Single-Sign-On konfigurieren

Wenn Sie Microsoft® Active Directory Domain Services verwenden, können Sie SSO (single sign-on) konfigurieren. Dies ermöglicht es den Benutzern, alle ARIS-Komponenten zu verwenden, sobald er sich an der Domäne angemeldet hat. Eine gesonderte Anmeldung an ARIS-Komponenten ist nicht notwendig.

Single-Sign-On in ARIS basiert auf Kerberos. Kerberos ist eine Netzwerk-Authentifizierung, die es Knoten erlaubt, über ein nicht-sicheres Netzwerk zu kommunizieren und ihre Identität in einer sicheren Weise auszutauschen. Kerberos ist der empfohlene Weg einer Benutzerauthentifizierung in MS Windows-Netzwerken. Darüber hinaus ist es bei Linux-Betriebssystemen weit verbreitet und es gibt Implementierungen für alle wichtigen Plattformen

Bitte wenden Sie sich dazu an Ihren LDAP-Administrator.

Voraussetzung

Server

Client

Konfiguration in User Management

SSO muss für die Server konfiguriert sein.

Sie haben das Funktionsrecht Technischer Konfigurationsadministrator.

Vorgehen

  1. Klicken Sie auf Konfiguration Konfiguration.
  2. Klicken Sie auf den Pfeil neben Kerberos.

    Falls Sie keine Kerberos-Konfigurationsdatei besitzen, legen Sie eine neue an. Nennen Sie diese beispielsweise krb5.conf, fügen Sie die folgenden Zeilen hinzu und passen Sie die Konfiguration an Ihre Bedürfnisse an.

    [libdefaults]

    default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

    permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5

  3. Um die Konfigurationsdatei hochzuladen, klicken Sie unter dem Feld Konfigurationsdatei auf Hochladen Hochladen.
  4. Klicken Sie auf Bearbeiten Bearbeiten.
  5. Aktivieren Sie Kerberos verwenden.
  6. Geben Sie in das Feld Prinzipal den vom Administrator vergebenen technischen Benutzernamen ein.

    Lautet der Service Principal Name in der Keytab beispielsweise mypc01@MY.DOMAIN.COM, dann müssen die Werte der Eigenschaft com.company.aris.umc.kerberos.servicePrincipalName den Service Principal Name genauso enthalten, wie sie in der Keytab-Datei spezifiziert sind.

  7. Konfigurieren Sie im Feld Realm den Bereich für den Kerberos-Service. Geben Sie den vollqualifizierten Namen der Domäne in Großbuchstaben ein.

    Z. B.: MYDOMAIN.COM.

  8. Konfigurieren Sie im Feld KDC den vollqualifizierten Namen der zu verwendenden KDC.
  9. Optional:
    1. Klicken Sie auf Erweiterte Einstellungen.
    2. Aktivieren Sie Debug-Ausgabe.

      Die Debug-Ausgabe des Programms, an dem sich der Benutzer anmelden will, ist in der Datei system.out des jeweiligen Programms gespeichert. Diese liegt beispielsweise für die Benutzerverwaltung im Verzeichnis <ARIS-Installationsverzeichnis/work_umcadmin_m/base/logs.

Sie haben SSO mit Kerberos in User Management konfiguriert.

Konfiguration in ARIS Administration mit Hilfe von SAML

SSO muss für die Server konfiguriert sein.

Sie haben das Funktionsrecht Technischer Konfigurationsadministrator.

Vorgehen

  1. Klicken Sie auf Konfiguration Konfiguration.
  2. Klicken Sie auf den Pfeil neben SAML.
  3. Klicken Sie auf Allgemein.
  4. Klicken Sie auf Bearbeiten Bearbeiten.
  5. Aktivieren Sie SAML verwenden.
  6. Geben Sie im Feld Identitätsanbieter-ID die ID des Identitätsanbieters ein.
  7. Geben Sie im Feld ID Service-Anbieter die ID des Service-Anbieters ein.
  8. Geben Sie im Feld Single Sign-On-URL den Endpunkt des Identitätsanbieters ein, der für Single Sign-On verwendet wird.
  9. Geben Sie im Feld Single Logout-URL den Endpunkt des Identitätsanbieters ein, der für Single Logout verwendet wird.

Sie haben SSO mit SAML in ARIS Administration konfiguriert.

Bitte beachten Sie, dass SSO (Single Sign-on) mit SAML bei mehreren LDAP-Servern und gleichen Anmeldenamen (auch bei unterschiedlichen Entitäten) in verschiedenen LDAP-Systemen nicht funktioniert.

Client-Konfiguration

Konfigurieren Sie die Browser-Einstellungen, um SSO zu erlauben. SSO wurde mit den folgenden Browsern getestet:

Sie müssen zunächst den Kerberos-Ticket-Cache jedes Clients leeren, um obsolete Tickets zu vermeiden, wenn Microsoft® Active Directory Domain Services geändert wurde. Löschen Sie den Kerberos-Ticket-Cache, indem Sie das Kommando klist.exe purge ausführen. Oder melden Sie einfach den Client-Computer von der Domäne ab und melden Sie ihn erneut an, falls das Programm nicht auf dem Client-Computer zur Verfügung steht.

Microsoft® Internet Explorer®

Microsoft® Internet Explorer® unterstützt die Kerberos-Authentifizierung nur, wenn der Server Teil Ihres lokalen Intranets ist.

Vorgehen

  1. Starten Sie Microsoft® Internet Explorer®.
  2. Klicken Sie auf Extras > Internetoptionen.
  3. Aktivieren Sie die Registerkarte Sicherheit und klicken Sie auf Lokales Intranet.
  4. Klicken Sie auf Sites und anschließen auf Erweitert.
  5. Fügen Sie die URL des ARIS Servers hinzu, der für SSO konfiguriert wurde. Fügen Sie den DNS-Host-Name und die IP-Adresse des ARIS Servers hinzu.
  6. Deaktivieren Sie Für Sites diese Zone ist eine Server-Überprüfung (https:) erforderlich.
  7. Klicken Sie auf Schließen und anschließend auf OK.
  8. Klicken Sie auf Stufe anpassen und stellen Sie sicher, dass keine benutzerdefinierten Einstellungen Ihre neuen Einstellungen beeinträchtigen.
  9. Suchen Sie den Bereich Benutzerauthentifizierung. Prüfen Sie, ob Automatisches Anmelden nur in der Intranetzone aktiviert ist.
  10. Klicken Sie auf OK.
  11. Schließen Sie Microsoft® Internet Explorer® und starten Sie diesen erneut.

Mozilla Firefox®

In Mozilla Firefox können Sie vertrauenswürdige Seiten über den Computer-Namen, die IP-Adresse oder eine Kombination von beidem definieren. Sie können Platzhalter verwenden.

Vorgehen

  1. Starten Sie Mozilla Firefox®.
  2. Geben Sie about:config in der Adresszeile ein und drücken Sie die Eingabetaste. Bestätigen Sie eine Meldung, falls nötig.
  3. Geben Sie network.negotiate im Feld Suchen ein und drücken Sie die Eingabetaste.
  4. Klicken Sie doppelt auf network.negotiate-auth.trusted-uris.
  5. Geben Sie den Computer-Name oder die IP-Adresse des ARIS Servers ein, den Sie für SSO konfiguriert haben und klicken Sie auf OK.
  6. Schließen Sie Mozilla Firefox® und starten Sie ihn erneut.

Wenn Sie eine stärkere Verschlüsselung als AES 128bit verwenden möchten und dies in Ihrem Land erlaubt ist, ersetzen Sie die JCE Policy-Datei des JDK Ihres ARIS durch die Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Dies erlaubt eine unbegrenzte Schlüssellänge.

Können Sie die Policy-Dateien nicht ersetzen möchten aber dennoch SSO verwenden, müssen Sie ein Vorgehen verwenden, das vom JDK für die Verschlüsselung von Kerberos-Tickets erlaubt ist, verwenden (z. B. AES 128bit).