Kennwortbasierte Authentifizierung

1                     Themenübersicht

Dieses Dokument beschreibt die notwendigen Einstellungen für die Verwendung der kennwortbasierten Authentifizierung bei der Anmeldung von Benutzern in Comarch ERP Enterprise.

2                     Zielgruppe

System-Administratoren

3                     Begriffsbestimmung

Authentifizierung

Für den Umgang mit Comarch ERP Enterprise muss ein Benutzer dem System bekannt sein, sodass bei einer System-Anmeldung seine Identität geprüft werden kann. Bei der Anmeldung an den ERP-System-Application-Server erfolgt die Authentifizierung durch ein Client-Zertifikat, einen Windows-Benutzernamen oder Ähnliches. Authentifizierte Benutzer erhalten eine Session. Bei einer fehlerhaften Authentifizierung kann der Benutzer Comarch ERP Enterprise nicht starten.

4                     Beschreibung

Standardmäßig werden Benutzer bei der Anmeldung an ein Comarch-ERP-Enterprise-System durch Zertifikate authentifiziert. Zusätzlich wird die Möglichkeit angeboten, dass sich Benutzer auch mittels der Angabe von Benutzername und Kennwort gegenüber einem System authentifizieren.

Jedem Benutzer kann höchstens ein Kennwort zugeordnet werden. Kennworte unterliegen keinen besonderen Beschränkungen bzgl. der Mindestlänge oder der enthaltenen Zeichen. Das Kennwort eines Benutzers wird ebenso wie seine Zertifikate in der Systemkonfigurations-Datenbank gespeichert.

Das Kennwort identifiziert den Benutzer systemübergreifend, d. h. für alle Systeme einer Konfigurations-Datenbank. Für jeden ERP-System-Application-Server (SAS) können Sie allerdings einstellen, ob die Authentifizierung ausschließlich mittels Zertifikat oder auch mittels Kennwort erfolgen kann.

4.1               Einstellungen

4.1.1          ERP-System-Application-Server einstellen

Um in einem System die kennwortbasierte Authentifizierung zu verwenden, müssen in der Anwendung „Systemcockpit“ einige Einstellungen festgelegt werden. Aus Sicherheitsgründen sind Systeme nach der Installation auf ein ausschließlich auf Zertifikaten basierte Authentifizierung eingestellt.

Sie können einstellen, ob die Anmeldung nur mit Zertifikaten möglich ist oder auch mit einem Kennwort erfolgen kann.

  • Nach Auswahl des Typs „System“ können Sie durch die Checkbox „Zertifikate erforderlich“ den systemweiten Standard für die Authentifizierung festlegen. Der Standard ist gültig, wenn für einen Application-Server nichts Abweichendes eingestellt worden ist. Wenn die Checkbox aktiviert ist, dann ist die Anmeldung standardmäßig nur mit Zertifikaten möglich.
  • Nach Auswahl des Typs „Application-Server“ können Sie für einen Application-Server mittels des Feldes „Zertifikate erforderlich“ zwischen den folgenden Möglichkeiten wählen:
  • „Systemstandard“:
    Für den Application-Server gilt die Einstellung, die für das System getroffen wurde.
  • „Ja“:
    Die Anmeldung auf dem Application-Server ist nur mit Zertifikaten möglich.
  • „Nein“:
    Die Anmeldung auf dem Application-Server ist sowohl mit Zertifikaten als auch mit Kennwort möglich.

4.1.2          Kennwort festlegen und ändern

Ein Benutzer kann sich erst dann mit einem Kennwort anmelden, wenn für ihn ein Kennwort festgelegt worden ist. Für einen Benutzer, der noch kein Kennwort hat, muss das Kennwort durch einen anderen Benutzer festgelegt werden. Auf die gleiche Weise kann ein Kennwort auch wieder gelöscht werden.

Hinweis:
Für das Festlegen und Löschen des Kennwortes eines Benutzers ist eine Berechtigung mit der Fähigkeit „Ändern“ für das Business Entity com.cisag.sys.configuration.obj.User erforderlich.

Benutzer, die bereits ein Kennwort haben, können das Kennwort unter Nennung des bisherigen Kennwortes ändern. Hierfür ist keine besondere Berechtigung erforderlich.

Kennworte können mit folgenden Funktionen festgelegt bzw. geändert werden:

  • Im Menü: Eintrag „Kennwort ändern“. Mit dieser Funktion kann der angemeldete Benutzer nur sein eigenes Kennwort ändern.
  • In der Anwendung „Benutzereinstellungen“, über den Button „Kennwort ändern“ in der Standard-Symbolleiste.
  • In der Anwendung „Systemcockpit“, Ansicht Benutzer, über den Button “Kennwort ändern” in der Standard-Symbolleiste.
  • Mittels der Toolshell mit dem Befehl chgusrpwd (change user password).

Wenn Sie eine der ersten drei Möglichkeiten nutzen, erscheint eines der im Folgenden beschriebenen Dialogfenster, abhängig davon, ob Sie das eigene oder das Kennwort eines anderen Benutzers ändern möchten.

Hinweis:
Das Festlegen oder Löschen eines Kennwortes ohne Angabe des alten Kennwortes, kann immer nur durch einen anderen Benutzer erfolgen. Das gilt auch für das Kennwort von Administratoren.

4.1.2.1      Fremdes Kennwort festlegen, ändern oder löschen

Zum Festlegen, Ändern oder Löschen des Kennwortes für einen anderen Benutzer erscheint folgendes Dialogfenster:

Dialogfenster zum Festlegen des Kennwortes

Wenn Sie das Kennwort festlegen oder ändern möchten, geben Sie das neue Kennwort in beide Felder ein und bestätigen Sie mit „OK“.

Wenn Sie das Kennwort löschen möchten, drücken Sie den Button „Kein Kennwort“.

4.1.2.2      Eigenes Kennwort ändern

Wenn ein Benutzer bereits ein Kennwort besitzt, erscheint zum Ändern seines Kennwortes das Dialogfenster „Kennwort ändern“. Um das Kennwort zu ändern, muss das alte und das neue Kennwort angegeben werden.

Dialogfenster zum Ändern des Kennwortes

4.2               Anmelden mit Kennwort

Bei der Anmeldung an einen ERP-System-Application-Server, der für die kennwortbasierte Anmeldung eingestellt ist, hängt es von den am Client installierten Zertifikaten und Einstellungen ab, welches Dialogfenster erscheint.

Wenn am Client genau ein zum Zertifikat des Servers passendes Benutzer-Zertifikat installiert, dann wird dieses automatisch für die Anmeldung verwendet. Sind mehrere passender Benutzer-Zertifikate installiert oder ist die Option zum Nachfragen bei der Herausgabe von Zertifikaten aktiv, erscheint das Dialogfenster zur Zertifikatsauswahl des Internet Explorers.

Dialogfenster zur Zertifikatsauswahl des Internet Explorers

Wenn kein passendes Benutzer-Zertifikat installiert ist oder wurde im Dialogfenster der Button “Abbrechen” gewählt, dann erscheint das Kennwort-Dialogfenster des Internet Explorers. Sie können den Namen des Benutzers und das zugehörige Kennwort eingeben.

Hinweis:
Die Angabe des Benutzernamens muss in Großbuchstaben erfolgen. Beim Kennwort wird zwischen Groß- und Kleinschreibung unterschieden.

Kennwort-Dialogfenster des Internet Explorers

Hinweis:
Das Dialogfenster zum Abbrechen der Zertifikatsauswahl erscheint nicht, wenn ein abgelaufenes Zertifikat vorhanden ist, das automatisch durch den Browser an den SAS weitergeleitet wird. Durch dieses Verhalten des Browsers kann die kennwortbasierte Authentifizierung nicht genutzt werden.

Prüfen Sie die installierten Zertifikate und entfernen Sie nicht mehr gültige Zertifikate aus dem Zertifikatsspeicher des Browsers.

Czy ten artykuł był pomocny?