Funktion: LDAP Single Sign-on

Mithilfe dieser Funktion aktivieren und konfigurieren Sie die Anmeldung von Benutzern an ein Comarch-ERP-Enterprise-System per Single Sign-on. Um diese Funktion nutzen zu können, muss die Funktion LDAP allgemein aktiv sein.

Technische Informationen

  • Bezeichnung: LDAP Single Sign-on
  • Technischer Name: com.cisag.sys.services.ldap.LDAPSSO
  • Verfügbar ab: Release 5.1
  • Notwendige Lizenz: keine
  • Deaktivierbar: ja
  • Relevant für: System

Die Benutzer müssen sich am Betriebssystem mit einem Benutzernamen aus der Domäne des LDAP-Servers anmelden, damit sie mit dem Browser ein Single Sign-on verwenden können.

Die Protokolle „NTLM“ und „Kerberos“ können genutzt werden. Diese Protokolle werden vom Internet Explorer für ein Single Sign-on angeboten. Welches Protokoll vom Browser ausgewählt wird, hängt von verschiedenen Faktoren ab.

Karteireiter Einstellungen

Unter diesem Karteireiter steht Ihnen Folgendes zur Verfügung:

Rubrik Verbindung zum LDAP-Server

Für Single Sign-on muss ein spezieller Dienst-Benutzer im LDAP existieren, dessen Namen und Kennwort Sie in dieser Funktion erfassen.

Im Einzelnen:

  • Hostname – Der Name oder die IP-Adresse, unter welcher der LDAP-Server erreichbar ist. So wie in der Funktion LDAP allgemein festgelegt.
  • Port – Der Port unter dem der LDAP-Server erreichbar ist. So wie in der Funktion LDAP allgemein festgelegt.
  • Dienst-Benutzer – Erfassen Sie einen Benutzer, mit dessen Berechtigungen auf den LDAP-Server zugegriffen wird. Dieser Benutzer ist ein zusätzlicher Benutzer auf dem LDAP-Server, der für Kerberos benötigt wird.
  • Dienst-Kennwort – Kennwort des Dienst-Benutzers für die Authentifizierung.

Freischaltung der Application-Server

Im LDAP-Server müssen die für Single Sign-on zu verwendenden Application-Server als „Service Principle Names“ beim Dienst-Benutzer eingetragen sein (LDAP-Attribut „servicePrincipalName“).

Ist der LDAP-Server ein „Microsoft Active Directory“, dann gehen Sie wie folgt vor:

  1. Erstellen Sie den oben genannten Dienst-Benutzer im LDAP-Server. An Rollen oder Berechtigungen dieses Benutzers bestehen keine weiteren Anforderungen.
  2. Melden Sie sich am Domänencontroller als Domänenadministrator an. Installieren Sie, falls das Programm „setspn.exe“ nicht vorhanden ist, den optionalen Bestandteil „Support Tools“ der jeweiligen Windows-Version. Führen Sie dann für jeden mit LDAP zu nutzenden Application-Server den folgenden Befehl aus:
    setspn –a HTTP/<host> <serviceuser>

      • <host> ist der Hostname (ohne Port) des Application-Servers.
      • <serviceuser> ist der Name des Dienstbenutzers.

    Dadurch entsteht jeweils ein LDAP-Attribut „servicePrincipalName“ für den Application-Server.

Konfiguration der Application-Server

Eine weitere Konfiguration der Application-Server ist nicht notwendig. Die Einstellung Zertifikat erforderlich in der Anwendung Systemcockpit hat keinen Einfluss auf Single Sign-on. Das bedeutet, dass Single Sign-on auch mit der Einstellung Zertifikat erforderlich verwendet werden kann.

Beachten Sie, dass für die Nutzung von Kerberos der Application-Server mindestens JRE 7 Update 4 verwenden muss.

Konfiguration der Benutzer in Comarch ERP Enterprise

Bei Benutzern, die sich per Single Sign-on anmelden sollen, muss der Betriebssystembenutzer-Name als „Windows-Benutzer-Name“ eingetragen sein. Dies konfigurieren Sie in der Anwendung Systemcockpit, Typ Benutzer, Karteireiter Editor, Unter-Karteireiter Allgemein, Rubrik Identifikation. Für die Nutzung von Kerberos ist ein Eintrag der Form „Benutzername@Domäne“ erforderlich. Wenn Benutzer durch die LDAP-Synchronisierung verwaltet werden, dann werden die nötigen Einträge der „Windows-Benutzer-Namen“ automatisch erzeugt.

Konfiguration der Browser

Wenn ein Zertifikat im Browser installiert ist, dann wird dieses verwendet, auch wenn Single Sign-on aktiviert ist. Sofern das Dialogfenster für die Zertifikatsauswahl geöffnet wird, kann Single Sign-on ausgewählt werden, indem auf „Abbrechen“ gedrückt wird . In der Regel ist sinnvoll, kein Zertifikat zu installieren.

Für die Nutzung von Kerberos muss im Internet Explorer die Option „Integrierte Windows-Authentifizierung aktivieren“ aktiviert sein.

Falls Single Sign-on mit Windows 7 oder Windows Server 2008 R2 (Internet Explorer 9) nicht funktioniert, aktivieren Sie die Einstellung „Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort“ (in den Zonenoptionen unter Benutzerauthentifizierung) oder verwenden Sie die Zone „Lokales Intranet“ und setzen Sie den Internet Explorer auf Standardeinstellungen zurück.

Czy ten artykuł był pomocny?

Wyślij opnie