Authentifizierungstyp SSO
Mit dem Authentifizierungstyp SSO ist es möglich, die Vorteile des Single Sign On-Szenarios von NTLM und die einfache Administration und Wartung der Benutzerverwaltungsdatenbank unter Benutzung von LDAP zu verbinden. Um diesen Authentifizierungstyp zu benutzen ist es notwendig, den Apache Tomcat, Microsoft Internetinformationsdienste (IIS) und Apache Tomcat Connector zu konfigurieren, um die Benutzerauthentifizierung des Betriebssystems innerhalb von WebOffice 10.9 R3 verwenden zu können.
•Mehr Informationen zu den Konfigurationen finden Sie in den Kapiteln Apache Tomcat und ISAPI Redirector. •Beachten Sie auch die explizit unterstützten Szenarien mit https. |
•Mit WebOffice 10.9 R3 werden auch LDAP Ausfall-Server unterstützt. Konfigurieren Sie einfach eine weitere LDAP Konfiguration. Die Anwendung wird sich zuerst mit dem Server der oberen Konfiguration verbinden wollen (top-down-Prinzip). •Der Authentifizierungstyp SSO benutzt nicht das WebOffice Login Dialogfenster zur Authentifizierung. Es werden Gruppen aus dem Microsoft Active Directory zur Rechtevergabe im WebOffice Usermanagement Repository gepflegt. Eine allgemeine Gegenüberstellung der generellen Authentifizierungsmethoden in WebOffice 10.9 R3 finden Sie im Kapitel Überblick der Authentifizierungsmethoden der Benutzerverwaltung. |
SSO Architektur
WebOffice SSO Architektur
Ablauf
1.(a.b.c) Benutzer-Identifikation: Der eingeloggte Benutzer wird von dem LDAP-Server-System identifiziert und überprüft. Um diese Information korrekt nutzen zu können ist es notwendig, dass der Browser die Einlog-Informationen auslesen kann (beim Browser MS Internet Explorer gewährleistet).
IE Sicherheitseinstellungen
2.(Wenn Schritt 1 erfolgreich war): Der Web-Server gibt den User-Context (NTLM) weiter, indem er die Umleitung des ISAPI Redirectors nutzt. Der User-Context enthält nur die Login-Information des Benutzers, der auf den LDAP Server zugreift, aber keine Rollen-Mitgliedschaften. WebOffice 10.9 R3 bestimmt die Rollen-Mitgliedschaft des Benutzers durch Zugriff auf den LDAP Server.
3.(Wenn Schritt 2 erfolgreich war): WebOffice 10.9 R3 identifiziert die weitergegebene Information (User-Context und Rollen-Mitgliedschaft) aufgrund der Anwendungskonfiguration. Die role-identifier (Rollen-Namen) werden verglichen mit denen des WebOffice usermanagement Rechte-Repository (Gruppen-Namen). Ist der Zeichenvergleich erfolgreich, so wird die Rollendefinition (Recht und Restriktionen) der Rechte-Repository gelesen und angewendet. Auf diese Art kann WebOffice 10.9 R3 Rechte an eingeloggte Benutzer vergeben ohne die Benutzerinformation in der Rechteverwaltung zu haben.
Konfiguration Authentifizierungstyp SSO
Eigenschaft |
Beschreibung |
||||
---|---|---|---|---|---|
Der Authentifizierungstyp Benutzerverwaltungsdatenbank wird als Fallback - falls das SSO Login fehlschlägt - benutzt (true) oder es wird nicht benutzt (false).
|
|||||
SSO (AD) Gruppen um Gruppenzugehörigkeit aus UM-DB erweitern |
Erweitert bei mittels SSO (zum Beispiel Microsoft Active Directory) authentifizierten Benutzern die aggregierte Gruppen um jene Gruppen, denen sie in der WebOffice Benutzerverwaltungsdatenbank zugeordnet sind. Sinnvoll bei Gruppenberechtigung für Projekte, in der ein authentifizierter AD-User kein Mitglied der berechtigten AD-Gruppe ist.
|
Apache Tomcat Konfiguration für SSO
Um das LDAP Realm innerhalb WebOffice 10.9 R3 nutzen zu können, muss die Tomcat Authentifizierung auf false gesetzt werden (C:\Tomcat\conf\server.xml). Starten Sie den Tomcat Dienst nach der Konfiguration noch einmal neu.
Festlegen von tomcatAuthentication ="false in der Server.xml
IIS Konfiguration für SSO
Die Jakarta Anwendung (erstellt mit der Installation des Apache Tomcat Connector) muss durch die Windows-Authentifizierung gesichert werden, so dass IIS den Benutzer zum Einloggen zwingt. Durch diese Einstellung wird der Benutzer am Web-Server durch NTLM authentifiziert. Wenn sich IIS innerhalb der gleichen Domain wie der Client befindet, so werden die User Credentials automatisch übernommen. Dies hat zur Folge, dass der Benutzer sich nicht explizit einloggen muss.
Öffnen Sie den Internetinformationsdienste (IIS)-Manager und wechseln Sie in den Bereich der Jakarta Anwendung des Apache Tomcat Connector. Öffnen Sie Authentifizierung und setzen Sie folgende Einstellungen:
•Anonyme Authentifizierung: Deaktiviert
•Windows-Authentifizierung: Aktiviert
Starten Sie im Anschluss den IIS-Dienst neu.
IIS Authentifizierungseinstellungen im Jakarta Verzeichnis
Der Administrator muss sicherstellen, dass der Physische Pfad eines virtuelles Verzeichnisses auf den Ordner WebOffice output verweist (C:\Tomcat\webapps\<WebOffice application>\output). Es sollte möglich sein, unter Verwendung einer anonymen http auf Dateien in diesem virtuellen Verzeichnis zugreifen zu können. Detaillierte Informationen zur Konfiguration des WebOffice output URL finden Sie im Kapitel WebOffice.
Hinzufügen eines virtuellen Verzeichnisses im MS IIS Manager
Konfiguration WebOffice Output URL
Abschließend erfolgt eine Konfiguration der Gruppen im UserManagement Admin Web.
Um die Active Directory Gruppen in WebOffice 10.9 R3 nutzen zu können, müssen die Gruppen in der WebOffice usermanagement Datenbank identisch bezeichnet werden (case sensitive, d.h. auf Groß- und Kleinschreibung ist zu achten). Bei den Gruppen müssen keine Benutzer Mitglied sein. Alle Benutzergruppen des Active Directory können genutzt werden, sogar die Domain Nutzergruppe. Sogenannte Nested Groups werden nicht unterstützt.
•Für mehr Details, um Attribute aus einem Active Directory auszulesen, siehe Wie liest man Attribute aus Microsoft AD (Active Directory) aus. •Für eine Problembehandlung finden Sie eine Übersicht von der Kommunikation zwischen WebOffice 10.9 R3 und dem LDAP System in der Logkategorie LDAP. Siehe Kapitel Logging für weitere Informationen. |