Single Sign-On (SSO)

Single Sign-On wurde entwickelt, damit sich Benutzer nicht mit demselben Benutzernamen an verschiedenen PCs anmelden können. Dieses Prinzip ist für den Benutzer durchschaubar; es gibt keine besonderen Meldungen in Verbindung damit. Beim Registrieren an einer neuen Farm oder beim Bearbeiten von vorhandenen Farmen, für die die Windows-Authentifizierung ausgewählt wurde, wird bei einem Ausfall die folgende Meldung angezeigt: Fehler bei Windows-Authentifizierung. Sie müssen den Benutzer und das Passwort eintragen.

SSO funktioniert mit dem aktuellen/vorhandenen Symphony-Authentifizierungsverfahren. Die Windows-Authentifizierung ist sicherer als die Symphony-Authentifizierung da sie auf das integrierte Windows-Sicherheitssystem zurückgreift. Die Kommunikation zwischen dem Client und dem Server wird über einen WSE 3.0 SOAP Webdienst ermöglicht.

Prozessablauf

1.     Wenn Symphony Client mit einer Farm verbunden wird, erzeugt er einen Sicherheitstoken basierend auf der Identität des aktuell angemeldeten Windows-Benutzers. Der Benutzer MUSS auf dem Domainkonto angemeldet sein.

2.      Der Sicherheitstoken wird zur Authentifizierung an die Farm/den Server geschickt.

3.      Die/der Farm/Server überprüft die Gültigkeit des Token und ermittelt das damit verbundene Domainkonto.

4.      Bei erfolgreicher Überprüfung schickt die/der Farm/Server eine Sitzungs-ID zurück an den Clienten.

5.      Bei Misserfolg, ändert sich der Farmstatus des Clienten auf Unberechtigt.

6.     Für den Fall eines Fehlers bei der Authentifizierung kann sich der Benutzer mithilfe der Symphony-Anmeldedaten anmelden:

a.      Klicken Sie in Symphony Client mit der rechten Maustaste auf Ihre Farm in der Serverliste.

b.      Wählen Sie Bearbeiten. Das Dialogfeld Server-Login-Informationen wird geöffnet.

c.   Deaktivieren Sie Single Sign-On: Heben Sie die Auswahl bei dem Kontrollkästchen Windows-Authentifizierung auf.

d.      Klicken Sie auf OK.

e.      Tragen Sie den Benutzernamen und das Passwort ein.

Voraussetzungen

Die Single Sign On-Funktion verwendet die Domain-Identität des Clienten für die Authentifizierung am Server. Aus diesem Grund müssen der Client und der Server im gleichen Sicherheitsbereich sein. Somit ist die Single Sign On-Funktion nur verfügbar, wenn:

•       Der Client und die Servermaschinen auf der gleichen Domain angemeldet sind, und

•       Der Benutzer sich als Domainbenutzer auf dem Client unter Verwendung der Domain-Anmeldedaten anmeldet. (Ein Benutzer kann sich lokal auf einem Computer anmelden; in diesem Fall ist die Single Sign On-Funktion nicht verfügbar.)

Bei Domains, die durch Windows Server 2008 (oder später) kontrolliert werden und bei Clienten, die auf Vista/Windows 7 betrieben werden:

•       Die AES256_HMAC_SHA1-Verschlüsselung muss deaktiviert werden, da sie ansonsten nicht durch den WSE 3.0 verarbeitet werden kann, der für Single Sign On verwendet wird. Diese Richtlinie muss durch den Domain-Controller durchgesetzt und von dem IT-Personal, das für diese Domain verantwortlich ist, auferlegt werden.

Aktivieren von Single Sign-On (SSO)

•       Aktivieren von Single Sign On in Symphony Client (oder manuell)

•       Ändern des Speicherpfades für die Farm-Registrierung zu einem Netzwerkserver in Symphony Client

Aufgabe 1:    Aktivieren von Single Sign On in Symphony Client (oder manuell)

So aktivieren oder deaktivieren Sie Single Sign On in Symphony Client:

1.     Klicken Sie in Symphony Client mit der rechten Maustaste auf Ihre Farm in der Serverliste.

2.     Wählen Sie Bearbeiten. Das Dialogfeld Server-Login-Informationen wird geöffnet.

•        Zum Aktivieren von Single Sign-On markieren Sie das Kontrollkästchen Windows-Authentifizierung.

•        Zum Deaktivieren von Single Sign-On heben Sie die Auswahl bei dem Kontrollkästchen Windows-Authentifizierung auf.

3       Klicken Sie auf OK.

Kontrollkästchen Windows-Authentifizierung

Um Single Sign On manuell zu aktivieren:

1.     Bearbeiten Sie %APPDATA%\aimetis\RegisteredFarms.xml.

Beispiel:

<RegisteredFarms>

   <Farm ID="74083">

      <Encryption>6.2</Encryption>

      <Alias>10.234.10.76</Alias>

      <SpecifiedAddress>10.234.10.76</SpecifiedAddress>

      <UserName>MVYlTEIRRUhQ</UserName>

      <Password>kjdflasdkjflakj</Password>
      <UseWindowsAuthentication>false </UseWindowsAuthentication>

      <Addresses>

          <Adresse>

         <SpecifiedAddress>10.222.10.73</SpecifiedAddress>

         <IP>10.222.10.73</IP>

         <Port>50001</Port>

         </Address>

       </Addresses>

    </Farm>

</RegisteredFarms>

2       Unter <Farm ID = “number”>,

•        Zum Aktivieren von Single Sign On stellen Sie ein
<UseWindowsAuthentication>true </UseWindowsAuthentication>

•        Zum Deaktivieren von Single Sign On stellen Sie ein
<UseWindowsAuthentication>false </UseWindowsAuthentication>

Aufgabe 2:    Ändern des Speicherpfades für die Farm-Registrierung zu einem Netzwerkserver in Symphony Client

Um sicherzustellen, dass die Informationen der Farm-Registrierung auf dem Netzwerkserver gespeichert wurden:

1       Wählen Sie im Menü Ansicht die Option Einstellungen. Das Dialogfeld SymphonyClient-Einstellungen wird geöffnet.

2       Klicken Sie auf die Registerkarte Global.

3       Markieren Sie das Kontrollkästchen Kundenspezifischer Pfad zur Farm-Registrierung.

4       Geben Sie in dem nächsten Feld den Pfad innerhalb des Netzwerks an, auf dem die Informationen zur Registrierung für alle Roaming-Benutzer gespeichert werden.

•        Der Netzwerkserver, auf dem alle Farm-Registrierungen gespeichert werden, muss für all Clienten erreichbar sein.

•        Dies ist eine globale Einstellung. Alle Benutzer, die sich an diesem Client anmelden, werden diese Einstellung verwenden. Verwenden Sie bei der Konfiguration dieses Pfades die %WINUSER% Variable, sodass jeder Benutzer einen einzigartigen Pfad hat, auf dem die Farm-Registrierung gespeichert wird. Der Benutzer muss über Windows „Änderungsrechte“ für diesen Ordner verfügen. Dies wird pro Client-Computer nur einmal eingestellt.