Allora ciao a tutti sono nuovo del forum ma mi sono iscritto per provare a trovare una soluzione ad un problema che non riesco a risolvere.
Intanto illustro le premesse del problema:
durante lo sviluppo di un sito dedicato ad un servizio della mia azienda è sorta l'esigenza di creare due sezioni separate per la parte pubblica e per la parte privata di ogni cliente.
Dato che il sito contiene dati sensibili, per la parte privata si è pensato di utilizzare l'autenticazione integrata di IIS, il sito è ospitato su un server direttamente all'interno della mia azienda quindi ho la possibilità di configurare direttamente le impostazioni di IIS.
Si è pensato all'autenticazione integrata anche perchè in questo modo si possono dividere fisicamente e impostare dei permessi diretti per ogni utente garantendo così il totale isolamento dei dati tra le parti private di ogni utente, sfruttando in questo modo il meccanoismo di Active Directory di Windows.
Non posso inoltre utilizzare un sito FTP per ogni utente perchè ho l'esigenza di interfacciarmi con un database per la visualizzazione di alcune query, che utilizzano il nome utente per discriminare i dati da visualizzare.
Il nome dell'utente inserito durante l'autenticazione viene quindi richiamato dall'header html ed utilizzato per la visualizzazione delle query e anche per l'accesso ad un database, passando nome utente e pwd alla pagina di login della parte web del database (non sviluppato da noi).
Naturalmente tutti i dati sensibili sono forniti in https, crittati con ssl, e utilizzando un certificato.
Il problema principale è questo.
Vorremmo integrare l'autenticazione windows utilizzando però un web form per l'inserimento dei dati, ho cercato se è possibile eseguire l'autenticazione windows direttamente inserendo nome utente e password in un form e poi utilizzando una pagina .asp o .php per fare l'autenticazione direttamente nel database utenti di windows, ma non sono riuscito a trovare nulla al riguardo.
Ora volevo chiedere se per caso qualcuno ha idea di come si possa realizzare questa soluzione, oppure se esistono soluzioni alternative che garantiscano comunque l'isolamento dei dati.
Sorge inoltre il problema anche del logout, dato che l'autenticazione viene effettuata direttamente sul database utenti volevo chiedere se c'è un metodo per effettuare il logout direttamente da pagina web. ho provato diversi script per la cancellazione dei cookie salvati, ma non sembrano funzionare. Sembra che lo script funzioni ma l'utente rimane loggato.
Qualcuno ha idea di come fare per effettuare la disconnessione dell'utente e procedere poi ad una nuova richiesta di login senza dover per forza chiudere il browser?
Vi ringrazio in anticipo e spero qualcuno possa darmi una mano.
Un cordiale Saluto
Davide
Rispondi quotando