PPM und MashZone NextGen in ein SSO-Szenario integrieren

Sie können PPM und MashZone NextGen, die auf verschiedenen Servern installiert sind, in ein Single-Sign-On-Szenario einbinden.

Damit von MashZone NextGen erstellte SAML-Assertions (SAML, Security Assertion Markup Language) durch das zentrale User Management von PPM als vertrauenswürdig angesehen werden, müssen die relevanten Keystores und Truststores konfiguriert werden.

PPM unterstützt Single Sign-On mittels SAML 2 ab der Version 9.0.

PPM und MashZone NextGen bieten dieselben Stores, in denen die erforderlichen Zertifikate enthalten sind. Die relevanten Truststore- und Keystore-Dateien befinden sich in folgenden Verzeichnissen. Die Stores werden standardmäßig mit MashZone NextGen installiert.

Sie können auch Ihren eigenen Keystore in PPM und MashZone NextGen verwenden, falls nötig.

Um PPM in ein SSO-Szenario per SAML einzubinden, müssen Sie die erforderlichen Parameter mithilfe des zentralen User Management konfigurieren. Detaillierte Informationen zur Bedeutung und Konfiguration der Parameter erhalten Sie in der Onlinehilfe des zentralen User Management.

Parameter des zentralen User Management für SAML

Für eine SAML2-Anbindung muss der HTTP-Anfrage beim Aufruf von PPM eine sogenanntes SAML-Signed-Assertion mitgegeben werden, die von PPM gegenüber einer Authentifizierungsstelle geprüft wird. Die SAML-Signed-Assertion wird in den meisten Fällen auch von der rufenden Anwendung bereitgestellt. Die Assertion enthält unter anderem die Benutzerdaten des Benutzers, der sich an PPM anmelden möchte. Ist die Assertion gültig und der betreffende Benutzer in PPM bekannt und auch aktiv, so ist die Anmeldung erfolgreich und er bekommt Zugang zu PPM.

Mithilfe folgender Einträge im zentralen User Management können Sie den SAML 2-Zugang konfigurieren.

com.aris.umc.saml.keystore.password = Kennwort des Keystore-Benutzers

Der Truststore wird verwendet um die Signatur in der vom Fremdsystem erhaltenen Signed Assertion zu prüfen, während der Keystore verwendet wird um die eigenen Signed Assertions zu signieren. Somit muss jeweils das Zertifikat im Keystore des Ausstellers im Truststore des Empfängers vorhanden sein, damit die Verifizierung erfolgen kann. Idealerweise sind die Zertifikate auf beiden Seiten (Truststore / Keystore im Sender / Empfänger) identisch.

Vorgehen

  1. Konfigurieren Sie MashZone NextGen für SAML.

    1. Öffnen Sie die Datei presto.config in einem Texteditor.

      Die Datei befindet sich im folgenden Verzeichnis:

      <MashZone NextGen-Installation>\apache-tomee-jaxrs\webapps\mashzone\WEB-INF\classes

    2. Stellen Sie die folgenden Parameter ein.

      saml.truststore.file = <Installationsverzeichnis>/common/conf/platform_truststore.jks

      saml.truststore.passwd = manage

      saml.keystore.file = <Installationsverzeichnis>/common/conf/keystore.jks

      saml.keystore.passwd = manage

      saml.keystore.alias = ssos

    3. Speichern Sie Ihre Änderungen.

  2. Konfigurieren Sie das User Management von PPM für SAML.

    1. Öffnen Sie im User Management von PPM die Seite Konfiguration.

    2. Öffnen Sie die Seite Allgemein.

      1. Wählen Sie im Dropdownmenü die Option SAML.

      2. Aktivieren Sie die Option SAML verwenden.

      3. Löschen Sie die Identitätsanbieter-ID.

    3. Öffnen Sie die Seite Signatur.

      1. Aktivieren Sie die Optionen Assertions signieren, Anfragen signieren und Antworten signieren.

      2. Wählen Sie im Dropdownmenü Signatur-Algorithmus die Option RSAwithSHA512.

    4. Öffnen Sie die Seite Keystore.

      1. Wählen Sie den erforderlichen Keystore.

      2. Geben Sie ssos im Eingabefeld Alias ein.

      3. Geben Sie manage im Eingabefeld Kennwort ein.

      4. Wählen Sie im Dropdownmenü Typ die Option JKS.

    5. Öffnen Sie die Seite Truststore.

      1. Wählen Sie den erforderlichen Truststore.

      2. Geben Sie ssos im Eingabefeld Alias ein.

      3. Geben Sie manage im Eingabefeld Kennwort ein.

      4. Wählen Sie im Dropdownmenü Typ die Option JKS.

    6. Öffnen Sie die Seite Erweiterte Einstellungen.

      1. Geben Sie uid im Eingabefeld Schlüsselwort ein.

      2. Geben Sie 99 im Eingabefeld Zeitabweichung ein.

      3. Geben Sie 99 im Eingabefeld Gültigkeitsdauer Assertion ein.

      4. Geben Sie default im Eingabefeld Standard ein.

    7. Geben Sie den PPM-Benutzer auf der Seite Benutzerverwaltung an.

      1. Geben Sie im Eingabefeld Benutzername einen Benutzernamen ein (z. B. ppmuser).

      2. Geben Sie einen Namen in den Eingabefeldern Vorname (z. B. ppm) und Nachname (z. B. user) ein.

    8. Geben Sie den PPM-Benutzer in MashZone NextGen an.

      1. Öffnen Sie die MashZone NextGen-Administration.

      2. Klicken Sie auf Benutzer und Gruppen > Benutzer.

      3. Fügen Sie einen Benutzer mit demselben Benutzernamen (z. B. ppmuser) wie im zentralen User Management angegeben hinzu. Detaillierte Informationen zur Verwendung von MashZone NextGen finden Sie in der MashZone NextGen-Online-Hilfe.

Im zentralen User Management von PPM und MashZone NextGen wird ein PPM-Benutzer erstellt. PPM und MashZone NextGen werden in ein Single-Sign-On-Nutzungsszenario eingebunden.