Single Sign On (SSO) Methoden zur Benutzerauthentifizierung Patrick Kollmer– Stuttgart – 7. Mai 2015 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 2 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 3 1. @ Today – Wozu SSO? • Zugang zu einer Web Applikation aus Sicht der Mitarbeiter Copyright CENIT AG 08.05.2015 Seite 4 Endgeräte Heute Mannigfaltige Zugriffe über verschiedene Endgeräte und Dienste: Arbeitsrechner Mobile Endgeräte & Tablets Server Applikationen Datenbanken usw… Alle wollen sie dort hin Copyright CENIT AG 08.05.2015 Seite 5 Passwörter als Gehirntraining Copyright CENIT AG 08.05.2015 Seite 6 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 7 2. Vorteile von SSO Geschäftliche Vorteile Die Implementierung einer effizienten Intranetzugriffsverwaltung innerhalb eines Unternehmens kann eine Reihe von geschäftlichen Vorteilen mit sich bringen, zum Beispiel: Erhöhte Benutzerproduktivität. Wenn die Zeit, die Computerbenutzer zur Authentifizierung verwenden, von 16 auf 2 Minuten pro Tag gesenkt werden könnte, würde ein Unternehmen mit 10.000 Benutzern mehr als 2.300 Stunden pro Tag gewinnen - was ungefähr der jährlichen Arbeitszeit eines Vollzeitmitarbeiters entspricht. Gibt es für SSO auch ein ROI? - SSO ermöglicht: Durch Einmaliges Anmelden wird die Produktivität um 15 Prozent und die Anmeldeeffizienz um 18 Prozent erhöht. Copyright CENIT AG 08.05.2015 Seite 8 2. Vorteile von SSO (2) Verringerte Helpdesk-Kosten. Da sich Benutzer weniger Anmeldeinformationen merken müssen, können sie Sicherheitsrichtlinien besser befolgen und verursachen weniger Helpdesk-Anrufe zum Zurücksetzen ihres Kennworts. Verbesserte Netzwerksicherheit. Die Verringerung der nötigen Anmeldeinformationen verbessern außerdem die Netzwerksicherheit, da Benutzer weniger ungeeignete Methoden (z. B. Aufschreiben) zur Verwaltung verschiedener Kennwörter verwenden. Erhöhter Datenschutz. Durch die Sicherheitsfunktionalitäten der besten Infrastrukturprodukte verbessern Unternehmen den Datenschutz und erfüllen Anforderungen von Aufsichtsbehörden. Copyright CENIT AG 08.05.2015 Seite 9 2. Vorteile von SSO (3) Konsolidierung der Infrastruktur. Durch die Schaffung einer Umgebung für eine Anwendungs- und Plattformintegration können Unternehmen Identitätsspeicher konsolidieren sowie Verwaltungs- und Lizenzgebühren sparen. Verringerter Verwaltungsaufwand. Eine Zugriffsverwaltung, die sich über mehrere Plattformen erstreckt und die Mehrheit der Unternehmensanwendungen umfasst, erhöht die Rendite der Investitionen zur Konsolidierung der Identitätsspeicher noch weiter. Dies ist möglich, weil sich weitere Kosteneinsparungen durch den verkleinerten Verwaltungsapparat ergeben. Copyright CENIT AG 08.05.2015 Seite 10 2. Was ist SSO Single Sign-on (SSO, mitunter als „Einmalanmeldung“ übersetzt) bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung an einem Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt (autorisiert) ist, am selben Arbeitsplatz zugreifen kann, ohne sich jedes Mal neu anmelden zu müssen. Wechselt der Benutzer den Arbeitsplatz, wird die Authentifizierung, wie auch die lokale Autorisierung, hinfällig. Klingt gut, oder? Wie sieht die Praxis aus? Schaffen wir das auch? Copyright CENIT AG 08.05.2015 Seite 11 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 12 3. Funktionsweise von SSO (Beispiel mit LDAP) Copyright CENIT AG 08.05.2015 Seite 13 3. Funktionsweise von SSO (2) (Beispiel mit LDAP) Copyright CENIT AG 08.05.2015 Seite 14 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 15 4. SAML 2.0 Was ist SAML? SAML 2.0 ist ein auf XML basierendes Protokoll für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identity Provider und einem Serviceprovider. SAML beinhaltet normalerweise die Email Adresse eines Benutzers. Unterstütze Identityprovider: (IdP) - IBM Tivoli Federated Identity Manager - MS AD FS 2.0 (Bestandteil von MS Server 2008) - MS AD FS 2.1 (Bestandteil von MS Server 2012) (IWA Verbesserung, SPNEGRO & Kerberos kombinierbar, beide MS Produkte sind kostenlos) Unterstütze Serviceprovider: (SP) - IBM Domino 9 - Web Federated Login - IBM Notes 9 - Notes Federated Login (ID Vault zwingende Voraussetzung) - IBM Websphere (div. Anwendungen) Copyright CENIT AG 08.05.2015 Seite 16 SSO mit SAML 2.0 SAML bietet einen Standard für domänenübergreifendes Single Sign-On (SSO). Es gibt andere Methoden für domänenübergreifendes SSO, aber diese erfordern proprietäre Lösungen, um die Authentifizierungs-informationen über Domänen hinweg weiterzuleiten. SAML 2.0 unterstützt vom Identity-Provider initiiertes SSO so wie in SAML 1.x. SAML 2.0 unterstützt auch vom Service-Provider initiiertes SSO. Falls der Identity-Provider SSO initiiert, müssen Sie auf dem Identity-ProviderSystem Links auf die geschützten Ressourcen auf den Service-Providern pflegen. Wenn Sie auf dem Service-Provider Ressourcen mit SAML schützen, ist der ServiceProvider so konfiguriert, dass er vom Identity-Provider die Authentifizierung anfordert. SAML bietet Möglichkeiten, um SAML-Nachrichten zwischen dem Identity-Provider und dem Service-Provider hin und her zu schicken. Frontkanal SAML-Nachrichten werden über den Useragent mit HTTP-Redirect- oder HTTP-POSTMethoden hin und her geschickt. Copyright CENIT AG 08.05.2015 Seite 17 SSO mit SAML 2.0 (2) Direkte Serverkommunikation Nur SAML-Artefakte werden vom Identity-Provider und vom Service-Provider über den User-Agent ausgetauscht. Wenn ein Provider ein Artefakt erhält, fragt er den anderen Provider direkt über SOAP an. Direkte Serverkommunikation bietet zusätzliche Sicherheit, da sichergestellt wird, dass potentielle Lauscher am Useragent nur auf die SAML-Artefakte zugreifen. Allerdings erfordert die direkte Serverkommunikation zusätzliche Roundtrips (Hin und zurück), um eine Authentifizierungsanfrage abschließend zu beantworten. Sie können Frontkanalkommunikation mit Verschlüsselung und digitalen Signaturen schützen und die Kommunikationsoptionen mischen. Copyright CENIT AG 08.05.2015 Seite 18 SAML - Frontkanalkommunikation Copyright CENIT AG 08.05.2015 Seite 19 SAML - Direkte Serverkommunikation Copyright CENIT AG 08.05.2015 Seite 20 SAML – Verwendung & Facts Direkte Serverkommunikation verwendet HTTP-Artefakt- oder SOAPBindungen, um zwischen dem Service-Provider und dem Identity-Provider zu kommunizieren. Verwenden Sie direkte Serverkommunikation, um sicherzustellen, dass SAML-Nachrichten nicht dem Client und möglichen böswilligen Dritten, die den Client belauschen, zugänglich sind. Direkte Serverkommunikation erfordert eine direkte Verbindung zwischen einem Service-Provider und einem Identity-Provider. Falls sich zwischen den Providern eine Firewall befindet, könnte eine direkte Kommunikation nicht möglich sein. Frontkanalkommunikation kann die Antwortzeiten für Single Sign-On (SSO) verbessern, da sie zur Authentifizierung eines Benutzers weniger Roundtrips benötigt Copyright CENIT AG 08.05.2015 Seite 21 SAML – Verwendung & Facts (2) Bindungsarten : Copyright CENIT AG 08.05.2015 Seite 22 Gründe gegen SAML Gründe gegen den Einsatz von SAML: Nicht jede Software, welche ein Passwort braucht unterstützt SAML - Traveler Sametime FileNet /CCM Connections Mail / Desktop und Mobile Applikationen Metrics und Cognos müssen in einer eigenen Zelle kit LPTA deployed werden. - u.a. ID Vault ist Pflicht, daher können nicht „vaultbare ID‘s“ nicht genutzt werden. Multiple Passwörter, Smartcards etc.. – bringen Probleme mit sich Aufwand / Passortwechsel / AD / Zertifikatwechsel sehr aufwändig Copyright CENIT AG 08.05.2015 Seite 23 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 24 5. Was ist SSO mit LPTA Was ist LPTA ? LPTA bedeutet: Lightweight Third Party Authentication (leichtgewichtige Authentifizierung durch Dritte) Auszug Wikipedia: Ein für LTPA-Authentifizierung konfigurierter Lotus-Domino- oder Websphere Server fordert den Benutzer zur Eingabe von Benutzername und Passwort auf. Wenn der Benutzer damit authentifiziert wurde, schickt der Server dem Webbrowser des Benutzers ein Cookie, der für die aktuelle Browser-Sitzung des Benutzers gültig ist. In diesem Cookie befindet sich ein spezieller Datensatz, das LTPA-Token. Wenn der Benutzer in der gleichen Browser-Sitzung anschließend einen anderen Server anspricht, der Mitglied der gleichen Authentifizierungskonfiguration wie der erste Server ist, dann wird der Benutzer dort automatisch authentifiziert und nicht erneut zur Eingabe von Benutzername und Passwort aufgefordert. Copyright CENIT AG 08.05.2015 Seite 25 Herkunft, Token, weitere Verwendung SSO mit LPTA LPTA ist eine SSO Lösung von IBM Diese Architektur erlaubt auch eine Interoperabilität mit anderen SSO auf dem Markt befindlichen Lösungen. Die Web Szenarien benützen nach Verifizierung den Browser Cookie zur jeweiligen Anmeldung eines Benutzers. - LtpaToken – original Format - LtpaToken2 – empfohlen, mehr Sicherheit Copyright CENIT AG 08.05.2015 Seite 26 SSO nutzt LTPA - Übersicht 1. Benutzer ruft eine Domino URL auf 2. Benutzer wird nach Username und Passwort gefragt Copyright CENIT AG 08.05.2015 Seite 27 SSO nutzt LTPA – Übersicht (2) 3. Domino authentifiziert den Benutzer anhand angegebenen Anmeldedaten Was geschieht im Hintergrund? Domino gibt dem Benutzer (dem Browser) einen LTPA Token (Browser Cookie) zurück welcher die Daten zur Anmeldung repräsentieren. Copyright CENIT AG 08.05.2015 Seite 28 SSO nutzt LTPA – Übersicht (3) Der Benutzer ist nun in der Lage, die URLs von Domino und andere mit SSO zugriffsgeschützte Dominoserver der selben DNS Domäne zu öffnen, ohne sich neu authentifizieren / anmelden zu müssen. (Außer die Gültigkeit des Cookies ist abgelaufen) Der im Cookie gespeicherte LtpaToken wird automatisch bei einer HTTP Anforderung an den anfragenden Client übermittelt und repräsentiert am Zielsystem den Benutzer als verifiziert und angemeldet. Copyright CENIT AG 08.05.2015 Seite 29 Konfigurationen am Domino Server Schritte zur Einrichtung (Basis) - Erstellen eines SSO Dokuments im Domino Verzeichnis (names.nsf) Dieses Dokument ist für die beteiligten Server entschlüsselt und beinhaltet den SSO Schlüssel um den LPTA token zu verifizieren / zu erstellen. Die am SSO beteiligten Server müssen sich in der selben DNS Domäne befinden.(Browser Cookie für eine DNS Domäne) Copyright CENIT AG 08.05.2015 Seite 30 SSO Konfigurationsdokument Historisch bedingt. wird das zu erstellende SSO Dokument „Ltpatoken“ benannt. Das Dokument kann, falls gewünscht alternativ auch anders benannt werden. (Achtung: bei QuickR und Sametime muss es „Ltpatoken“ heissen.) Es kann verschiedene (mehrere) Ltpatoken Dokumente verschiedenster URLs geben. Wenn im Web Konfigurationsdokument „Internet Site Configuration“ = off gesetzt wurde, gelten alle SSO Konfigurationen und deren URLs für diesen Domino Server. Copyright CENIT AG 08.05.2015 Seite 31 SSO und Client Zertifikate Damit selbst erstellte Zertifikate in einem Browser nicht zur Meldung führen, dass diesem Zertifikat ggfs. nicht vertraut werden kann, muss das Zertifikat des Servers / Organisation als KEY.p12 Datei (pcks12 Format) aus der Domino - .KEYR Datei (SSL Basiskonfiguration) exportiert und auf die Clients ausgerollt /installiert werden. Hierzu wird das Tool IKEYMAN in der Version 5 von der IBM und ein 32 Bit Windows XP Rechner (VMWARE) für den p12 export benötigt. http://www-01.ibm.com/support/docview.wss?uid=swg21308138 Zum importieren des exportierten .p12 Zertifikats in eine Domäne / AD usw.. bitte den nachfolgenden Beschreibungen, falls nötig folgen: http://windows.microsoft.com/de-DE/windows-vista/View-or-manage-your-certificates Standalone PC: https://www.lexo.ch/blog/2012/08/self-signed-ssl-zertifikat-auf-einem-windows-7-clienteinbinden-der-sich-nicht-in-einer-domane-befindet/ Copyright CENIT AG 08.05.2015 Seite 32 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 33 6. SPNEGO SSO für WEB Clients Der Benutzer öffnet eine Domino URL ohne das dieser sich anmelden muss. Der Benutzer benötigt keinen Usernamen und kein Passwort. Die benötigten Anmeldedaten werden vom Betriebssystem bereitgestellt. Copyright CENIT AG 08.05.2015 Seite 34 Was ist SPNEGO SPNEGO ist ein Protokoll, welches die Kerberos Authentifizierung von Windows Clients gegenüber einem AD ermöglicht. Die durch den Browser zur Verfügung gestellte Clientidentität kann mit Hilfe des KerberosAuthentifizierungsverfahrens überprüft werden. Copyright CENIT AG 08.05.2015 Seite 35 SPNEGO Protokoll Das SPNEGO Protokoll wird nur zur Authentifizierung gegenüber einem HTTP Server benutzt. Facts: Einfache und geschützte gssapi Kommunikation Microsoft RFCs 4559, 4178 konform Die Integration von SPNEGO / Kerberos bedarf einiger Konfigurationsarbeiten eines AD Admins. Domino muss als Kerberos SPN angelegt werden. (ServicePrincipalName). http://www.msxfaq.de/verschiedenes/kerberosspn.htm Bei einer Anmeldung fordert der Benutzer ein Kerberos Ticket für den Dominoserver an. Ein Kerberos Ticket wird generiert in welchem der SPN als auch der Kerberos Name des Benutzers hinterlegt wurde. Copyright CENIT AG 08.05.2015 Seite 36 SPNEGO Protokoll (2) Funktionaler Ablauf: Der Browser fragt Windows nach einem Kerberos ticket, basierend auf a: Browser Konfiguration b: angeforderte Adresse des Benutzers (URL) Anschließend sendet er die Kerberos Anfrage als Teil des SPNEGO Protokolls. Der auf Anfragen wartende und SPNEGO vorbereitete Domino Server validiert das Ticket und berechtigt den Benutzer zum jeweiligen Zugriff. Copyright CENIT AG 08.05.2015 Seite 37 SPNEGO Protokoll (3) Hierbei wird ein LPTA TOKEN generiert und an den Browser gesendet, welcher nun berechtigt ist, alle damit verbundenen SSO Services (WEB) zu nutzen, ohne dass der Benutzer sich manuell anmelden muss. Copyright CENIT AG 08.05.2015 Seite 38 Einträge im Personendokument @ Domino Directory Für die Hinterlegung einer Kerberos Information eines Benutzers, bietet das Personendokument hierfür ein eigenes Feld an. Auch kann man diese Einträge im Feld „Benutzer / Username auf dem Tab „Basics“ vornehmen. Hinweis: Besondere Aufmerksamkeit ist allerdings hierfür zwingend erforderlich, Benutzer mit sog. Windows – Mehrfachen Accounts werden mit einem Eintrag im „User“ Feld ggfs. Schwierigkeiten zur korrekten Authentifizierung bekommen. Copyright CENIT AG 08.05.2015 Seite 39 Name Mapping notwendig ! Das Kerberos Ticket beinhaltet den Kerberos Namen des Benutzers. [email protected] Der eindeutige in ACL‘s eingetragene Name des Benutzers lautet CN=Walter TEST/O=Renovations Der eindeutige Name des Benutzers im AD (Active Direcory) lautet CN=WalterTEST,CN=users,DC=ad,DC=east,DC=renovations,DC=com Um eine korrekte Authentifizierung zu ermöglichen, ist neben einem korrekten Mapping des Namens, eine Verzeichnis unterstützende Konfiguration unter Domino notwendig (Directory Assistance) Siehe hierzu: Verzeichnisverwaltung einrichten und Beispiele http://www-01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_settingupdirectoryassistance_c.dita?lang=de Copyright CENIT AG 08.05.2015 Seite 40 SPNEGO / Kerberos Domino WEB SSO Konfiguration für LtpaToken Copyright CENIT AG 08.05.2015 Seite 41 Agenda 1. @Today 2. Vorteile von SSO 3. Funktionsweise SSO 4. SAML 2.0 5. SSO mit LPTA 6. SPNEGO für WEB Clients 7. Ressourcen 1-8 Copyright CENIT AG 08.05.2015 Seite 42 Ressourcen 1 • Serverübergreifende sitzungsbasierte Authentifizierung (einmalige Anmeldung) http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_multiserversessionbasedauthenticationsinglesign on_t.dita?lang=de • Web-SSO-Konfigurationsdokumente erstellen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_creatingawebssoconfigurationdocument_t.dita?la ng=de • Web-SSO-Konfigurationsdokumente für mehrere DominoDomänen einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_settingupthewebssoconfigurationdocumentformor eth_t.dita?lang=de • Einmalige Anmeldung und Standardauthentifizierung aktivieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_enablingsinglesignonandbasicauthentication_t.dit a?lang=de • Benutzernamenzuordnung im SSO-LTPA-Token konfigurieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_configuringusernamemappinginthessoltpatoken_t .dita?lang=de Copyright CENIT AG 08.05.2015 Seite 43 Ressourcen 2 • Internetkennwort-Änderungen für SSO im Cache speichern http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_cachinginternetpasswordchangesforsso_c.dita?la ng=de • Einmalige Anmeldung von Windows für Web-Clients einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_settingupwindowssinglesignonforwebclients_t.dit a?lang=de • Einmalige Anmeldung von Windows für Web-Clients über mehrere Active Directory-Domänen hinweg http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_windowssinglesignonforwebclientsacrossmultiple ac_t.dita?lang=de • Überlegungen zur Implementierung eines DSAPI-Filters in einer Windows-Umgebung mit einmaliger Anmeldung http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_considerationsifyoudeployadsapifilterinawindows _c.dita?lang=de Copyright CENIT AG 08.05.2015 Seite 44 Ressourcen 3 • Vorbereiten eines Domino-Servers für die einmalige Anmeldung von Windows für Web-Clients http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_preparingadominoserverforwindowssinglesignonf or_t.dita?lang=de • Separate Websites für die Teilnahme und die Nichtteilnahme von Web-Clients einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_settingupseparatewebsitesforparticipatingandnon p_t.dita?lang=de • Windows-Dienst für Domino einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_settingupthewindowsservicefordomino_t.dita?lan g=de • Entscheiden, welchen Konten die SPNs zugewiesen werden sollen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_decidingwhichaccountstoassignthespnsto_t.dita?l ang=de • SPNs mit dem domspnego-Dienstprogramm zuweisen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_assigningspnsusingthedomspnegoutility_c.dita?la ng=de Copyright CENIT AG 08.05.2015 Seite 45 Ressourcen 4 • SPNs ohne das domspnego-Dienstprogramm zuweisen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_assigningspnswithoutusingthedomspnegoutility_c .dita?lang=de • In SPNs zu verwendende DNS-Namen manuell aufzeichnen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_manuallyrecordingdnsnamestobeusedinspns_t.dit a?lang=de • SPNs mit dem setspn-Dienstprogramm zuweisen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_assigningspnsusingthesetspnutility_t.dita?lang=d e • Beispiele für die Kontoauswahl und SPNs http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_examplesofaccountchoicesandspns_r.dita?lang=d e • Überprüfen, ob der Domino-Server unter dem korrekten Benutzerkonto angemeldet ist http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_verifyingthatthedominoserverisloggedonunderthe c_t.dita?lang=de Copyright CENIT AG 08.05.2015 Seite 46 Ressourcen 5 • Zuordnung von Benutzernamen in einer Umgebung mit einmaliger Anmeldung von Windows für Web-Clients konfigurieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_configuringusernamemappinginawindowssinglesi gnon_c.dita?lang=de • Zuordnung von Benutzernamen konfigurieren, wenn Sie DominoBenutzer mit dem Domino-Verzeichnis verwalten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_cfg_usernamemapping_mng_dominouser_trhu_d om_dir_t.dita?lang=de • Zuordnung von Benutzernamen konfigurieren, wenn Sie DominoBenutzer mit Active Directory verwalten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_cfg_usernamemapping_mng_dominouser_trhu_a ct_dir_t.dita?lang=de • Web-Client-Browser für die einmalige Anmeldung unter Windows konfigurieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_configuringwebclientbrowsersforwindowssinglesi gno_t.dita?lang=de Copyright CENIT AG 08.05.2015 Seite 47 Ressourcen 6 • Integrated Windows Authentication (IWA) für Eclipse-basierte Clients http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_enablingintegratedwindowsauth_c.dita?lang=de • Authentifizierung mittels föderierter Identität über Security Assertion Markup Language (SAML) konfigurieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_using_security_assertion_markup_language_sam l_to_configure_federated_identity_authentication_t.dita?lang=de • Föderation zum Konfigurieren als Identitäts-Provider (IdP) auswählen http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_choosing_a_federation_t.dita?lang=de • TFIM-Server als Identitäts-Provider (IdP) einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_setting_up_a_tam_tfim_server_as_the_identity_ provider_idp_t.dita?lang=de • Domino-Server als TFIM-Partner einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_setting_up_a_domino_server_as_a_tfim_partner _t.dita?lang=de Copyright CENIT AG 08.05.2015 Seite 48 Ressourcen 7 • Server des TFIM-Identitäts-Providers bei Domino als SAMLService-Provider registrieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_registering_the_tfim_identity_provider_server_w ith_domino_as_the_saml_service_provider_t.dita?lang=de • Microsoft Active Directory Federated Services (ADFS) als Föderation für einen Domino-Partner einrichten http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_setting_up_active_directory_federated_services_ adfs_t.dita?lang=de • SAML in Domino konfigurieren http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_configuring_saml_in_domino_t.dita?lang=de • Föderierte Anmeldung beim Notes-Client http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/secu_supporting_federated_login_on_the_notes_client _t.dita?lang=de • Richtlinien - Einstellungsdokument für Sicherheitsrichtlinien http://www01.ibm.com/support/knowledgecenter/SSKTMJ_9.0.1/admin/conf_creatingasecuritypolicysettingsdocument_t.dita?l ang=de Copyright CENIT AG 08.05.2015 Seite 49 Ressourcen 8 • Configuring Microsoft Windows single sign-on for Web clients in an existing IBM Lotus Domino environment http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Configuring_Microsoft_Windows_single_signon_for_Web_clients_in_an_existing_IBM_Lotus_Domino_environment • Debugging Variablen • Notes. Ini Zweck CONSOLE_LOG_ENABLED=1 Enables logging of all console output < InstallRoot> \ \ <Data Directory> \ \ IBM_Technical_Support \ \ console.log Debug_SSO_Trace_Level=2 Allows debugging of the SSO token - after a reboot of the HTTP ("restart task http") DEBUG_HTTP_SERVER_SPNEGO=5 Allows debugging of SPNEGO tokens - after a reboot of the HTTP ("restart task http") webauth_verbose_trace=1 Enables debugging for the authentication webresolution mapping of names and DA to external LDAP - with immediate effect debug_outfile=c:\tmp\Spnegonotes.l og Enables the SPNEGO trace in a file Copyright CENIT AG 08.05.2015 Seite 50 Quellen • http://technet.microsoft.com/de-de/library/dd443708.aspx • http://www.edcom.de • http://help.sapag.de/erp_hcm_ias_2013_01/helpdata/de/47/feefe5ed7045458d2886a68bbb46f1/frameset.htm • http://help.sap.de/saphelp_nw74/helpdata/de/24/19b268a60542cfa0fe0b23b0eca5f5/content. htm • http://www-01.ibm.com/support/docview.wss?uid=swg27022349&aid=1 • http://de.wikipedia.org/wiki/Lightweight_Third-Party_Authentication • http://www.ibm.de • http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Configuring_Microsoft_Windows_single_signon_for_Web_clients_in_an_existing_IBM_Lotus_Domino_environment Copyright CENIT AG 08.05.2015 Seite 51 Agenda - wie geht’s weiter… Agenda muss am Tag vorher noch aktualisiert werden Copyright CENIT AG 08.05.2015 Seite 52 Vielen Dank! Patrick Kollmer EIM COM CENIT AG Industriestraße 52-54 70565 Stuttgart www.cenit.com Telefon +49 (711) 7825 3459 E-Mail [email protected] Copyright CENIT AG 08.05.2015 Seite 53
© Copyright 2025 ExpyDoc