- 
Active Directory, Domino en SSO
Category analyse
Bookmark :
Bij een klant van e-office wordt gebruik gemaakt van Active Directory en een Domino Directory om authenticatie voor een aantal applicaties en domeinen te regelen. Zowel de Active Directory als de Domino Directory worden gebruikt als LDAP directory. De klant gebruikt Domino Web Access (vroeger bekend als iNotes) via Internet Explorer en wil voorkomen dat de eindgebruiker een username/wachtwoord-scherm te zien krijgt. Anders gezegd, de klant wil single sign on (SSO) tussen Domino en Windows. Hoe hebben we dat opgelost?
Bookmark :
Bij een klant van e-office wordt gebruik gemaakt van Active Directory en een Domino Directory om authenticatie voor een aantal applicaties en domeinen te regelen. Zowel de Active Directory als de Domino Directory worden gebruikt als LDAP directory. De klant gebruikt Domino Web Access (vroeger bekend als iNotes) via Internet Explorer en wil voorkomen dat de eindgebruiker een username/wachtwoord-scherm te zien krijgt. Anders gezegd, de klant wil single sign on (SSO) tussen Domino en Windows. Hoe hebben we dat opgelost?
AD, DD, IIS
In de persoonsdocumenten die in de Domino Directory staan, wordt de Windows-usernaam van de eindgebruikers opgenomen. Daarna wordt IIS ingeschakeld als HTTP-stack voor de Domino ND6-servers. Tenslotte wordt in de Domino Directory een Web SSO document opgenomen.
Als de eingebruiker aangelogd is aan het Windows-domein, zal de IIS-server die aanloggegevens gebruiken om de eindgebruiker te authenticeren voor Domino. De eindgebruiker die via Domino Web Access (via de browser dus) zijn mailfile opent, hoeft zich dus niet meer aan te melden bij de Domino server en wordt zonder verdere login doorgestuurd naar zijn of haar eigen mailfile. Daarnaast wordt er, omdat er een Web SSO document in de Domino Directory staat, bij de eindgebruiker een LTPA Token gezet.
Portal
Naast Domino Web Access heeft de klant ook nog WebSphere Portal. Doordat we in de vorige stap een LTPA Token gezet hebben, kan de eindgebruiker nu ook zonder verder in te loggen gebruik maken van zijn of haar persoonlijke portal-pagina's. De Single Sign On strekt zich nu dus uit van Active Directory en de Domino Directory naar de Portal-omgeving.
En andersom? Als je nu eerst aanlogt aan de Portal in plaats van aan Domino Web Access? Dan worden de eindgebruikers, zonder dat ze het zelf merken, volkomen transparant dus, omgeleid via de IIS-stack naar de Domino server om het LtpaToken in ontvangst te nemen, waarna ze zonder verdere vragen naar hun persoonlijke Portal-pagina's doorgestuurd worden.
Deze constructie hebben we vorige week met succes geïmplementeerd in een Proof of Concept-omgeving. In deze blog-entry zijn natuurlijk alleen de hoofdlijnen omschreven; iedere omgeving is specifiek en heeft zijn eigen eigenaardigheden, waardoor dingen anders geimplementeerd zullen worden.
Overigens: je kunt de Active Directory ook inzetten als alternatief voor de Domino Directory, dus authenticatie in Domino helemaal laten verlopen via de Active Directory. Er zijn echter niet veel bedrijven die hier gebruik van maken, en om diverse redenen was dit bij deze klant ook geen optie.
In de persoonsdocumenten die in de Domino Directory staan, wordt de Windows-usernaam van de eindgebruikers opgenomen. Daarna wordt IIS ingeschakeld als HTTP-stack voor de Domino ND6-servers. Tenslotte wordt in de Domino Directory een Web SSO document opgenomen.
Als de eingebruiker aangelogd is aan het Windows-domein, zal de IIS-server die aanloggegevens gebruiken om de eindgebruiker te authenticeren voor Domino. De eindgebruiker die via Domino Web Access (via de browser dus) zijn mailfile opent, hoeft zich dus niet meer aan te melden bij de Domino server en wordt zonder verdere login doorgestuurd naar zijn of haar eigen mailfile. Daarnaast wordt er, omdat er een Web SSO document in de Domino Directory staat, bij de eindgebruiker een LTPA Token gezet.
Portal
Naast Domino Web Access heeft de klant ook nog WebSphere Portal. Doordat we in de vorige stap een LTPA Token gezet hebben, kan de eindgebruiker nu ook zonder verder in te loggen gebruik maken van zijn of haar persoonlijke portal-pagina's. De Single Sign On strekt zich nu dus uit van Active Directory en de Domino Directory naar de Portal-omgeving.
En andersom? Als je nu eerst aanlogt aan de Portal in plaats van aan Domino Web Access? Dan worden de eindgebruikers, zonder dat ze het zelf merken, volkomen transparant dus, omgeleid via de IIS-stack naar de Domino server om het LtpaToken in ontvangst te nemen, waarna ze zonder verdere vragen naar hun persoonlijke Portal-pagina's doorgestuurd worden.
Deze constructie hebben we vorige week met succes geïmplementeerd in een Proof of Concept-omgeving. In deze blog-entry zijn natuurlijk alleen de hoofdlijnen omschreven; iedere omgeving is specifiek en heeft zijn eigen eigenaardigheden, waardoor dingen anders geimplementeerd zullen worden.
Overigens: je kunt de Active Directory ook inzetten als alternatief voor de Domino Directory, dus authenticatie in Domino helemaal laten verlopen via de Active Directory. Er zijn echter niet veel bedrijven die hier gebruik van maken, en om diverse redenen was dit bij deze klant ook geen optie.
Comments
Dit interesseert me geweldig. Zou u me enkele pointers kunnen mailen waarmee ik dit kan realiseren?
Dankje,
Jantje.
Posted by Jantje At 16:16:14 On 20-06-2006 | - Website - |
Zou je de gedetailleerde stappen willen emailen?
Alvast bedankt,
Hendrik
Posted by Hendrik Dijkstra At 21:49:12 On 09-05-2007 | - Website - |