Para autenticar automaticamente o usuário no Fusion Platform, o primeiro passo a ser feito é a configuração do AD na plataforma.
1- Ao acessar o menu Configuração> Sincronização de Usuários, via LDAP, as informações dos usuários disponíveis na rede devem estar acessíveis atualizadas.
2- Os usuários do AD devem conseguir logar no sistema Fusion utilizando o login e senha do AD para configurar a autenticação automática.
3- Será necessário configurar a Autenticação Kerberos no Servidor AD, dando permissão para o protocolo acessar sem as validações e habilitados algumas Flags para todos os usuários.
Segue abaixo as configurações:
1: Criar usuário no AD para integração com as devidas permissões de ADM (Ex: Kerberos).
2: Configurar SPN:
setspn.exe -A HTTP/SERVIDORAD.DOMINIO kerberos
setspn.exe -A HTTP/SERVIDORAD kerberos
setspn.exe -A HTTP/SERVIDORFUSION.DOMINIO kerberos
setspn.exe -A HTTP/SERVIDORFUSION kerberos
3: Política de Segurança (TRADUÇÃO: TEMOS QUE ATIVAR TUDO):
In Active Directory environments, the Kerberos etypes can be configured in Group Policy in the following location: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Configure encryption types allowed for Kerberos. If left undefined, which is the default setting, Active Directory will use the highest¬strength algorithm. Also note that the DES encryption types have been deprecated in Server 2008 and higher. If legacy Kerberos systems require these, you must define a policy and link it to your domain.
In Active Directory, also check the user’s settings in the Account tab for the following values: ¬ Use Kerberos DES encryption types for this account ¬ This account supports Kerberos AES 128 bit encryption. ¬ This account supports Kerberos AES 256 bit encryption. If in a mixed environment with Domain Controllers running Windows 2000/2003 and DCs running 2008+, enabling AES on the account may cause issues if a user’s TGT session keys are generated with AES and the user attempts to use these session keys for Service Tickets generated on Windows 2000/2003 DCs. Additionally, DES encryption types were deprecated with Windows 2008, so if account principals are configured to use DES, you must either: 1) enable DES via Group Policy as described above; or 2) disable DES on the account options.
4: Todos os usuários deverão ter habilitados a criptografia de comunicação
[x] Esta conta oferece suporte para criptografia de 128 bits.
[x] Esta conta oferece suporte para criptografia de 256 bits.
5: Configurações de Navegadores:
IE:Opções de Internet> Segurança e ir em Intranet Local/Sites e marcar as seguintes opções:
[x] Detectar automaticamente a rede intranet
[x] Incluir todos os sites locais (intranet) não listados em outras zonas.
[x] Incluir todos os sites que não usam o servidor proxy.
[x] Incluir todos os caminhos de rede (UNCs).
Ir em Avançadas e adicionar o servidor do fusion como zona confiável (ex: http://www.neomind.com.br/fusion)
Ir em Opções da Internet> Avançadas e marcar a opção: [x] Habilitar a Autenticação Integrada do Windows.
Observação: Essas são as configurações para utilizar o Protocolo kerberos para autenticação automática na rede.
Se as políticas de segurança da empresa ou regra de negócio não permitem habilitar as configurações necessária, logo não será possível utilizar a autenticação automática na ferramenta Fusion.
Arquivo: Autenticação Kerberos