Table of Contents

Authentification inter-domaines

Présentation

Pour des raisons de sécurité, un cookie fournit par un domaine ne peut être transmit à un autre. Pour étendre le SSO sur plusieurs domaines, un mécanisme inter-domaines est intégré à LemonLDAP::NG.
  1. Les utilisateurs possèdent des cookies SSO dans le domaine principal (voir la cinématique de connexion)
  2. L'utilisateur tente d'accéder à une application protégée d'un autre domaine
  3. L'agent n'intercepte pas de cookie SSO (car il n'est pas dans le même domaine) et redirige l'utilisateur vers le portail
  4. Le portail reconnaît l'utilisateur par son cookie SSO et voit qu'il sollicite une application d'un domaine différent
  5. Portal redirects user on protected application with a token as URL parameter. The token is linked to a session which contains the real session ID
  6. Handler detects URL parameter, gets the real session ID, delete the token session and creates a SSO cookies on its domain, with session ID as value

Configuration

Aller dans le manager, Paramètres généraux » Cookies » Domaines multiples et sélectioonner "activer"

Pour utiliser cette fonctionnalité seulement localement, éditer lemonldap-ng.ini dans la section [all]: 

[all]
cda = 1

Handlers

Choose “CDA” has type for each virtualHost concerned by CDA (ie not in main domain).