AD bruger verificering

Owned by Morten Kjær
Last updated: Sept 29, 2022
3 min read
[ 1 Brugeropsætning ] [ 2 Teknisk Opsætning ] [ 3 Test af AD login ]

Denne funktion er ikke standard. Kontakt Futurelink for opsætning af AD Login.

I BatchFlow har vi mulighed for at AD verificere brugere ved login. I stedet for at bruge en unik kode til BatchFlow, bruger man i stedet sin AD-brugers kodeord, som bliver valideret ved login.

Rent teknisk fungerer løsningen ved at BatchFlow laver et kald til en hjemmeside, der returnerer 1 eller 0 afhængig af om brugeren og koden findes og er korrekt.
Hjemmesiden skal væres hostet hos kunden, da BatchFlow som standard er en cloud-løsning og derfor ikke har adgang til kundens AD.

Funktionaliteten er opsat på domæne, så alle brugere fra fx @futurelink.dk vil blive AD verificeret. Man kan godt have flere domæner på samme selskab.

Brugeropsætning

I BatchFlow oprettes brugeren som man plejer, men i stedet for at brugeren får en midlertidig kode, får de blot besked på at man skal bruge sit AD-login.

Brugerne vil ikke kunne anmode om nyt kodeord i BatchFlow, da kodeordet er bestemt fra kundens AD.

Teknisk Opsætning

Selve siden, er et lille ASP.NET site, som skal opsættes i IIS’en på en windows server og have adgang til at må lave opslag i AD’et.
Siden skal have et certifikat så vi kan kalde det via HTTPS og tilgå det udefra.
Vi anbefaler at opsætte en whitelist så det kun er vores APP og eventuelt vores test server der kan kalde sitet af sikkerhedsmæssige årsager.

Kontakt Futurelink for at få tilsendt websitet, samt vores APP servers IP adresse.


Vi anbefaler at opsætte siden til at hedde bf4adlogin.domæne.dk, men det har som udgangspunkt ingen betydning så længe vi kan tilgå siden.
Når siden er opsat, vil vi gerne bede om en midlertidig AD-bruger så vi også selv kan verificere at siden virker inden vi lægger det i drift.

I hjemmesidens web.config skal det interne domænenavn indtastes i DefaultDomain.

Man skal huske at åbne for port 443 til vores APP server og installere komponenterne til IIS’en, så den kan køre ASP.NET sider.

Test af AD login

Når hjemmesiden er opsat kan man teste med en vilkårlig AD-bruger ved at lave en GET request til AD-sitet, med bruger og kode, via fx Postman eller Insomnia.

Eksempel kan ses her:

 

Hvis den returnerer 1, så virker det og brugeren kan logge ind

Hvis den returnerer 0, så kan brugeren ikke logge ind

Hvis den ikke returnerer nogle af delene kan den formentlig ikke forbinde til AD-login sitet, eller sitet har ikke rettigheder til at må lave opslag i AD’et.