L’autenticazione integrata, nel senso di integrata in Windows, utilizza le stesse credenziali con cui l’utente accede a Windows, per identificare l’utente di Check&In. Il risultato è che si entra in Check&In direttamente, senza passare per la pagina di login. E’ tuttavia necessario, preventivamente, definire un utente di Check&In da far corrispondere all’utente di Windows e che definisce tutte le informazioni proprie degli utenti di check&In.
L’autenticazione integrata può essere utilizzata da quegli utenti che possiedono degli account di Windows riconosciuti sul web server, come in un contesto di intranet.
Per eseguire l’autenticazione integrata, si accede a Check&In con la URL principale seguita da “/intranet”:
http://.../checkandin/intranet
Se l’account di Windows è riconosciuto da IIS, e se i successivi controlli di Check&In hanno successo, si accede alla pagina iniziale, altrimenti si viene reindirizzati alla pagina di login tradizionale, che mostra il motivo per cui è fallita l’autenticazione. Da questa pagina si può accedere a Check&In secondo la modalità standard e quindi inserendo le credenziali, oppure si può ripetere l’accesso automatico riscrivendo la URL sopra citata. Lo schema è il seguente:
Utilizzando questa modalità di autenticazione, si chiede all’applicazione di rilevare l’identità del chiamante come utente di Windows, e successivamente di utilizzare questa identità per l’accesso a Check&In. Distinguiamo queste fasi:
1.autenticazione di Windows: per ottenere l’account di Windows dell’utente, IIS può usare varie tecniche; a seconda di come è configurato IIS e del tipo di browser utilizzato dall’utente, può venir chiesto di reinserire le credenziali di windows con una maschera. Se le credenziali sono riconosciute da IIS, si passa alla fase successiva, altrimenti si ha l’errore HTTP 401 (non si è autorizzati a vedere la pagina);
2.autenticazione di Check&In: Check&In riceve il nome utente nella forma di un account Windows, quindi completo di dominio di appartenza, ad es. “Dominio1\Utente1” e verifica che questo nome corrisponda ad un nome utente predefinito;
Configurare l’autenticazione integrata
E' importante il parametro Parametro “Regola di corrispondenza con gli utenti di Check&In”, in base al quale si traduce il nome Windows in un nome utente che Check&In controlla.
Quando il login si fa in modo single sign-on, allora Check&In verifica solamente se il nome utente esiste e non controlla la password, che invece è controllata quando l'utente inserisce manualmente le credenziali.
Quando si è nella pagina di login, se si inserisce un nome utente che contiene una parte di dominio, allora il nome viene ricercato fra gli utenti di Check&In dopo che è stato convertito nella forma “utente@dominio”. Ad esempio l’utente windows “Produzione\andrea” può autenticarsi via login inserendo il nome “Produzione\andrea” oppure “andrea@Produzione” e la relativa password: in entrambi i casi si cerca in archivio l’utente di nome “andrea@Produzione”.
Si noti che, utilizzando l’autenticazione integrata, è comunque importante definire gli utenti con una password, per proteggere l’accesso via login.
La configurazione di IIS
La procedura di installazione di Check&In, oltre a copiare i file, configura opportunamente IIS, definendo le directory virtuali e le modalità di autenticazione. Può essere però necessario rivedere queste impostazioni, ad esempio quando si fa un’installazione manuale copiando i file, oppure per risolvere eventuali malfunzionamenti.
L’installazione corretta ha queste carattersitiche:
1.il sito Check&In è composto da 2 directory virtuali, che corrispondono a 2 applicazioni: la directory virtuale del sito, CheckAndIn, e la directory virtuale intranet che punta alla sottodirectory “intranet” del sito.
2.CheckAndIn: su questa è abilitato l’accesso anonimo;
3.intranet: su questa non è abilitato l’accesso anonimo, ma solo quello con autenticazione integrata di Windows.
L’applicazione “intranet” serve unicamente per implementare l’autenticazione integrata di Windows di Check&In, infatti l’accesso a “intranet” ha come unico effetto quello di ricavare le credenziali dell’utente e di indirizzarlo su Check&In.
Per questo motivo, per disattivare l’autenticazione integrata è sufficiente rimuovere l’applicazione “intranet” o la stessa directory virtuale.
È inoltre importante che le MachineKey delle directory virtuali intranet e Check&In corrispondano tra l'applicazione principale:
Con la versione 24.0.1 di Check&In, la gestione di queste chiavi viene automatizzata ma è comunque necessario definire manualmente queste chiavi.
Per fare ciò, aprire IIS Manager, selezionare la directory CheckAndIn e, dalla sezione ASP.NET, aprire il menu Machine Key. Per default, sia Validation Key che Decryption Key hanno come valore "AutoGenerate,IsolateApps" che, come detto in precedenza, permette la generazione automatica di queste chiavi.
Per modificarle, togliere le spunta da "Genera chiavi automaticamente", cliccare su "Genera chiavi" dal menu a destra e poi su "Applica" sempre dal medesimo menu. A questo punto basta riavviare IIS ed il servizio Check&In affinchè queste modifiche vengano recepite anche dalla sottoapplicazione "Intranet".
Nelle versioni precedenti alla 24.0.1, invece, le chiavi inserite per l'applicazione CheckAndIn devono essere copiate anche nella sotto-applicazione "Intranet", utilizzando lo stesso metodo descritto qui sopra dopo aver selezionato la "sotto-applicazione".