Wenn Sie Microsoft® Active Directory Domain Services verwenden, können Sie SSO (single sign-on) konfigurieren. Dies ermöglicht es den Benutzern, alle ARIS-Komponenten zu verwenden, sobald er sich an der Domäne angemeldet hat. Eine gesonderte Anmeldung an ARIS-Komponenten ist nicht notwendig.
Single-Sign-On in ARIS basiert auf Kerberos. Kerberos ist eine Netzwerk-Authentifizierung, die es Knoten erlaubt, über ein nicht-sicheres Netzwerk zu kommunizieren und ihre Identität in einer sicheren Weise auszutauschen. Kerberos ist der empfohlene Weg einer Benutzerauthentifizierung in MS Windows-Netzwerken. Darüber hinaus ist es bei Linux-Betriebssystemen weit verbreitet und es gibt Implementierungen für alle wichtigen Plattformen
Bitte wenden Sie sich dazu an Ihren LDAP-Administrator.
Voraussetzung
Server
Client
Konfiguration in User Management
SSO muss für die Server konfiguriert sein.
Sie haben das Funktionsrecht Technischer Konfigurationsadministrator.
Vorgehen
Falls Sie keine Kerberos-Konfigurationsdatei besitzen, legen Sie eine neue an. Nennen Sie diese beispielsweise krb5.conf, fügen Sie die folgenden Zeilen hinzu und passen Sie die Konfiguration an Ihre Bedürfnisse an.
[libdefaults]
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 aes128-cts aes128-cts-hmac-sha1-96 aes256-cts aes256-cts-hmac-sha1-96 rc4-hmac arcfour-hmac arcfour-hmac-md5
Lautet der Service Principal Name in der Keytab beispielsweise mypc01@MY.DOMAIN.COM, dann müssen die Werte der Eigenschaft com.company.aris.umc.kerberos.servicePrincipalName den Service Principal Name genauso enthalten, wie sie in der Keytab-Datei spezifiziert sind.
Z. B.: MYDOMAIN.COM.
Die Debug-Ausgabe des Programms, an dem sich der Benutzer anmelden will, ist in der Datei system.out des jeweiligen Programms gespeichert. Diese liegt beispielsweise für die Benutzerverwaltung im Verzeichnis <ARIS-Installationsverzeichnis/work_umcadmin_m/base/logs.
Sie haben SSO mit Kerberos in User Management konfiguriert.
Konfiguration in ARIS Administration mit Hilfe von SAML
SSO muss für die Server konfiguriert sein.
Sie haben das Funktionsrecht Technischer Konfigurationsadministrator.
Vorgehen
Sie haben SSO mit SAML in ARIS Administration konfiguriert.
Bitte beachten Sie, dass SSO (Single Sign-on) mit SAML bei mehreren LDAP-Servern und gleichen Anmeldenamen (auch bei unterschiedlichen Entitäten) in verschiedenen LDAP-Systemen nicht funktioniert.
Client-Konfiguration
Konfigurieren Sie die Browser-Einstellungen, um SSO zu erlauben. SSO wurde mit den folgenden Browsern getestet:
Sie müssen zunächst den Kerberos-Ticket-Cache jedes Clients leeren, um obsolete Tickets zu vermeiden, wenn Microsoft® Active Directory Domain Services geändert wurde. Löschen Sie den Kerberos-Ticket-Cache, indem Sie das Kommando klist.exe purge ausführen. Oder melden Sie einfach den Client-Computer von der Domäne ab und melden Sie ihn erneut an, falls das Programm nicht auf dem Client-Computer zur Verfügung steht.
Microsoft® Internet Explorer®
Microsoft® Internet Explorer® unterstützt die Kerberos-Authentifizierung nur, wenn der Server Teil Ihres lokalen Intranets ist.
Vorgehen
Mozilla Firefox®
In Mozilla Firefox können Sie vertrauenswürdige Seiten über den Computer-Namen, die IP-Adresse oder eine Kombination von beidem definieren. Sie können Platzhalter verwenden.
Vorgehen
Wenn Sie eine stärkere Verschlüsselung als AES 128bit verwenden möchten und dies in Ihrem Land erlaubt ist, ersetzen Sie die JCE Policy-Datei des JDK Ihres ARIS durch die Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6. Dies erlaubt eine unbegrenzte Schlüssellänge.
Können Sie die Policy-Dateien nicht ersetzen möchten aber dennoch SSO verwenden, müssen Sie ein Vorgehen verwenden, das vom JDK für die Verschlüsselung von Kerberos-Tickets erlaubt ist, verwenden (z. B. AES 128bit).