Si parla di sistema basato su “Single Sign On” (SSO) quando le richieste di autenticazione non vengono direttamente gestite dal sistema stesso ma vengono ridirette verso un’altro sistema di autenticazione che ha precedentemente certificato le credenziali dell’utente connesso, senza quindi avere la necessità di richiedere nuovamente le credenziali per l’accesso.In un ambiente di dominio Microsoft Active Directory, ogni utente effettua l'autenticazione nel momento in cui accende il computer per poter fruire del PC, e dei servizi messi a disposizione dal dominio stesso.
 |
| La finestre di log in di un PC appena acceso appartenente ad un dominio Active Directory |
Essendo Active Directory un server LDAP, si presta anche a svolgere la funzione di autenticazione per altri sistemi come appunto FileMaker, oltre a consentire la pubblicazione sul dominio di FileMaker Pro Server. Al fine di poter sfruttare il SSO delegando ad Active Directory l'autenticazione degli utenti, occorre prima di tutto installare il proprio Filemaker Pro Server su un computer, meglio se server, collegato al dominio.
Accedi al server di dominio e avvia "Utenti e computer di Active Directory", per creare una OU (Organizational Unit) cui dare nome "FileMaker", per esempio, finalizzata al servizio di directory dedicato a FileMaker Pro Server.
 |
| Creare un Organizationl Unit in Active Directory |
Ora che hai una Organizational Unit, utilizzala per pubblicare FileMaker Pro Server, di modo che sia accessibile ai client senza che ne conoscano l'effettivo indirizzo ma ottenendolo da Active Directory.
Avvia l'Admin Console di FileMaker Pro Server (il server da me utilizzato è un Filemaker Pro Server 10 Advanced), e scelto dal menu a sinistra "Server Database", scheda "Client Filemaker Pro", fai clic sul pulsante "Configura servizio di directory..."
 |
| L'Assistente di FileMaker Server al servizio di directory |
Nell'assistente al servizio di directory specifica l'indirizzo del server di dominio (stranamente a me non funziona il nome del dominio ma sono stato obbligato a inserire l'ip) quindi il punto d'ingresso che sarà "ou=FileMaker,dc=tuo,dc=dominio,dc=local" se hai creato la precedente Organizational Unit dentro la root del dominio tuo.dominio.local
Per interrogare Active Directory, indica anche un nome utente di dominio ed un password. Fai quindi clic su "Avanti".
 |
| Cosa pubblicare sul servizio di directory |
Nella schermata successiva scegli di pubblicare FileMeker Pro Server ed eventualmente le informazioni sull'amministratore del server.
A questo punto, in Active Directory all'interno della ou FileMaker, compare il server che ospita FileMaker Pro Server come punto di connessione al servizio.
 |
| Come appare FileMaker Server registrato nel servizio di directory di Active |
Ora che il servizio di directory è attivo e configurato, vai in Admin Console e, scelto dal menu a sinistra "Server Database", vai alla scheda "Sicurezza". In "Autenticazione client" scegli "Account server esterno e FileMaker" e nella sezione "Filtro file visualizzati" scegli l'opzione corrispondete alle tue preferenze ossia se desideri che gli utenti vedano tutti i database o solo quelli per cui possano essere autenticati con il SSO. In tal modo FileMaker Pro Server cerca di autenticare gli utenti via Active Directory e in alternativa tramite gli account FileMaker locali al database.
Puoi quindi configurare i FileMaker Pro Client perché sfruttino il servizo di directory per accedere alla lista dei database disponibili per l'utente. Questa operazione va fatta una sola volta per ogni client installato. Avvia il client che desideri configurare e scegli "File|Apri Remoto..."
 |
| Configurazione dei criteri di sicurezza per FileMaker Pro Server |
 |
| Configurare FileMaker Pro Client per mostrare i server registrati su Active Directory |
Dal menu a tendina "Visualizza" scegli "Host elencati per LDAP" quindi fai clic su "Specifica..."
 |
| Configurazione del servizio LDAP sul Client |
Indica il nome del dominio in "Indirizzo server", e la "Base di ricerca" come indicata nel "Punto di ingresso" su FileMaker Server. Spunta "Usa autenticazione di Windows" e scegli "Accedi come utente corrente".
Il client è ora configurato per vedere tutti i FileMaker Pro Server (qualora ce ne sia più d'uno) pubblicati nella ou FileMaker precedentemente creata.
 |
| Il FileMaker Pro Client configurato |
Il client vedrà tutti i database aperti sul server ovvero solo i database cui ha diritto di accesso a seconda di come impostato in FileMaker Pro Server. Cercando di aprire un database remoto le credenziali di dominio saranno utilizzate per interrogare LDAP su ciò che l'utente può fare, ossia non sarà richiesto all'utente di inserire alcun nome utente e password (SSO), ma sono utilizzate le credenziali di dominio.
 |
| Immagine tratta da un manuale FileMaker Pro |
Tale autenticazione funziona anche via Web, ad esempio con IWP (Istant Web Publishing), ma l'utente deve inserire nome utente e password di dominio quando richiesto. Comunque si avrà il vantaggio di non dover imparare nuovi nomi utente e password e la gestione degli utenti resta delegata ad Active Directory.
Nei prossimo post si vedrà come perfezionare la configurazione FileMaker Pro Server e dei file .fp7 per ottenere questi risultati.
