Autenticazione Windows integrata

L'autenticazione integrata di Windows (IWA) consente agli utenti di un dominio Windows di accedere a MyQ senza reinserire le proprie credenziali. Quando sia il server MyQ che il dispositivo client sono membri del dominio, l'autenticazione può avvenire automaticamente utilizzando l'identità Windows dell'utente.

MyQ supporta i protocolli di autenticazione utilizzati da IWA: Kerberos e NTLM. Kerberos viene tentato per primo quando le condizioni lo consentono (dispositivo membro del dominio, configurazione DNS/SPN corretta). NTLM viene utilizzato solo quando Kerberos non può essere applicato (ad esempio, per dispositivi non appartenenti al dominio, ambienti legacy o a causa di SPN configurati in modo errato). Facoltativamente, è possibile applicare l'autenticazione solo Kerberos sul server MyQ.

Confronto tra protocolli

Funzionalità / Comportamento	Kerberos	NTLMv2
Livello di sicurezza	Elevato (autenticazione reciproca, ticket)	Moderato (challenge–response)
Appartenenza al dominio richiesta	Sì	Preferibile, ma può funzionare anche in altri scenari
Richiede SPN	Sì	No
Accesso al server	FQDN	FQDN, indirizzo IP, nome host
Compatibile con dispositivi non di dominio	No	Sì (fallback)
Consigliato per MyQ	Sì	Solo quando Kerberos non è disponibile
Può essere disabilitato	Sì (tramite criteri)	Sì, tramite GPO o parametro di configurazione MyQ `[Security]` `KerberosOnly=true`

Requisiti

Active Directory Domain Services (AD DS) è in esecuzione.
Il DNS risolve correttamente il nome FQDN del server MyQ.
Il server MyQ e i dispositivi client sono aggiunti allo stesso dominio (o a domini attendibili).
AD è configurato come server di autenticazione in MyQ e gli utenti sono sincronizzati.
L'accesso con autenticazione Windows è abilitato in MyQ > Impostazioni > Autenticazione utente.
La sincronizzazione dell'ora è accurata tra controller di dominio, server e client.

IWA funziona solo in ambienti di dominio o domini attendibili. I dispositivi al di fuori del dominio non possono autenticarsi in modo silenzioso.

Configurazione del server

MyQ non richiede IIS; MyQ si basa su Windows (http.sys) per l'autenticazione basata su SPN tramite l'API di Windows HTTP Server. Per questo motivo, l'SPN deve essere registrato sull'account computer del server MyQ, anziché su un account di servizio.

Se NTLM è richiesto per i sistemi legacy, applicare NTLMv2. Altrimenti, disabilitare completamente NTLM.

Configurazione del client

Configurare i browser (Edge, Chrome, Firefox) in modo che considerino attendibile il nome FQDN del server MyQ come sito intranet e abilitare IWA.

Esempio: Microsoft Edge

Opzioni Internet > Avanzate > Sicurezza > Abilita autenticazione Windows integrata.
Opzioni Internet > Sicurezza > Intranet locale > Siti > Avanzate, aggiungere qui i siti intranet. Quindi andare su Livello personalizzato > Autenticazione utente > Accesso > Accesso automatico solo nella zona Intranet.

Per abilitare l'autenticazione Windows (SSO senza interruzioni) sul Desktop Client per i dispositivi aggiunti al dominio, modificare il relativo profilo di configurazione sul server MyQ.

Criteri di gruppo e applicazione di Kerberos

Utilizzare le impostazioni dei Criteri di gruppo di Windows per gestire centralmente il comportamento di autenticazione per tutti i sistemi collegati al dominio. MyQ fornisce anche un'opzione a livello di server per applicare Kerberos senza influire su altri servizi.

Ambito	Posizione di configurazione	Scopo	Note
Solo MyQ	`config.ini`	Applica l'autenticazione Kerberos per MyQ	Non influisce sull'utilizzo di NTLM da parte di altri servizi
A livello di dominio (Kerberos)	`Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Kerberos Policy`	Controlla la durata dei ticket Kerberos, i rinnovi e lo scostamento dell'orologio	Si applica a tutti i server e i client membri del dominio
A livello di dominio (NTLM)	`Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options`	Limita o disabilita l'autenticazione NTLM	La disabilitazione di NTLM impone l'uso di Kerberos in tutto il dominio

Flusso di lavoro Kerberos

Acquisizione del Ticket Granting Ticket (TGT): i client aderenti al dominio ottengono un TGT dal Key Distribution Center (KDC).
Richiesta del ticket di servizio: il client richiede un ticket di servizio HTTP/<FQDN> dal KDC.
Convalida del token: MyQ Server convalida il ticket di servizio rispetto all'SPN registrato.

Esperienza di accesso dell'utente

IWA nell’interfaccia web di MyQ

L'autenticazione Windows può essere abilitata in MyQ > Impostazioni > Autenticazione utente. Una volta abilitata, nella schermata di accesso compare un metodo di accesso IWA, mentre gli altri metodi rimangono disponibili per gli utenti non coperti da IWA (ad es. utenti BYOD, ospiti o amministratori).

Quando un utente accede all'interfaccia web MyQ da un dispositivo Windows membro di un dominio, MyQ tenta prima l'autenticazione tramite Kerberos, con fallback a NTLM, a meno che il fallback NTLM non sia disabilitato.

Se l'autenticazione Windows fallisce, l'utente viene reindirizzato alla schermata di accesso standard con il messaggio di errore Credenziali non valide.

IWA nel Desktop Client MyQ

L'autenticazione Windows può essere abilitata per particolari profili di configurazione in Impostazioni > MyQ Desktop Client.

Quando un utente avvia il Desktop Client su un dispositivo Windows membro di un dominio, MyQ tenta innanzitutto l'autenticazione tramite Kerberos. Se Kerberos non è disponibile o fallisce, MyQ ricorre a NTLM, a meno che il fallback NTLM non sia disabilitato.

Se l'autenticazione Windows fallisce, gli utenti vengono reindirizzati alla schermata di accesso standard per utilizzare le credenziali MyQ o la convalida LDAP rispetto a una directory utenti remota.

Risoluzione dei problemi

Registri di autenticazione e verifica

Quando si utilizza IWA, l'autenticazione è gestita da Windows e Active Directory. Per questo motivo, non esistono registri specifici di MyQ che indichino esplicitamente il protocollo utilizzato per un determinato accesso.

È possibile controllare l'attività di autenticazione nel Registro eventi di sicurezza di Windows sul controller di dominio:

Gli eventi di autenticazione Kerberos includono in genere:
- Accesso riuscito: ID evento 4624 (tipo di accesso 3 o 10)
- Richiesta TGT: 4768
- Richiesta di ticket di servizio: 4769
- Errori di autenticazione: 4771, 4775
I tentativi di autenticazione NTLM vengono registrati come eventi di sicurezza, il che indica l'utilizzo di NTLM.

Questi eventi indicano se è stato utilizzato Kerberos o NTLM e identificano il computer di origine (nome host o indirizzo IP). Questi eventi non identificano MyQ come l'applicazione che ha avviato la richiesta.

Mappatura del dominio

Negli ambienti Windows, il nome di dominio utilizzato durante l'autenticazione può apparire in diversi formati, più comunemente come nome NetBIOS (nome breve) o nome di dominio DNS (FQDN). Affinché l'IWA abbia esito positivo, il dominio presentato dal client deve corrispondere al dominio configurato nel server di autenticazione MyQ.

L'autenticazione potrebbe non riuscire se questi formati differiscono – ad esempio, l'utente accede come ACME\jdoe ma MyQ è configurato per acme.example.com. Ciò è particolarmente comune con NTLM, dove il valore del dominio viene valutato in modo rigoroso.

Per supportare tali ambienti, MyQ fornisce il domainsMapping parametro, che consente di mappare i nomi di dominio NetBIOS ai corrispondenti nomi di dominio DNS. Per informazioni su come utilizzare questo parametro, consultare Advanced Configuration.

Registrazione SPN

Per registrare l'SPN richiesto sull'account del computer del server MyQ:

Aprire il Prompt dei comandi come amministratore su un controller di dominio.
Eseguire:
setspn -S HTTP/myqserver.domain.com MYQSERVER
Verifica della registrazione:
setspn -L MYQSERVER
Verificare che sia presente la voce HTTP/myqserver.domain.com.