Autenticazione Windows integrata

Autenticazione integrata di Windows (IWA) consente agli utenti di autenticarsi senza problemi utilizzando le proprie credenziali di Windows. Questo metodo sfrutta protocolli come NTLM (NT LAN Manager) o Kerberos per autenticare gli utenti senza che questi debbano reinserire le proprie credenziali quando accedono a servizi o applicazioni all'interno del dominio Windows.

MyQ X supporta l'autenticazione tramite NTLM, utilizzando un meccanismo di sfida-risposta. In questo processo, l'utente fornisce una versione hash della propria password e il server la convalida senza dover conoscere la password reale.

Se il computer client appartiene al dominio (ad esempio, un'applicazione intranet), l'utente non deve inserire le credenziali.

Prerequisiti

Per utilizzare l'IWA è necessario soddisfare i seguenti requisiti:

• Servizi di dominio di Active Directory (AD DS) deve essere installato e configurato.

• I dispositivi e i server MyQ devono essere collegati allo stesso dominio locale.

• Una corretta configurazione del DNS è fondamentale per garantire una risoluzione accurata dei nomi di dominio.

• I dispositivi funzionano con Windows.

• Gli utenti devono essere sincronizzati da Active Directory e utilizzarlo come server di autenticazione in MyQ.

Configurazione

IWA è solitamente abilitato per impostazione predefinita e non richiede una configurazione estesa, a meno che non sia necessario applicare criteri di sicurezza specifici. La configurazione è gestita principalmente tramite i Criteri di gruppo e IIS (se si eseguono le applicazioni; IIS non è necessario per l'autenticazione con MyQ) e di solito funziona automaticamente in un ambiente di dominio correttamente configurato.

Sui client, è necessario assicurarsi che l'Autenticazione Windows sia abilitata nei browser Web e che il server MyQ sia aggiunto come sito Web intranet nello stesso tono dei computer client.

Controllore di dominio

• Le impostazioni NTLM possono essere facilmente gestite attraverso i Criteri di gruppo. A tale scopo, aprire la Console di gestione dei Criteri di gruppo (GPMC) e andare su Configurazione del computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Opzioni di sicurezza. In questa sezione, si incontreranno vari criteri relativi a NTLM, tra cui Sicurezza di rete: Livello di autenticazione di LAN Manager.

• Verificate che queste impostazioni soddisfino i vostri requisiti di sicurezza. Ad esempio, è possibile impostare il livello di autenticazione di LAN Manager in modo da consentire solo le risposte NTLMv2, una scelta più sicura rispetto a NTLMv1.

Configurazione del cliente

Assicurarsi che i client siano configurati per utilizzare l'autenticazione integrata di Windows (IWA). In genere è necessario configurare i browser web (come Edge, Chrome o Firefox) per abilitare l'accesso automatico utilizzando il nome utente e la password correnti per i siti intranet.

Microsoft Edge

• Opzioni Internet → Avanzate → Sicurezza → Abilita l'autenticazione integrata di Windows.

• Opzioni Internet -> Sicurezza -> Intranet locale -> Siti -> Avanzate, aggiungere qui i siti intranet. Andare quindi a Livello personalizzato -> Autenticazione utente -> Accesso -> Accesso automatico solo nella zona Intranet.

Esperienza di accesso dell'utente

Autenticazione Windows sull'interfaccia web di MyQ

L'autenticazione di Windows può essere attivata in Impostazioni → Autenticazione utente. Una volta effettuata questa operazione, nella schermata di accesso viene visualizzato un nuovo metodo di accesso. In questo modo si garantisce che gli utenti possano continuare a utilizzare altre forme di autenticazione se l'IWA non è applicabile (ad esempio, utenti guest, utenti BYOD, account *admin).

Se l'autenticazione di Windows non riesce, l'utente viene reindirizzato all'esperienza di accesso standard e può continuare con un altro metodo di accesso. Il messaggio di errore Credenziali non valide verrà visualizzato.

Autenticazione Windows in MyQ Desktop Client

L'autenticazione di Windows può essere attivata in Impostazioni → Il Desktop Client MyQ per profili di configurazione specifici. In questo modo, è possibile attivare questa opzione solo per alcuni computer, mentre su un'altra serie di computer è possibile selezionare il login standard con le credenziali MyQ o le credenziali convalidate tramite LDAP rispetto a una directory utenti remota (ad esempio, AD).

Se l'autenticazione di Windows non riesce, l'utente viene reindirizzato all'esperienza di login standard e può inserire le credenziali MyQ o accedere con credenziali convalidate tramite LDAP rispetto a una directory utenti remota (ad esempio, AD).

Risorse e risoluzione dei problemi

• Autenticazione integrata di Windows - Wikipedia

• Autenticazione Windows integrata | Microsoft Learn

• Abilitare l'autenticazione NTLM 2 - Client di Windows | Microsoft Learn

• Microsoft NTLM - Applicazioni Win32 | Microsoft Learn

• Risoluzione dei problemi di AD FS - Autenticazione integrata di Windows | Microsoft Learn