Autenticazione da altro portale

[d.ravasco]

Buongiorno, ho la necessità di eseguire un accesso senza passare dal form standard di autenticazione.
Gli utenti si dovranno autenticare su un altro portale che condividerà con forma lo stesso archivio degli utenti. Una volta autenticati, cliccando sul tasto dovrebbero accedere alla loro area formativa contenente i corsi. Dal manuale ho provato ad eseguire la procedura tramite il classico metodo post ma non funziona. Facendo un visualizzazione della parte html ho visto che c'è un campo nascosto contenente un valore che credo sia md5. devo replicare anche questo campo? il valore cosa dovrebbe contenere?
Grazie

[alberto]

A quale manuale ti riferisci? Puoi trovare la documentazione delle API per il Single Sign On QUI

Inoltre in QUESTA DISCUSSIONE puoi trovare spiegazioni su come implementare il meccanismo di autenticazione

sposto nel forum configurazione

[d.ravasco]

Mi riferisco al manuale che si trova al seguente link https://www.formalms.org/index.php?opti ... Itemid=197 che però credo si riferisca a docebo. il file si chiama DoceboLMS_tech_draft_ITA e viene riportato questo metodo di autenticazione senza utilizzo di api

Esempi applicativi
Autenticazione tramite POST: La procedura più standard è quella di passare in “post” i dati di
autenticazione tramite un form:
<form class="std_form" id="login_confirm" method="post"
action="http://www.customerlms.com/doceboLms/index.php?
modname=login&op=confirm">
<input type="text" id="login_userid" name="login_userid" value="" />
<input type="password" id="login_pwd" name="login_pwd" />
<input type="submit" id="login" name="log_button" value="Login" />
</form>

[canelli]

non penso che sia ancora fattibile.
per problemi di sicurezza occorre che il post sia "firmato" con una X-Signature generata da forma.lms
Consiglio di attivare ed utilizzare la soluzione di Single SIgn On generando dal portale il link di SSO verso forma

[jasmines]

Puoi disabilitare lato forma il controllo sulla signature e funzionerà.

[d.ravasco]

Proverò. Grazie per le informazioni

[canelli]

non consiglio la disabilitazione del controllo della signature.
è una sicurezza contro i POST fatti da altri siti, hacker che provano e cercano le vulnerabilità ce ne sono sempre : non è da sottovaultare mai

[jasmines]

è open source, bypassare x-signature è un gioco da ragazzi...

[d.ravasco]

L'integrazione che dovrei fare è in asp e non riesco ad integrare la cosa poichè non conosco php e non so come interpretare il codice.
Sarebbe di aiuto avere un pezzo di codice php per la generazione della X-Signature in modo da poterlo richiamare da asp.
Nel manuale di fa riferimento ad una funzione token = hash md5 ( username , time, secret code ); che presuppongo sia interna di forma poichè il comando md5 non accetta tutti quei parametri ma solamente uno che corriponde al valore da criptare.

[canelli]

Ripeto:
Consiglio di attivare ed utilizzare la soluzione di Single Sign On generando dal portale il link di SSO verso forma

sul portale in asp, per l'utente loggato generi il link in GET verso forma che contiene la username , un timestamp e un md5 generato con una chiavesegreta condivisa. il link così generato ha una validità temporale definita in configurazione ( es 5 minuti) dal momento della generazione