Discussion :

[StringBuilder]

Bonjour,

Dans le cadre d'un projet client, nous avons la problématique suivante :

Le programme gère un SSO en faisant le matching entre le compte Windows et le compte utilisateur de l'application.
On a donc activé l'authentification Windows dans IIS.

Tout fonctionne bien quand on utilise IIS depuis le réseau local : IIS et le poste client sont dans le même domaine, et les droits NT s'appliquent à merveille.

En revanche, là où ça se corse :
- Si en local on utilise l'adresse publique du site
- Si on prend un poste local, et qu'on le sort du réseau (passage en 3G d'un ordinateur portable par exemple)

Dans ces deux cas, on se retrouve avec une fenêtre d'authentification qui nous invite à entrer un compte Windows.
Si on ressaisi le compte Windows de l'utilisateur, aucun souci, ça fonctionne.

Seul hic : c'est plus du SSO, puisque l'utilisateur doit entrer son login/pass Windows (à la place du login/pass applicatif...)

L'éditeur nous explique qu'on sait pas paramétrer IIS, qu'on configure mal leur logiciel, qu'il faut du SSL et je ne sais quoi d'autre...

Au détail près que d'après moi, c'est impossible de faire du "vrai" SSO dans ces conditions : accès par internet = accès hors du domaine = pas de validation de la session = saisie obligatoire d'un login.

Est-ce que vous voyez une solution pour authentifier un PC extérieur au réseau (mais inscrit dans le domaine, avec une session local d'un utilisateur du domaine) sans devoir saisir de mot de passe ?

Pour le moment, on a la solution du VPN, histoire de retrouver à l'extérieur un accès au domaine. Cependant, c'est pas tout à fait la solution ultime recherchée...

[JeremyJeanson]

Bonjour,

Le vrai problème, c'est la manière dont les postes du domaine découvrent qu'il s'agit d'un site comme un site intranet. La configuration par défaut fait que les pc du domaine considère le serveur sur le réseau local, comme un serveur d'un site intranet.

Par défaut, leurs navigateurs font confiance à ce site, ils lui envoient donc automatiquement les information d'authentification.

Pour les utilisateurs hors du réseau avec un poste du domaine, il suffit de forcer l'ajout du nom DNS du site dans la liste des sites intranet, plutôt que de laisser le navigateur les découvrir. Sur IE, c'est dans options sécurité.

Pour info, les administrateurs peuvent pousser cette liste via les GPO de l'Active Directory

[Toby84]

Bonjour,

J'ai peut-être le même problème mais je n'ai pas réussi à le résoudre donc je vais vous expliquer mon souci :

On a installé un outil sur un serveur de production chez un client.
Comme vous, on a mis en place le programme SSO pour le matching entre le compte Windows et le compte utilisateur de l'outil.
Et bien sûr, l'authentification Windows est activée dans IIS.

Mais impossible d'accéder à l'outil, une popup réclame la connexion de Windows en boucle, quel que soit ce qu’on saisit dedans.

Et aussi, le client nous a dit que cela pourrait être lié à des profils Active Directory qui font partie d’un très grand nombre de groupes de sécurité.

Auriez-vous une idée ? Cela vient de l'Active Directory ? Ou autre chose ?

Merci d'avance