AD-Integration

<< Click to Display Table of Contents >>

Navigation:  Systemadministration > Administrations-Bereiche > Schnittstellen >

AD-Integration

 

Die AD-Integration ermöglicht es eine Single-Sign-On Funktion (SSO) gegen ein lokales Active Directory (AD) oder andere Authentifizierungsserver mit ähnlicher Funktionsweise einzurichten.

Die Authentifikation gegen Azure AD ist derzeit noch nicht verfügbar und wird mit einer späteren Version ergänzt.

 

icon_hinweis-box

Hinweis:

Die hier beschriebene Funktion wird ausschließlich in Verbindung mit einem lokalen AD getestet. Die Anleitungen und das zur Verfügung gestellte Authentifizierungstool ist auch nur für AD-Authentifizierung vorbereitet. Probleme mit anderen Authentifizierungssystemen werden, wenn in dieser Hilfe nicht ausdrücklich beschrieben, nicht supportet.

 

Die Single-Sign-On Authentifizierung kann optional für den LogIn als Benutzer und als Anwender des Self-Service Portals (SSP) verwendet werden.

Für die sichere technische Integration müssen lokale Einstellungen im Netzwerk vorgenommen und ein bereitgestelltes Authentifizierungstool installiert werden.

 

Beschreibung der Funktionen der AdministrationseinstellungenAD-Integration

Label des Login-Buttons: Auf der Login Seite wird nach Aktivierung der Funktion eine Schaltfläche für den "Single-Sign-On" dargestellt. Die Beschriftung dieser Schaltfläche kann über dieses Feld individuell geändert werden, falls im Unternehmen für derartige Funktionen spezielle Bezeichnungen bestehen.

AD-Authentifizierung: Hiermit wird die Funktion im System aktiviert und damit wird auf der Login Seite generell die Option angezeigt. Wichtig: pro Benutzer und Person muss die Funktion jeweils zusätzlich aktiviert werden. Die Aktivierung benötigt bis zu 1 Minute, bis sie nutzbar ist.

Feld "PrincipalUserName" zur Authentifizierung verwenden: Option, um anstelle des AD Standardfeldes "SAMAccountName" dieses Feld für die Authentifizierung zu verwenden. Achtung: Wenn Sie bei der Konfiguration der AD Integration im Ticket System das Feld angehakt haben, muss bei allen Personen/Benutzern auch der UserPrincipalName im Feld „Login Name“ hinterlegt sein. Passen Sie bitte auch entsprechend die Import Datei hierfür an.

Redirect URL: Hier muss die URL der Serveradresse des Authentifizierungstools hinterlegt werden. Gegen dieses System erfolgt jeweils die Authentifizierungsanfrage. Ergänzen Sie die URL am Ende mit "/auth". Sie können http oder https verwenden, je nachdem wie Ihr IIS konfiguriert ist.

Beispiel:

AD-Integration4

Link zum Authentifizierungstool: Dieser Link wird automatisch nach Eingabe der Redirect URL erzeugt. Der Link öffnet direkt den Eingabedialog für den Settings-Token. Wenn sich das Tool mit dieser URL öffnet, ist, ist dieses korrekt eingerichtet und der Pfad auch korrekt eingetragen.

User Info (für Tests): Dieser Link wird automatisch nach Eingabe der Redirect URL erzeugt. Der Link öffnet ein lokales Hilfe Tool, in dem die Authentifizierungsinformationen des aktuellen Windows Benutzers des Anwenders angezeigt werden. Dies ist hilfreich um während des Einrichtungsprozesses zu überprüfen welchen Authentifizierungskontext der aktuelle Benutzer nutzt. Der „SamAccountName“ oder „User Principal Name“, der in der User Info angezeigt wird, muss mit dem Login Namen auf dem Personen/User Datensatz im System übereinstimmen. Welches der beiden Felder für die Authentifizierung genutzt wird, hängt von der entsprechenden Einstellung (s.o.) ab.

 

Welches der beiden Felder für die Authentifizierung genutzt wird, hängt von der Einstellung

 

AD-Integration3

Schaltfläche "SETTINGS TOKEN GENERIEREN": Über diese Shaltfläche wird der Token generiert, der automatisch sämtliche Einstellungen in dem Authentifizierungs-Tool vornimmt sowie einen hohen Sicherheitsverschlüsselungsstandard (SHA 265) verwendet. Bitte den Token erst nach Eingabe der korrekten Redirect URL generieren.

Settings-Token: Sobald der Token generiert wurde, kann dieser kopiert und in das Eingabefeld in dem lokalen Authentifizierungstool eingefügt werden (Tool öffnet sich direkt mit dem Eingabefeld).

Passwort-Login für SSP deaktivieren: Option, dass auf dem Login Bildschirm für das SSP ausschließlich die Windows Authentifizierungsmethode angeboten wird. Hiermit können Missverständnisse vermieden werden, wenn für das Ticketsystem keine Passwörter verwaltet werden sollen und Anwender ggf. versuchen sich mit dem Windows-Benutzer/Passwort anzumelden. Wichtiger Hinweis: Falls die AD Integration technisch nicht verfügbar sein sollte, gibt es keine alternative Möglichkeit sich am SSP anzumelden. Die Einschränkung gilt nur für normale Personen. Anwender mit einem echten Benutzeraccount (Ticketbearbeiter, Admins etc.) haben jederzeit auch zusätzlich die Option "Benutzername/ Passwort" auf dem Login Bildschirm, um immer einen Fallback für die Anmeldung zu haben

 

 

 

icon_hinweis-box

Hinweise zu den verwendeten Methoden, Protokollen und Sicherheitsmechanismen:

Die verwendete Protokolle / Mechanismen sind http(s) (durch den Kunden auf Basis des IIS konfigurierbar) und JSON Web Token (JWT).

 

Technischer Ablauf der Authentifizierung:

Das System leitet nach Klick auf den Login Button den User auf den Webserver um, auf dem das Authentifizierungs-Tool installiert ist (redirect URL)

Der IIS führt die Authentifizierung mit der dort standardmäßig integrierten Windows Authentifizierung gegen das AD durch

Der IIS setzt dann eine Variable, auf die das Authentifizierungs-Tool zugreift

Das Authentifizierungs-Tool erzeugt mit den erhaltenen Anmeldeinformationen einen mit SHA256 signierten JSON Web Token (JWT). Dieser Token wird dann sicher mittels https an unseren Dienst weitergeleitet. Im JWT Token enthalten ist der Login Name (kein Passwort!) des Benutzers.

Der Login Name wird im Ticketing-System gesucht und - falls vorhanden - für den Login verwendet.

 

Installation des Authentifizierungstools

Für die Authentifizierung gegen Ihr lokales Active Directory müssen Sie Ihr System nicht von außerhalb Ihres Netzwerkes erreichbar machen. Wir stellen hierfür ein Authentifizierungstool bereit, dass Sie auf einer Maschine in Ihrem Netzwerk installieren. Das Tool nutzt dann Funktionen des IIS, um sich gegen ihr lokales Active Directory zu authentifizieren. Das Tool erzeugt mit den erhaltenen Anmeldeinformationen einen mit SHA256 signierten JSON Web Token (JWT). Dieser Token wird dann sicher mittels HTTPS an unseren Dienst weitergeleitet.

 

 

Bitte laden Sie sich das Authentifizierungstool hier herunter: DOWNLOAD Authentifizierungstool

 

Bitte richten Sie die Authentifizierung nach der folgenden Anleitung ein:

 

icon_anleitung

Installation Authentifizierungstool

 

1.

Bitte stellen Sie eine Maschine bereit, auf der IIS installiert ist (Microsoft Internet Information Server (IIS) 7.0, 7.5, 8, 8.5 oder 10) Das System muss sich in einer Domäne befinden, aus welcher das gewünschte Active Directory erreichbar ist. Zusätzlich muss der IIS für alle Benutzer erreichbar sein, welche sich authentifizieren sollen. Es muss keine direkte Verbindung zwischen unseren Diensten und ihrem IIS bestehen! Aus diesem Grund ist für den IIS eine Internetverbindung nur dann zwingend notwendig, wenn die Benutzer aus dem Internet auf den IIS zugreifen können sollen.

 

 

2.

Die folgenden System-Komponenten des IIS müssen mindestens aktiviert sein:

ADIntegration_IIS1

 

3.

Bitte entpacken Sie die in diesem Hilfe-Artikel bereitgestellte Zip Datei standardmäßig nach: C:\inetpub\wwwroot\auth

Sollte unter wwwroot kein Ordner "auth" existieren erstellen Sie diesen.

In dem Ordner „Auth“ müssen die entpackten Dateien/ Ordner wie folgt direkt (ohne weiteren Unterordner) enthalten sein:

ADIntegration_IIS9

 

4.

Öffnen Sie nun den IIS Manager, unter "Default WebSite" muss nun ein Ordner "auth" erscheinen

ADIntegration_IIS2

 

5.

Öffnen Sie das Menü mit rechter Maustaste und klicken Sie auf "in Anwendung konvertieren" und bestätigen Sie anschließend mit OK

ADIntegration_IIS3

 

ADIntegration_IIS4

 

 

6.

Öffnen Sie nun die Anwendung und darin den Menüeintrag "Authentifizierung"

 

ADIntegration_IIS5

ADIntegration_IIS6

 

Deaktivieren Sie alle Optionen, nur die Option "Windows-Authentifizierung" muss aktiviert sein.

ADIntegration_IIS7

 

7.

Gehen Sie in den Ordner C:\inetpub\wwwroot und öffnen Sie hier über Rechtsklick die Eigenschaften des Ordners "auth"

Die Benutzer "IUSR" und "IIS_IUSRS" benötigen beide die folgenden Berechtigungen:

 

ADIntegration_IIS8

 

8.

Die Konfigurationsoberfläche ist nun fertiggestellt, unter Umständen erscheint noch eine "Error" -Meldung, dass die Konfiguration unvollständig ist, diese verschwindet nach Umsetzung des nächsten Schritts.

 

9.

Nach dem Übernehmen der Einstellungen ist das Authentifizierungstool nun erreichbar und kann genutzt werden.

 

Bitte tragen Sie analog der folgenden Anleitung zum Vorgehen der Einrichtung innerhalb des Ticketing-Systems die Adresse des Tools als Re-Direct URL ein. Der Link ist erreichbar wenn Ihr eigener User lokale Adminrechte auf dem IIS-System hat. Ansonsten können Sie per localhost zugreifen, um den Settings-Token einzufügen.

 

 

Vorgehen für die Einrichtung innerhalb des Ticketing-Systems

Nach Installation des lokalen Authentifizierungstools müssen folgende Tätigkeiten vorgenommen werden:

icon_anleitung

Einrichtungsschritte der AD-Integration

In der Kachel "AD-Integration" in der Systemadministration:

1.Setzen Sie den Haken für AD-Authentifizierung

2.Geben Sie die Redirect URL ein (Ihre Serveradresse des Authentifizierungstools)

3.Klicken der Schaltfläche "Settings-Token generieren"

4.Kopieren Sie den vollständigen Token und öffnen Sie den "Link zum Authentifizierungstool"

5.Tragen Sie den vollständigen Token in das folgende Eingabefeld ein

AD-Integration2

Alle Konfigurationsdaten werden über den Token automatisch übernommen, Sie müssen keine weitere Einstellungen vornehmen

 

 

Stellen Sie auf den Stammdaten-Formularen der Personen und Benutzer, die sich über Single-Sign-On anmelden können sollen, folgendes ein:

 

Personen, Formularsektion "Login-Daten":

1.Grundsätzlich muss zunächst bei allen Personen, die Zugriff auf das SSP erhalten sollen, das Feld „Zugang SSP“ auf „Zugang erteilt“ gestellt werden.

2.Bei allen Personen, bei denen eine Authentifizierung mittels Single-Sign-On (SSO) gewünscht ist, zusätzlich das Feld Authentifikation auf „Windows“ stellen und damit verpflichtend Ihren Windows Domain Namen eingeben. Damit hat diese Person bei der Anmeldung in das Self-Service-Portal die Möglichkeit sich sowohl über Benutzername/Passwort ODER über Windows Single-Sign On anzumelden.

3.Wenn das Feld Authentifikation auf „Passwort“ gestellt wird, wird die eingetragene Windows Domain gelöscht und die Person kann sich nur noch über den vergebenen Benutzernamen/ Passwort anmelden.

 

Tipp:

Um den SSP Login bzw. die Windows Authentifizierung gleichzeitig für viele Personen zu aktivieren, gibt es entsprechende Schaltflächen auf der Administrationskachel Personen/Benutzer neben der Liste.

Man kann mehrere oder alle Personen markieren und über die Buttons dann die Berechtigungen herstellen. Im oberen linken Bereich der Liste können alle Personen über ein Häkchen markiert werden.

Benutzerliste_Buttons

 

 

Benutzer, Formularsektion "Login-Daten":

Die Einstellung für die Authentifizierung bei Benutzern verläuft genauso wie bei Personen. Bei optional erteiltem Zugang für das Self-Service-Portal sind Benutzername/Passwort des Benutzers für den Self-Service-Portal Log-In identisch.

Es ist für beide Logins bei aktiviertem SingleSignOn über AD-Authentifizierung sowohl dieser Log-IN als auch Log-In mittels Benutzername und Passwort direkt möglich. Wichtig: Das Passwort ist in dem Fall NICHT das Windows Passwort, sondern das Passwort das separat innerhalb des Ticketing Systems vergeben wurde. Das Ticketing-System speichert niemals das Windows Passwort ab.

 

 

icon_hinweis-box

Hinweise:

Der Login Name der Benutzer im Active Directory muss mit den Benutzernamen in den Stammdaten der Benutzer und Personen übereinstimmen, damit eine Single-Sign-On Anmeldung erfolgen kann.

Die Passwörter im Ticketing System sind ausschließlich diejenigen, die durch den Administrator oder Anwender dort individuell gepflegt werden. Aus Sicherheitsgründen speichern wir hier nicht automatisch z.B. das Windowspasswort eines Anwenders. Für die individuelle Vergabe und ggf. notwendige Sicherheitsmerkmale der Passwörter ist jeder Kunde selbst verantwortlich.