Blogi: Aineisto hallussa

Thursday, October 18, 2012

Etätunnistus liittää Windows AD ja SSO-tunnistuksen getImageRightiin


getImageRightin käyttäminen edellyttää käyttäjän tunnistusta. Tyypillisesti se tapahtuu käyttäjätunnuksena toimivan sähköpostiosoitteen ja käyttäjän valitseman salasanan avulla. Käyttäjätunnus saadaan joko pääkäyttäjän lähettämän kutsun kautta, tai esimerkiksi lehdistökäyttäjien tapauksessa itse rekisteröitymällä.

Mikäli käyttäjät tunnistetaan jo organisaatiossa esimerkiksi Windows Active Directory (AD) -tunnistuksella, toisessa verkkosovelluksessa  tai Single Sign On -ratkaisulla, voidaan tätä tunnistusta hyödyntää getImageRightissa niin käyttäjätilin automaattiseen ja näkymättömään luomiseen, kuin käyttäjän tunnistamiseenkin.

Remote Authentication siirtää käyttäjätunnistuksen sisäverkkoon

Remote Authenticationilla siirretään osa tai kaikki tunnistus omalle palvelimellenne. Kun käyttäjä yrittää käyttää getImageRightia, hänet ohjataan palvelimellanne olevalle tunnistusskriptille. Se taas ohjaa käyttäjän allekirjoitetun valtuutuksen kera takaisin getImageRightiin ja sisälle palveluun. Prosessi ei näy käyttäjälle eikä sen kestoa huomaa. Jos käyttäjä on uusi, hänelle perustetaan tili osana kirjautumista automaattisesti.

Remote Authenticationin voi ottaa itse käyttöön getImageRightin asetuksista. Ohjeet ja skriptit Windowsille löytyvät sieltä.
Sisäverkon päässä skripti asennetaan Windows palvelimen web-palvelinohjelmistoon (IIS). Kyseinen hakemisto tai sivusto konfiguroidaan käyttämään Windows Authenticationia ja Anonymous access otetaan pois päältä. getImageRight tarvitsee käyttäjästä sähköpostin, etunimen ja sukunimen. Yleensä nämä on tallennettu Active Directoryyn ja saadaan sieltä. Nimet voidaan usein johtaa sähköpostiosoitteesta. Mutta jos sähköpostiosoitetta ei ole Active Directoryssä, se on saatava mukaan muuten. Esimerkiksi skripti laitetaan hakemaan tieto SQL-tietokannasta.
 
Yleensä Remote Authentication laitetaan päälle tietyistä IP-osoitteista tulevalle, eli käytännössä sisäverkosta tulevalle liikenteelle. Ulkoiset käyttäjät voivat käyttää normaalia sisäänkirjautumista. Jos halutaan siirtää kaikki tunnistus tapahtumaan vaikkapa erillisen web-sovelluksen kautta, sekin on mahdollista laittamalla Remote Authentication kattamaan kaikki käyttö.
 
Kannattaa huomata, että getImageRightilla ei tarvitse antaa mitään pääsyä sisäverkkoonne tai Active Directoryyn. Skripti hakee käyttäjän sähköpostiosoitteen ja nimen. Sen jälkeen se allekirjoittaa nämä yhdessä getImageRightista saadun aikaleiman kanssa jaetulla salaisuudella.
 
Mikäli käyttäjä on uusi, hänelle luodaan tili. Remote Authenticationin asetuksissa on määriteltävissä mihin ryhmään tili luodaan. Pääkäyttäjä voi myöhemmin siirtää käyttäjän toiseen ryhmään.
 
Myös sekakäyttö on mahdollista, eli käyttäjä voi käyttää sisäverkosta ilman tunnistusta ja ulkoa tunnuksilla. Sekakäyttö onnistuu siten, että Remote Authentication rajataan IP:iden mukaan, mutta käyttäjäryhmää ei rajata. Vastaavasti jos sekakäyttö halutaan estää, on käyttäjäryhmään asetettava sama IP-rajaus kuin Remote Authenticationiin.

Remote Authentication ominaisuus on vakiona Professional-versiosta lähtien ja se on käyttöönotettavissa asetuksista. Standard-versioon ominaisuus on saatavilla lisähintaan. Ota yhteys myyntiin.