Inicio de sesión único (SSO, del inglés Single Sign-On)

El inicio de sesión único está diseñado para limitar a los usuarios el uso de diferentes PC con el mismo nombre de usuario. Es transparente para el usuario; no hay mensajes específicos asociados a él. Al registrar una nueva granja o modificar una existente con la opción Windows Authentication (Autenticación de Windows) seleccionada, aparecerá el siguiente mensaje en caso de fallo: Windows Authentication Failed. You must enter the user and the password. (Fallo de autenticación de Windows. Debe introducir el usuario y la contraseña.)

SSO funciona de manera conjunta con el proceso de autenticación de Symphony actual o existente. La autenticación de Windows es más segura que la de Symphony; utiliza el sistema de seguridad integrado de Windows. La comunicación entre cliente y servidor se realiza a través de un servicio web WSE 3.0 SOAP.

Si los usuarios necesitan que sus granjas registradas estén disponibles en todos los equipo del dominio, deben activar el perfil móvil de usuario (Windows).

Symphony no es compatible con la autenticación entre dominios para SSO.
SSO está diseñado para limitar a los usuarios el uso de diferentes PC con el mismo nombre de usuario; sin embargo, es posible que un usuario inicie sesión varias veces de manera involuntaria en el mismo PC.

Flujo del proceso

1.      Cuando el Cliente Symphony se conecta a una granja, crea un token de seguridad a partir de la identidad del usuario de Windows registrado en ese momento; el usuario debe haberse registrado en la cuenta de dominio.

2.      El token de seguridad se envía a la granja o al servidor para su autenticación.

3.      La granja o el servidor verifican que el token es válido y determinan la cuenta de dominio asociada a él.

4.      En caso de conformidad, la granja o el servidor envían un ID de sesión al cliente.

5.      En caso de no conformidad, el estado de la granja del cliente cambia a No autorizado.

6.      En caso de no conformidad, el usuario puede registrarse con las credenciales de Symphony:

a.      En el Cliente Symphony, haga clic con el botón derecho en la granja, en Lista de servidores.

b.      Seleccione Editar. Se abrirá el cuadro de diálogo Server Login Information (Información de registro del servidor).

c.  Desactive el inicio de sesión único: desactive la casilla de verificación Windows Authentication (Autenticación de Windows).

d.      Haga clic en Aceptar.

e.      Introduzca el nombre de usuario y la contraseña.

Se necesitan varios Clientes Symphony en un único registro de Windows (cada uno de ellos registrado con un usuario distinto) para ejecutar Live Ban. Así, la función Single Sign On (Inicio de sesión único) no estará disponible para Paredes de video cuando se ejecute al mismo tiempo Live Ban.

Requisitos previos

La función Inicio de sesión único utiliza la identidad de dominio del cliente para autenticarse en el servidor; por lo tanto, el cliente y el servidor deben estar en el mismo dominio de seguridad. Así, la función Inicio de sesión único solo está disponible cuando:

       Los equipos cliente y servidor han iniciado sesión en el mismo dominio y

       El usuario inicia una sesión en el equipo cliente como usuario del dominio con las credenciales del dominio. (Un usuario puede iniciar una sesión en un equipo localmente en cuyo caso la función Inicio de sesión único no estará disponible.)

En dominios controlados por Windows Server 2008 (o posterior) y en clientes con Vista/Windows 7:

       El cifrado AES256_HMAC_SHA1 debe desactivarse ya que no lo puede gestionar el servicio WSE 3.0 utilizado por la función Inicio de sesión único. Esta política debe aplicarla el controlador del dominio y debe establecerla el personal de TI a cargo del dominio.

Activación de inicio de sesión único (SSO, del inglés Single Sign-On)

       Activación en el Cliente Symphony (o manualmente) del inicio de sesión único

       Cambio en el Cliente Symphony de la ruta de almacenamiento de registro de la granja a un servidor de red

Tarea 1: Activación en el Cliente Symphony (o manualmente) del inicio de sesión único

Para activar o desactivar el inicio de sesión único en el Cliente Symphony:

1.      En el Cliente Symphony, haga clic con el botón derecho en la granja, en la Lista de servidores.

2.      Seleccione Editar. Se abrirá el cuadro de diálogo Server Login Information (Información de registro del servidor).

        Para activar el inicio de sesión único, seleccione la casilla de verificación Windows Authentication (Autenticación de Windows).

        Para desactivar el inicio de sesión único, desactive la casilla de verificación Windows Authentication (Autenticación de Windows).

3.      Haga clic en Aceptar.


Casilla de verificación Windows Authentication (Autenticación de Windows)

Para activar el inicio de sesión único manualmente:

1.      Edite %APPDATA%\Aimetis\RegisteredFarms.xml.

Ejemplo:

<RegisteredFarms>

   <Farm ID=“74083”>

       <Encryption>6.2</Encryption>

      <Alias>10.234.10.76</Alias>

       <SpecifiedAddress>10.234.10.76</SpecifiedAddress>

       <UserName>MVYlTEIRRUhQ</UserName>

       <Password>kjdflasdkjflakj</Password>
      <UseWindowsAuthentication>false </UseWindowsAuthentication>

      <Addresses>

         <Address>

         <SpecifiedAddress>10.222.10.73</SpecifiedAddress>

         <IP>10.222.10.73</IP>

          <Port>50001</Port>

         </Address>

       </Addresses>

    </Farm>

</RegisteredFarms>

2.      En <Farm ID = number”>,

        Para activar el inicio de sesión único, defina:
<UseWindowsAuthentication>true </UseWindowsAuthentication>

        Para desactivar el inicio de sesión único, defina:
<UseWindowsAuthentication>false </UseWindowsAuthentication

Tarea 2: Cambio en el Cliente Symphony de la ruta de almacenamiento de registro de la granja a un servidor de red

Para asegurarse de que la información de registro de la granja se guarda en un servidor de red:

1.      En el menú Ver, seleccione Configuración. Se abrirá el cuadro de diálogo Configuración del Cliente Symphony.

2.      Haga clic en la ficha Global.

3.      Seleccione la casilla de verificación Custom path to farm registration (Personalizar ruta de registro de la granja).

4.      En el siguiente campo introduzca la ruta en la red donde se guardará la información de registro de todos los usuarios móviles.

        El servidor de red en el que almacenarán todos los registros de la granja deberá ser accesible desde todos los clientes.

        Se trata de un parámetros global. Todos los usuarios que se registren en este cliente utilizarán este parámetro. Utilice la variable %WINUSER% al configurar esta ruta para que cada usuario disponga de una ruta exclusiva en la que se guarde el registro de la granja. El usuario debe disponer de derechos de “modificación” de Windows para esta carpeta. Este parámetro solo se define una vez en cada equipo cliente.

Es un riesgo para la seguridad que varios usuarios compartan un mismo registro de la granja.