna-5.6.0.jar

* jna-platform-5.6.0.jar

36

* slf4j-api-1.7.21.jar

37

* slf4j-log4j12-1.7.21.jar

38

* log4j-1.2.15.jar

39

* waffle-jna-2.3.0.jar

40

* waffle-tomcat9-2.3.0.jar

41

* waffle_digdash_extension_tomcat9.jar

42

* log4j.properties

43

44

== Fichier //context.xml// ==

45

46

Ce fichier est situé dans le répertoire suivant :

47

48

* Sous Linux : **/etc/tomcat9/**

49

* Sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf**

50

51

Décommentez ou ajoutez le XML suivant pour la valve de sécurité :

52

53

54

<Valve className="waffle.apache.SharedNegotiateAuthenticator"

55

principalFormat="fqn"

56

roleFormat="both"

57

sharedPasswd="SecretPwdToChange"

58

allowAddr="localhost,127.0.0.*">

</Valve>

(% class="box" %)

(((

Pour décommenter, supprimez les séquences **<!~-~-** et **~-~->** entourant le code xml.

65

)))

66

67

Il est nécessaire de changer le mot de passe partagé (**sharedPasswd**). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Studio.

68

69

Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (**allowAddr**) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut **allowAddr**, vous devriez ajouter au minimum l'adresse IP de votre serveur.

70

71

(% id="Hapache-tomcat2Fconf2Fweb.xml" %)

72

== Fichier web.xml ==

73

74

Ce fichier est situé dans le répertoire suivant :

* sous Linux : **/etc/tomcat9/**

79

* sous Windows : **C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf**

80

81

Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité :

<security-role>

<role-name>Tout le monde</role-name>

86

</security-role>

87

<security-constraint>

88

<display-name>Waffle Security Constraint</display-name>

89

<web-resource-collection>

90

<web-resource-name>Protected Area</web-resource-name>

91

<url-pattern>digdash_dashboard*</url-pattern> <!-- Mettre ici l'url de la webapp sur laquelle

92

va s'appliquer la waffle ou utiliser /* pour tout limiter -->

93

</web-resource-collection>

94

<auth-constraint>

95

<role-name>Tout le monde</role-name>

96

</auth-constraint>

97

</security-constraint>

98

<security-constraint>

99

<display-name>vjdbc Security Constraint</display-name>

100

<web-resource-collection>

101

<web-resource-name>UnProtected Area</web-resource-name>

102

<url-pattern>/vjdbc/*</url-pattern>

103

</web-resource-collection>

104

</security-constraint>

Pour trouver le rôle à utiliser pour la waffle (role-name) :

109

110

* Ouvrez les logs de la waffle situé dans le fichier C:/Temp/dd-waffle.log.

111

* Trouvez la ligne SharedNegotiateAuthenticator.java:441 puis là où se trouvent les rôles.

112

* Sélectionnez le rôle à utiliser parmi ceux disponibles (choix client utilisateur).

113

114

(% class="box warningmessage" %)

115

(((

116

Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs

117

)))

118

119

Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar.

120

121

Il suffit de le placer dans le répertoire **<DDE install>/apache-tomcat/lib**.

122

123

= Configuration des applications DigDash =

124

125

(% class="wikigeneratedid" id="Hdigdash.properties" %)

126

Depuis la version 2021 R1, toutes les applications de DigDash Enterprise se configurent via un seul fichier : **digdash.properties**

127

128

L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome||anchor="externalisation"]]

129

130

Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier **digdash.properties** en conséquence.

131

132

== Serveur (ddenterpriseapi.war) ==

133

134

Cherchez la définition du paramètre **authMethod** et changez sa valeur en **NTUser** ou **NTUserOrLDAP**:

135

136

137

ddenterpriseapi.authMethod=NTUser

//Note ~://

Le mode «** NTUserOrLDAP **» permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec.

143

144

Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash.

145

146

Dans ce mode, un paramètre supplémentaire «** loginForm **» de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash.

147

148

== Tableau de bord (digdash_dashboard.war) ==

149

150

Cherchez la définition du paramètre **digdash_dashboard.sharedPasswd**.

151

Décommentez la ligne en supprimant le caractère **#** en début de ligne.

152

153

Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).

154

155

156

digdash_dashboard.sharedPasswd=SecretPwdToChange

157

158

159

(% class="box warningmessage" %)

160

(((

161

Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.

)))

(% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %)

166

__Paramètres recommandés pour le login automatique du tableau de bord__ :

167

168

Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).

169

170

Spécifiez (et forcez) le domaine DigDash Enterprise :

171

172

173

digdash_dashboard.DOMAIN=ddenterpriseapi

174

digdash_dashboard.FORCEDOMAIN=true

Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.

179

Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard.

180

Adaptez le port si nécessaire :

181

182

183

digdash_dashboard.SERVERURL=http://localhost:8080

184

digdash_dashboard.FORCESERVERURL=true

185

186

187

Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :

188

189

190

digdash_dashboard.urlLogout=/adminconsole

(% class="box warningmessage" %)

195

(((

196

Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.

197

Il est important de spécifier une URL de retour en cas de déconnexion.

198

)))

199

200

Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres.

201

202

== Studio (studio.war) ==

203

204

(% id="cke_bm_653S" style="display:none" %)

205

206

(% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre **authMethod.**

207

Décommentez la ligne en supprimant le caractère # en début de ligne.

208

209

210

studio.authMethod=NTUserOrLDAP

211

212

213

Cherchez la définition du paramètre **studio.sharedPasswd**.

214

Décommentez la ligne en supprimant le caractère # en début de ligne.

215

Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).

216

217

218

studio.sharedPasswd=SecretPwdToChange

219

220

221

(% class="box warningmessage" %)

222

(((

223

Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier **<DDE install>/apache-tomcat/conf/context.xml**.

)))

__Paramètres recommandés pour le login automatique du Studio__ :

228

229

Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).

230

231

Spécifiez (et forcez) le domaine DigDash Enterprise :

232

233

234

studio.FORCEDOMAIN=true

235

studio.DOMAIN=ddenterpriseapi

236

237

238

Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.

239

Utilisez l’adresse **//localhost//** si l’application web **ddenterpriseapi** est installée sur le même Tomcat que l’application **studio**.

240

Adaptez le port si nécessaire :

241

242

243

studio.FORCESERVERURL=true

244

studio.SERVERURL=http://localhost:8080

245

246

247

Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :

248

249

250

studio.urlLogout=/adminconsole

251

252

253

Par défaut, la déconnexion du Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.

254

Il est important de spécifier une URL de retour en cas de déconnexion.

Code source wiki de Single sign-on NTLM

Sommaire

author	version	line-number	content
		1	{{ddtoc/}}
		2
		3	----
		4
		5	Ce document décrit comment connecter la valve Waffle dans DigDash Enterprise pour activer la Sécurité Intégrée Windows (NTLM...).
		6
		7	Cet add-on est situé dans le dossier <DDE install>/add-ons/singlesignon/Waffle.
		8
		9	La version actuelle de Waffle est 1.8.1.
		10
		11	Ce document décrit chaque dossiers et fichiers à modifier pour activer cette valve.
		12
		13	= Configuration de Tomcat =
		14
		15	(((
		16	== Dossier //lib// ==
		17
		18	Le chemin d'accès à ce dossier est le suivant :
		19
		20	* Sous Linux : /usr/share/tomcat9/lib/
		21	* Sous Windows : C:\Program Files\Apache Software Foundation\Tomcat 9.0\lib
		22	)))
		23
		24	__Désinstallation de la version précédente de Waffle :__
		25
		26	Dans le cas ou vous mettez à jour DigDash, il est possible qu’une ancienne version de Waffle ait été déployée sur votre Tomcat. Vous devez d’abord supprimer cette version du dossier lib (indiqué ci-dessus) avant d’installer la nouvelle.
		27
		28	Veuillez vous référer au guide de déploiement Waffle de votre version précédente de DigDash Enterprise pour connaître la liste des fichiers de la librairie Waffle à supprimer.
		29
		30	Ajoutez les librairies JAR Waffle du dossier <DDE install>/add-ons/singlesignon/Waffle/Tomcat9 dans le dossier lib indiqué ci-dessus :
		31
		32	* caffeine-2.8.4.jar
		33	* guava-19.0.jar
		34	* jna-5.6.0.jar
		35	* jna-platform-5.6.0.jar
		36	* slf4j-api-1.7.21.jar
		37	* slf4j-log4j12-1.7.21.jar
		38	* log4j-1.2.15.jar
		39	* waffle-jna-2.3.0.jar
		40	* waffle-tomcat9-2.3.0.jar
		41	* waffle_digdash_extension_tomcat9.jar
		42	* log4j.properties
		43
		44	== Fichier //context.xml// ==
		45
		46	Ce fichier est situé dans le répertoire suivant :
		47
		48	* Sous Linux : /etc/tomcat9/
		49	* Sous Windows : C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf
		50
		51	Décommentez ou ajoutez le XML suivant pour la valve de sécurité :
		52
		53	{{code language="XML" cssClass="notranslate"}}
		54	<Valve className="waffle.apache.SharedNegotiateAuthenticator"
		55	principalFormat="fqn"
		56	roleFormat="both"
		57	sharedPasswd="SecretPwdToChange"
		58	allowAddr="localhost,127.0.0.*">
		59	</Valve>
		60	{{/code}}
		61
		62	(% class="box" %)
		63	(((
		64	Pour décommenter, supprimez les séquences <!~-~- et ~-~-> entourant le code xml.
		65	)))
		66
		67	Il est nécessaire de changer le mot de passe partagé (sharedPasswd). Ce mot de passe devra être identique à celui spécifié lors de la configuration du Tableau de bord et du Studio.
		68
		69	Vous pouvez aussi ajouter les adresses des hôtes distants autorisés (allowAddr) pour permettre à d'autres applications (digdash_dashboard) de se connecter au serveur DigDash Enterprise. Dans l'attribut allowAddr, vous devriez ajouter au minimum l'adresse IP de votre serveur.
		70
		71	(% id="Hapache-tomcat2Fconf2Fweb.xml" %)
		72	== Fichier web.xml ==
		73
		74	Ce fichier est situé dans le répertoire suivant :
		75
		76
		77
		78	* sous Linux : /etc/tomcat9/
		79	* sous Windows : C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf
		80
		81	Décommentez ou ajoutez le XML suivant pour la contrainte de sécurité :
		82
		83	{{code cssClass="notranslate" language="XML"}}
		84	<security-role>
		85	<role-name>Tout le monde</role-name><!-- Voir ci-dessous pour plus d'informations -->
		86	</security-role>
		87	<security-constraint>
		88	<display-name>Waffle Security Constraint</display-name>
		89	<web-resource-collection>
		90	<web-resource-name>Protected Area</web-resource-name>
		91	<url-pattern>digdash_dashboard*</url-pattern> <!-- Mettre ici l'url de la webapp sur laquelle
		92	va s'appliquer la waffle ou utiliser /* pour tout limiter -->
		93	</web-resource-collection>
		94	<auth-constraint>
		95	<role-name>Tout le monde</role-name>
		96	</auth-constraint>
		97	</security-constraint>
		98	<security-constraint>
		99	<display-name>vjdbc Security Constraint</display-name>
		100	<web-resource-collection>
		101	<web-resource-name>UnProtected Area</web-resource-name>
		102	<url-pattern>/vjdbc/*</url-pattern>
		103	</web-resource-collection>
		104	</security-constraint>
		105
		106	{{/code}}
		107
		108	Pour trouver le rôle à utiliser pour la waffle (role-name) :
		109
		110	* Ouvrez les logs de la waffle situé dans le fichier C:/Temp/dd-waffle.log.
		111	* Trouvez la ligne SharedNegotiateAuthenticator.java:441 puis là où se trouvent les rôles.
		112	* Sélectionnez le rôle à utiliser parmi ceux disponibles (choix client utilisateur).
		113
		114	(% class="box warningmessage" %)
		115	(((
		116	Le nom du "security role" (role-name) DOIT correspondre au rôle réel que vous avez dans votre AD (localisé). Exemple : BUILTIN\Utilisateurs
		117	)))
		118
		119	Si vous n’êtes pas sûr du nom du rôle vous pouvez activer les informations de debug pour Waffle en utilisant le fichier log4j.properties fournit avec les jar.
		120
		121	Il suffit de le placer dans le répertoire <DDE install>/apache-tomcat/lib.
		122
		123	= Configuration des applications DigDash =
		124
		125	(% class="wikigeneratedid" id="Hdigdash.properties" %)
		126	Depuis la version 2021 R1, toutes les applications de DigDash Enterprise se configurent via un seul fichier : digdash.properties
		127
		128	L'utilisation de ce fichier est décrite ici : [[Externalisation des paramètres dans un fichier //properties//>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome\|\|anchor="externalisation"]]
		129
		130	Dans tout ce qui suit les noms par défaut des applications seront utilisés. Si vous avez renommé certains fichiers war vous devrez modifier le fichier digdash.properties en conséquence.
		131
		132	== Serveur (ddenterpriseapi.war) ==
		133
		134	Cherchez la définition du paramètre authMethod et changez sa valeur en NTUser ou NTUserOrLDAP:
		135
		136	{{code language="properties" cssClass="notranslate"}}
		137	ddenterpriseapi.authMethod=NTUser
		138	{{/code}}
		139
		140	//Note ~://
		141
		142	Le mode « NTUserOrLDAP » permet une authentification sur le serveur DigDash via la sécurité Windows Intégrée, avec une option pour s’authentifier via le LDAP DigDash en cas d’échec.
		143
		144	Par exemple, un utilisateur du domaine NT pourra automatiquement passer la valve Waffle avec son authentifiant Windows, mais, s’il n’existe pas dans le LDAP DigDash, il se verra proposer un écran de login pour s’authentifier avec un login DigDash.
		145
		146	Dans ce mode, un paramètre supplémentaire « loginForm » de certaines URLs permet d’afficher de toujours afficher l’écran de login DigDash. Ainsi, l’authentifiant Windows ne sert qu’à passer la valve Waffle. Un cas typique d’usage est de permettre à un utilisateur Windows de se connecter en tant qu’ « admin » dans des pages de configuration DigDash.
		147
		148	== Tableau de bord (digdash_dashboard.war) ==
		149
		150	Cherchez la définition du paramètre digdash_dashboard.sharedPasswd.
		151	Décommentez la ligne en supprimant le caractère # en début de ligne.
		152
		153	Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
		154
		155	{{code language="properties" cssClass="notranslate"}}
		156	digdash_dashboard.sharedPasswd=SecretPwdToChange
		157	{{/code}}
		158
		159	(% class="box warningmessage" %)
		160	(((
		161	Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier <DDE install>/apache-tomcat/conf/context.xml.
		162	)))
		163
		164
		165	(% class="wikigeneratedid" id="HParamE8tresrecommandE9spourleloginautomatiquedutableaudebord" %)
		166	__Paramètres recommandés pour le login automatique du tableau de bord__ :
		167
		168	Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
		169
		170	Spécifiez (et forcez) le domaine DigDash Enterprise :
		171
		172	{{code language="properties" cssClass="notranslate"}}
		173	digdash_dashboard.DOMAIN=ddenterpriseapi
		174	digdash_dashboard.FORCEDOMAIN=true
		175
		176	{{/code}}
		177
		178	Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
		179	Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application web digdash_dashboard.
		180	Adaptez le port si nécessaire :
		181
		182	{{code language="properties" cssClass="notranslate"}}
		183	digdash_dashboard.SERVERURL=http://localhost:8080
		184	digdash_dashboard.FORCESERVERURL=true
		185	{{/code}}
		186
		187	Spécifier une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
		188
		189	{{code language="properties" cssClass="notranslate"}}
		190	digdash_dashboard.urlLogout=/adminconsole
		191	{{/code}}
		192
		193
		194	(% class="box warningmessage" %)
		195	(((
		196	Par défaut la déconnexion du tableau de bord retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
		197	Il est important de spécifier une URL de retour en cas de déconnexion.
		198	)))
		199
		200	Voir la documentation [[Réglages avancés des paramètres système>>doc:Digdash.deployment.configuration.advanced_system_guide.WebHome]] pour plus de détails sur ces paramètres.
		201
		202	== Studio (studio.war) ==
		203
		204	(% id="cke_bm_653S" style="display:none" %)
		205
		206	(% id="cke_bm_389S" style="display:none" %) (%%)Cherchez la définition du paramètre authMethod.
		207	Décommentez la ligne en supprimant le caractère # en début de ligne.
		208
		209	{{code language="properties" cssClass="notranslate"}}
		210	studio.authMethod=NTUserOrLDAP
		211	{{/code}}
		212
		213	Cherchez la définition du paramètre studio.sharedPasswd.
		214	Décommentez la ligne en supprimant le caractère # en début de ligne.
		215	Changez la valeur du mot de passe (toutes les applications utilisant ce même paramètre devront utiliser la même valeur).
		216
		217	{{code language="properties" cssClass="notranslate"}}
		218	studio.sharedPasswd=SecretPwdToChange
		219	{{/code}}
		220
		221	(% class="box warningmessage" %)
		222	(((
		223	Le mot de passe spécifié doit être identique à celui que vous avez mis dans le fichier <DDE install>/apache-tomcat/conf/context.xml.
		224	)))
		225
		226
		227	__Paramètres recommandés pour le login automatique du Studio__ :
		228
		229	Il est recommandé de configurer les paramètres suivants lors du déploiement en mode Sécurité Windows Intégrée (Waffle).
		230
		231	Spécifiez (et forcez) le domaine DigDash Enterprise :
		232
		233	{{code language="properties" cssClass="notranslate"}}
		234	studio.FORCEDOMAIN=true
		235	studio.DOMAIN=ddenterpriseapi
		236	{{/code}}
		237
		238	Spécifiez (et forcez) l’URL du serveur du domain DigDash Enterprise.
		239	Utilisez l’adresse //localhost// si l’application web ddenterpriseapi est installée sur le même Tomcat que l’application studio.
		240	Adaptez le port si nécessaire :
		241
		242	{{code language="properties" cssClass="notranslate"}}
		243	studio.FORCESERVERURL=true
		244	studio.SERVERURL=http://localhost:8080
		245	{{/code}}
		246
		247	Spécifiez une URL de déconnexion afin que l’utilisateur puisse se déconnecter de DigDash Enterprise et, par exemple, revenir à une page d’Intranet :
		248
		249	{{code language="properties" cssClass="notranslate"}}
		250	studio.urlLogout=/adminconsole
		251	{{/code}}
		252
		253	Par défaut, la déconnexion du Studio retourne à la page de login de ce dernier. Cette page n’existe pas dans le contexte du SSO.
		254	Il est important de spécifier une URL de retour en cas de déconnexion.