Connector für Microsoft SharePoint - Authentifizierung

Modul Integration Daten konsumieren Connector für Microsoft SharePoint Hauptmenü Microsoft SharePoint/ Neue Datenquelle oder Bearbeiten bei einer bestehenden Verbindung

1. Windows-Authentifizierung aktivieren

Aktivieren Sie diese Einstellung für die Basis- und Kerberos-Authentifizierung.

1.1. Integrierte Windows-Authentifizierung

Mit dieser Optionen steht die Windows-Integrierte-Authentifizierung für ein Single-Sign-On zur Verfügung. Die Kerberos-Authentifizierung bietet Single-Sign-On für den Zugriff der Intrexx-Benutzer auf den SharePoint-Service anhand von Kerberos-Tickets. Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:
  1. Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden.
  2. Die Benutzer aus Ihrem Active-Directory müssen entsprechend in Intrexx importiert oder angelegt sein. Bitte stellen Sie sicher, dass mindestens ein Benutzer Mitglied in der Benutzergruppe Administratoren ist, um das System weiterhin administrieren zu können.
  3. Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie Delegierung.
  4. Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
  5. Im Browser der Benutzer muss die SPNEGO-Authentifizierung aktiviert sein. So muss z.B. im Internet Explorer in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein. Außerdem muss in den erweiterten Einstellungen die Einstellung Integrierte Windows-Authentifizierung gesetzt sein. Für Google Chrome müssen die Hostnames der Intrexx- und SharePoint-Server in der Registry in eine White List eingetragen werden. Weitere Informationen dazu finden Sie hier. In Firefox müssen die Server in der Firefox-Konfiguration (about:config) in die White-Lists unter den Schlüsseln
    network.negotiate-auth.trusted-uris
    und
    network.negotiate-auth.delegation-uris
    eingetragen werden.
  6. Für die Kerberos Ticket-Bereitstellung muss der Intrexx-Kerberos-Token-Provider-Service im Internet-Information-Server, über den mit Intrexx kommuniziert wird, installiert werden.

1.1.1. Intrexx Token Service - Service Prinzipal Name / SharePoint Service Prinzipal Name / Service Token URI

Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos-Ticket erzeugt werden soll. Dieses Ticket wird für den Internet-Information-Server des Intrexx-Portalservers benötigt. Der SPN ist in der Regel wie folgt aufgebaut: http//<Rechner-DNS-Name>@<KERBEROS_REALM>. Dabei muss der Rechner-DNS-Name mit dem voll qualifizierten Host-Name (z.B. meinrechner.meinefirma.de) ersetzt werden. Statt KERBEROS_REALM wird in der Regel die Domäne in Großbuchstaben eingesetzt (z.B. MEINEFIRMA.DE). Der SPN mit den Beipieldaten würde demnach wie folgt lauten: http/meinrechner.meinefirma.de@MEINEFIRMA.DE.

1.2. Basisauthentifizierung

Kann ein Benutzer nicht authentifiziert werden, kann automatisch die Basisauthentifizierung aktiviert werden. Bei der Basisauthentifzierung werden in Intrexx Benutzername und Password eines SharePoint-Users abgefragt und als Header im HTTP-Request an SharePoint gesendet. Dies ist die einfachste Art der Anmeldung und sollte nur in Verbindung mit HTTPS eingesetzt werden, da ansonsten die Credentials unverschlüsselt übertragen werden.

2. Formularbasierte Authentifizierung

Hier kann die Anmeldung über einen Active-Directory-Federation-Services-SAML-Provider eingerichtet werden. Bei der formularbasierten Authentifizierung können sich Benutzer über ein SharePoint-Login-Formular anmelden. Bei dieser Option wird dem Benutzer in Intrexx beim ersten Zugriff auf SharePoint-Daten ein Anmeldeformular angezeigt. Intrexx führt dann im Hintergrund die Authentifizierung über einen SharePoint-Webservice (oder /_vti_bin/authenticate.asmx) durch.

3. OAuth2 Authentifizierung (ADFS/Azure AD)

Alle Informationen zu diesem Thema finden Sie hier.

4. Vertrauenswürdiger Identitätsanbieter

Hier kann eine Authentifizierung über einen SAML-konformen Identitätsanbieter durchgeführt werden. Derzeit unterstützt Intrexx nur Microsoft-Active-Directory-Federation-Services (ADFS) als Identitätsanbieter. Für die Authentifizierung über ADFS gelten folgende Voraussetzungen:

4.1. Active Directory Federation Services URL

Hier wird die URL für die Login-Seite des ADFS-Servers hinterlegt, wie sie vom SharePoint-Server per Redirect an den Client-Browser gesendet wird. Hier sehen Sie ein Beispiel: https://logon.spdev.net/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asp2013adfs&wctx=http%3a%2f%2fsp2013adfs.spdev.net%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F. Die URL beinhaltet die drei wesentlichen Parameter wa, wtrealm, und wctx. Die erforderlichen Werte für diese Parameter entnehmen Sie bitte ihrer SharePoint-ADFS-Konfiguration. Beachten Sie, dass die URL-Zeichenkette bereits URL-konform encodiert ist. Intrexx sendet die Benutzer-Anmeldedaten an diese URL und erhält bei erfolgreicher Anmeldung eine Umleitung auf den SharePoint-Server, um die Authentifizierung und Autorisierung abzuschließen. Bei Basis-Authentifizierung werden Benutzername und Kennwort direkt an ADFS gesendet, bei Kerberos zunächst ein Ticket für ADFS über den Intrexx-Kerberos-Provider-Service angefordert, das dann an ADFS gesendet wird. Für Kerberos wird daher noch zusätzlich der Service-Principal-Name des ADFS-Servers benötigt. Zudem muss die integrierte Windows-Authentifizierung aktiviert und bei dieser der Service-Principal-Name des Intrexx-Kerberos-Token-Services hinterlegt werden.

4.2. Benutzerzuordnung der Authentifizierungsmethoden

Wenn mehr als eine Authentifizierungsmethode aktiviert wird, wird die erste verfügbare Methode nach folgender Rangfolge bei der Anmeldung gewählt:
  1. Basis Authentifizierung
  2. Integrierte Windows-Authentifizierung
  3. Formularbasierte Authentifizierung
  4. ADFS Authentifizierung
Grundsätzlich muss für Zugriffe für die Applikations-Erstellung die Basisauthentifizierung und/oder die formularbasierte Authentifizierung aktiviert sein. Damit nun auf Benutzer-/Gruppenebene gesteuert werden kann, welche Intrexx-Benutzer sich über welche SharePoint-Methode anmelden, kann die zu verwendete Methode in einem benutzerspezifischen Schema-Attribut hinterlegt werden. Legen Sie dazu im Schemamanager für Benutzer und/oder Gruppen ein neues Attribut (Typ String) mit einer Länge von 50 Zeichen an. Der Name ist beliebig wählbar. Nun kann die SharePoint-Authentifizierungsmethode für einen Benutzer oder eine Benutzergruppe in dieses Attribut eingetragen werden. Die Liste unten zeigt die einzutragenden Namen pro Methode auf:

Name Method
HTTP_BASIC Windows Basisauthentifizierung
KERBEROS_INTREXX Integrierte Windows-Authentifizierung
SHAREPOINT_FORMS_BASED Formularbasierte Authentifizierung
SHAREPOINT_FEDAUTH_SAML Vertrauenswürdiger Identitätsanbieter

Achten Sie auf die exakte Schreibweise beim Eintragen des Namens. Zur Laufzeit ermittelt Intrexx beim ersten Zugriff auf SharePoint-Datengruppen die zu verwendete Methode aus dem Benutzerattribut. Ist dieses nicht vorhanden oder nicht belegt, wird in den Gruppen des Benutzers nach dem Attribut gesucht. Ist es auch dort nicht definiert, wird nach der oben beschriebenen Rangfolge verfahren. Nun muss dem Connector noch mitgeteilt werden, wie das Benutzer- oder Gruppenattribut heißt.