Authentifizierungstyp SSO

Mit dem Authentifizierungstyp SSO ist es möglich, die Vorteile des Single Sign On-Szenarios von NTLM und die einfache Administration und Wartung der Benutzerverwaltungsdatenbank unter Benutzung von LDAP zu verbinden. Um diesen Authentifizierungstyp zu benutzen ist es notwendig, den Apache Tomcat, Microsoft Internetinformationsdienste (IIS) und Apache Tomcat Connector zu konfigurieren, um die Benutzerauthentifizierung des Betriebssystems innerhalb von WebOffice 10.9 R3 verwenden zu können.

 

icon_cross-reference

Mehr Informationen zu den Konfigurationen finden Sie in den Kapiteln Apache Tomcat und ISAPI Redirector.

Beachten Sie auch die explizit unterstützten Szenarien mit https.

icon_comment

Mit WebOffice 10.9 R3 werden auch LDAP Ausfall-Server unterstützt. Konfigurieren Sie einfach eine weitere LDAP Konfiguration. Die Anwendung wird sich zuerst mit dem Server der oberen Konfiguration verbinden wollen (top-down-Prinzip).

Der Authentifizierungstyp SSO benutzt nicht das WebOffice Login Dialogfenster zur Authentifizierung. Es werden Gruppen aus dem Microsoft Active Directory zur Rechtevergabe im WebOffice Usermanagement Repository gepflegt. Eine allgemeine Gegenüberstellung der generellen Authentifizierungsmethoden in WebOffice 10.9 R3 finden Sie im Kapitel Überblick der Authentifizierungsmethoden der Benutzerverwaltung.

 

SSO Architektur

WebOffice SSO Architektur

WebOffice SSO Architektur

 

Ablauf

1.(a.b.c) Benutzer-Identifikation: Der eingeloggte Benutzer wird von dem LDAP-Server-System identifiziert und überprüft. Um diese Information korrekt nutzen zu können ist es notwendig, dass der Browser die Einlog-Informationen auslesen kann (beim Browser MS Internet Explorer gewährleistet).
 

IE Sicherheitseinstellungen

IE Sicherheitseinstellungen

2.(Wenn Schritt 1 erfolgreich war): Der Web-Server gibt den User-Context (NTLM) weiter, indem er die Umleitung des ISAPI Redirectors nutzt. Der User-Context enthält nur die Login-Information des Benutzers, der auf den LDAP Server zugreift, aber keine Rollen-Mitgliedschaften. WebOffice 10.9 R3 bestimmt die Rollen-Mitgliedschaft des Benutzers durch Zugriff auf den LDAP Server.

3.(Wenn Schritt 2 erfolgreich war): WebOffice 10.9 R3 identifiziert die weitergegebene Information (User-Context und Rollen-Mitgliedschaft) aufgrund der Anwendungskonfiguration. Die role-identifier (Rollen-Namen) werden verglichen mit denen des WebOffice usermanagement Rechte-Repository (Gruppen-Namen). Ist der Zeichenvergleich erfolgreich, so wird die Rollendefinition (Recht und Restriktionen) der Rechte-Repository gelesen und angewendet. Auf diese Art kann WebOffice 10.9 R3 Rechte an eingeloggte Benutzer vergeben ohne die Benutzerinformation in der Rechteverwaltung zu haben.
 

Konfiguration Authentifizierungstyp SSO

Konfiguration Authentifizierungstyp SSO

 

Eigenschaft

Beschreibung

Authentifizierungstyp UM-DB als Fallback nutzen

Der Authentifizierungstyp Benutzerverwaltungsdatenbank wird als Fallback - falls das SSO Login fehlschlägt - benutzt (true) oder es wird nicht benutzt (false).

icon_comment

Bei SSO wird für die Authentifizierung immer der Tomcat Connector verwendet. Daher werden Requests zu WebOffice nicht weitergeleitet bei fehlgeschlagener Authentifizierung. Um die Funktion nutzen zu können, muss direkt über die Tomcat Anwendung auf die Anwendung zugegriffen werden (z.B. Port 8080, IIS ARR Weiterleitung etc.). Der Fallback wird durchgeführt, sobald kein SSO Header mitgegeben wird (unauthentifizierter Zugriff).

SSO (AD) Gruppen um Gruppenzugehörigkeit aus UM-DB erweitern

Erweitert bei mittels SSO (zum Beispiel Microsoft Active Directory) authentifizierten Benutzern die aggregierte Gruppen um jene Gruppen, denen sie in der WebOffice Benutzerverwaltungsdatenbank zugeordnet sind. Sinnvoll bei Gruppenberechtigung für Projekte, in der ein authentifizierter AD-User kein Mitglied der berechtigten AD-Gruppe ist.

icon_cross-reference

Siehe Kapitel Gruppen zum Anlegen einer neuen Gruppe in der Benutzerverwaltungsdatenbank.

Siehe Kapitel Benutzer zum Anlegen eines neuen Benutzers in der Benutzerverwaltungsdatenbank. Hierbei muss es sich um einen vorhandenen Benutzer aus dem Active Directory handeln.

icon_comment

Schreibweise des Logins muss zwischen Active Directory und Benutzerverwaltungsdatenbank ident/einheitlich sein - dies gilt auch für die Domain.

Bis auf die zusätzlichen Gruppen aus der UM-DB werden alle Informationen zum Benutzer ausschließlich aus dem Active Directory bezogen.

Apache Tomcat Konfiguration für SSO

Um das LDAP Realm innerhalb WebOffice 10.9 R3 nutzen zu können, muss die Tomcat Authentifizierung auf false gesetzt werden (C:\Tomcat\conf\server.xml). Starten Sie den Tomcat Dienst nach der Konfiguration noch einmal neu.

 

Festlegen von tomcatAuthentication ="false in der Server.xml

Festlegen von tomcatAuthentication ="false in der Server.xml

IIS Konfiguration für SSO

Die Jakarta Anwendung (erstellt mit der Installation des Apache Tomcat Connector) muss durch die Windows-Authentifizierung gesichert werden, so dass IIS den Benutzer zum Einloggen zwingt. Durch diese Einstellung wird der Benutzer am Web-Server durch NTLM authentifiziert. Wenn sich IIS innerhalb der gleichen Domain wie der Client befindet, so werden die User Credentials automatisch übernommen. Dies hat zur Folge, dass der Benutzer sich nicht explizit einloggen muss.

 

Öffnen Sie den Internetinformationsdienste (IIS)-Manager und wechseln Sie in den Bereich der Jakarta Anwendung des Apache Tomcat Connector. Öffnen Sie Authentifizierung und setzen Sie folgende Einstellungen:

Anonyme Authentifizierung:        Deaktiviert

Windows-Authentifizierung:        Aktiviert

 

Starten Sie im Anschluss den IIS-Dienst neu.

IIS Authentifizierungseinstellungen im Jakarta Verzeichnis 

IIS Authentifizierungseinstellungen im Jakarta Verzeichnis 

 

Der Administrator muss sicherstellen, dass der Physische Pfad eines virtuelles Verzeichnisses auf den Ordner WebOffice output verweist (C:\Tomcat\webapps\<WebOffice application>\output). Es sollte möglich sein, unter Verwendung einer anonymen http auf Dateien in diesem virtuellen Verzeichnis zugreifen zu können. Detaillierte Informationen zur Konfiguration des WebOffice output URL finden Sie im Kapitel WebOffice.

 

Hinzufügen eines virtuellen Verzeichnisses im MS IIS Manager

Hinzufügen eines virtuellen Verzeichnisses im MS IIS Manager

 

Konfiguration WebOffice Output URL

Konfiguration WebOffice Output URL

 

Abschließend erfolgt eine Konfiguration der Gruppen im UserManagement Admin Web.

Um die Active Directory Gruppen in WebOffice 10.9 R3 nutzen zu können, müssen die Gruppen in der WebOffice usermanagement Datenbank identisch bezeichnet werden (case sensitive, d.h. auf Groß- und Kleinschreibung ist zu achten). Bei den Gruppen müssen keine Benutzer Mitglied sein. Alle Benutzergruppen des Active Directory können genutzt werden, sogar die Domain Nutzergruppe. Sogenannte Nested Groups werden nicht unterstützt.

 

icon_cross-reference

Für mehr Details, um Attribute aus einem Active Directory auszulesen, siehe Wie liest man Attribute aus Microsoft AD (Active Directory) aus.

Für eine Problembehandlung finden Sie eine Übersicht von der Kommunikation zwischen WebOffice 10.9 R3 und dem LDAP System in der Logkategorie LDAP. Siehe Kapitel Logging für weitere Informationen.

Ⓒ Copyright 2023 by VertiGIS GmbH