Google Chrome: passagem da autenticação do Windows

26

O departamento de TI está considerando permitir a instalação e a implantação automatizada do navegador Google Chrome em mais de 100 desktops. Um dos requisitos é a passagem de credenciais de domínio. O comportamento desejado é o mesmo do Internet Explorer.

Surgiu um problema ao navegar pelos recursos da intranet. Os sites da intranet que exigem autenticação do Active Directory estão mostrando a caixa de diálogo "Autenticação necessária".

Para cada site, você deve inserir suas credenciais de domínio.

Pergunta : O Google Chrome atualmente ou planeja oferecer suporte à autenticação do Windows através da passagem? Em caso afirmativo, como você define essa configuração de segurança?

windows authentication single-sign-on google-chrome passthrough p.campbell
fonte
A resposta certa para isso mudou ao longo dos anos. Já há algum tempo que o Chrome presta atenção às configurações nativas da Internet do sistema no painel de controle e emula o comportamento do IE, o que é imensuravelmente mais útil do que definir uma opção de linha de comando ou configuração de GPO. Veja a resposta de @ Myster abaixo.
amigos estão

Respostas:

17

Isso foi incluído na versão estável do Chrome 5.x a partir de maio de 2010. Ele funciona de maneira semelhante ao Internet Explorer, pois os URLs "Intranet" (sem pontos no endereço) tentam o logon único, se solicitado pelo servidor.

Para ativar a passagem para outros domínios, você precisa executar o Chrome com um parâmetro de linha de comando extra:

chrome.exe --auth-server-whitelist="*example.com,*foobar.com,*baz"

fundo

De acordo com a lista de problemas do Google para Chromium , esse problema foi relatado em setembro de 2008. O recurso de passagem NTLM foi aparentemente concedido à equipe do Google Summer of Code. Parece que será trabalhado no verão de 2009 no Google Summer of Code .

Esta é uma boa notícia e, esperançosamente, trará alguma estatura à imagem do Chrome na empresa. A intranet é tão predominante e adotar um navegador é difícil sem esse recurso.

p.campbell
fonte
4

Agora, o Chrome tem autenticação de passagem do Windows que funcionará em qualquer host sem domínio. Se você usar domínios em todos os sites da intranet, precisará usar a opção de linha de comando --auth-server-whitelist .

Haas
fonte
1
como esta opção de linha de comando funciona? O atalho do Chrome precisa ser modificado para incluir essa opção ou está definido na about:página ou em outra página de configuração?
p.campbell
4

O Chrome foi atualizado (versão 5+) tem o seguinte:
No Windows, ele se integra à configuração de zonas da intranet em 'opções da Internet'

Em somente para Windows , se a opção de linha de comando não está presente, a lista permitida consiste nos servidores na zona de segurança da máquina ou Local intranet local (por exemplo, quando o anfitrião no URL inclui um caractere "" ele está fora do Zona de segurança da intranet local), que é o comportamento presente no IE.

Se um desafio vier de um servidor fora da lista permitida, o usuário precisará digitar o nome de usuário e a senha.

Para outros sistemas operacionais, você pode usar a opção de linha de comando: 

--auth-server-whitelist="*example.com,*foobar.com,*baz"

fonte: https://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication

Myster
fonte
Isso significa que, se você adicionar um domínio extra à "Zona de segurança da intranet local" no IE, o Chrome também confiará nele?
Simon East
3

Isso não está incluído no Google Chrome; no entanto, você pode tentar executar um serviço de proxy local que suporte NTLM. Isso precisaria ser instalado em cada área de trabalho e o Chrome precisaria ser configurado para utilizar o proxy.

Servidor Proxy de Autorização NTLM

Proxy de autenticação Cntlm

Doug Luxem
fonte
Negociar não seria melhor? Até a Microsoft recomenda usá-lo em NTLM.
grawity
2

Não posso lhe dizer se foi planejado ou não, mas não existe na versão atual.

É baseado em um navegador de código aberto, o Chromium. Se você deseja esse recurso, pode pagar alguém para adicioná-lo.

Evan Anderson
fonte
1
Ou adicione você mesmo.
grawity
1
Heh heh ... de qualquer forma, você está pagando de alguma forma. Seu dinheiro ou seu tempo. smile Para encerar filosoficamente por um segundo: É por isso que eu amo software de código aberto. Você realmente tem uma maneira de controlar os recursos e pode criar seu próprio destino. Quando expliquei o código aberto para as pessoas que pensaram nisso como "comunismo" como "você é livre para contratar um partido qualificado para trabalhar no software", descobri que as atitudes mudam.
Evan Anderson
Este comentário está desatualizado agora.
Simon East
@ SimonEast - Eu vou assumir que você está se referindo à minha resposta (minha 77ª, nunca), e não ao meu comentário sobre: ​​"comunismo". re: the answer - Isso é absolutamente verdade - assim como muitas respostas em todos os sites do Stack Exchange. Eu presumiria que ter uma data marcada na minha resposta faz com que os leitores tenham consciência dolorosa de que as informações provavelmente estão desatualizadas. Pessoalmente, não vejo como uma atividade produtiva gastar tempo procurando respostas com mais de 6 anos de idade que já possuem baixa contagem de votos (em comparação com a resposta aceita) e diminuindo o voto, mas se isso o faz feliz, fique à vontade .
Evan Anderson
Sim, desculpe, eu estava me referindo à sua resposta, não ao seu comentário. E a redução de votos de respostas obsoletas é incentivada , especialmente se houver outras que devam ter mais visibilidade. Sinta-se à vontade para excluir ou melhorar sua resposta, se você não deseja os votos negativos.
Simon East