L’autenticazione integrata, nel senso di integrata in Windows, utilizza le stesse credenziali con cui l’utente accede a Windows, per identificare l’utente di Check&In. Il risultato è che si entra in Check&In direttamente, senza passare per la pagina di login. E’ tuttavia necessario, preventivamente, definire un utente di Check&In da far corrispondere all’utente di Windows e che definisce tutte le informazioni proprie degli utenti di check&In.
L’autenticazione integrata può essere utilizzata da quegli utenti che possiedono degli account di Windows riconosciuti sul web server, come in un contesto di intranet.
Per eseguire l’autenticazione integrata, si accede a Check&In con la URL principale seguita da “/intranet”:
http://.../checkandin/intranet
Se l’account di Windows è riconosciuto da IIS, e se i successivi controlli di Check&In hanno successo, si accede alla pagina iniziale, altrimenti si viene reindirizzati alla pagina di login tradizionale, che mostra il motivo per cui è fallita l’autenticazione. Da questa pagina si può accedere a Check&In secondo la modalità standard e quindi inserendo le credenziali, oppure si può ripetere l’accesso automatico riscrivendo la URL sopra citata. Lo schema è il seguente:
Utilizzando questa modalità di autenticazione, si chiede all’applicazione di rilevare l’identità del chiamante come utente di Windows, e successivamente di utilizzare questa identità per l’accesso a Check&In. Distinguiamo queste fasi:
| 1. | autenticazione di Windows: per ottenere l’account di Windows dell’utente, IIS può usare varie tecniche; a seconda di come è configurato IIS e del tipo di browser utilizzato dall’utente, può venir chiesto di reinserire le credenziali di windows con una maschera. Se le credenziali sono riconosciute da IIS, si passa alla fase successiva, altrimenti si ha l’errore HTTP 401 (non si è autorizzati a vedere la pagina); |
| 2. | autenticazione di Check&In: Check&In riceve il nome utente nella forma di un account Windows, quindi completo di dominio di appartenza, ad es. “Dominio1\Utente1” e verifica che questo nome corrisponda ad un nome utente predefinito; |
Configurare l’autenticazione integrata
E' importante il parametro Parametro “Regola di corrispondenza con gli utenti di Check&In”, in base al quale si traduce il nome Windows in un nome utente che Check&In controlla.
Quando il login si fa in modo single sign-on, allora Check&In verifica solamente se il nome utente esiste e non controlla la password, che invece è controllata quando l'utente inserisce manualmente le credenziali.
Quando si è nella pagina di login, se si inserisce un nome utente che contiene una parte di dominio, allora il nome viene ricercato fra gli utenti di Check&In dopo che è stato convertito nella forma “utente@dominio”. Ad esempio l’utente windows “Produzione\andrea” può autenticarsi via login inserendo il nome “Produzione\andrea” oppure “andrea@Produzione” e la relativa password: in entrambi i casi si cerca in archivio l’utente di nome “andrea@Produzione”.
Si noti che, utilizzando l’autenticazione integrata, è comunque importante definire gli utenti con una password, per proteggere l’accesso via login.
La configurazione di IIS
La procedura di installazione di Check&In, oltre a copiare i file, configura opportunamente IIS, definendo le directory virtuali e le modalità di autenticazione. Può essere però necessario rivedere queste impostazioni, ad esempio quando si fa un’installazione manuale copiando i file, oppure per risolvere eventuali malfunzionamenti.
L’installazione corretta ha queste carattersitiche:
| 1. | il sito Check&In è composto da 2 directory virtuali, che corrispondono a 2 applicazioni: la directory virtuale del sito, CheckAndIn, e la directory virtuale intranet che punta alla sottodirectory “intranet” del sito. |
| 2. | CheckAndIn: su questa è abilitato l’accesso anonimo; |
| 3. | intranet: su questa non è abilitato l’accesso anonimo, ma solo quello con autenticazione integrata di Windows. |
L’applicazione “intranet” serve unicamente per implementare l’autenticazione integrata di Windows di Check&In, infatti l’accesso a “intranet” ha come unico effetto quello di ricavare le credenziali dell’utente e di indirizzarlo su Check&In.
Per questo motivo, per disattivare l’autenticazione integrata è sufficiente rimuovere l’applicazione “intranet” o la stessa directory virtuale.