Aktivieren Sie diese Einstellung für die Basis- und Kerberos-Authentifizierung.
1.1. Integrierte Windows-Authentifizierung
Mit dieser Optionen steht die Windows-Integrierte-Authentifizierung für ein Single-Sign-On zur Verfügung.
Die Kerberos-Authentifizierung bietet Single-Sign-On für den Zugriff der Intrexx-Benutzer auf den
SharePoint-Service anhand von Kerberos-Tickets. Bitte beachten Sie folgende Grundvoraussetzungen für eine
erfolgreiche Authentifizierung mit Kerberos:
Die Benutzer aus Ihrem Active-Directory müssen entsprechend in Intrexx
importiert oder angelegt sein.
Bitte stellen Sie sicher, dass mindestens ein Benutzer
Mitglied in der Benutzergruppe Administratoren
ist, um das System weiterhin administrieren zu können.
Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie Delegierung.
Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
Im Browser der Benutzer muss die SPNEGO-Authentifizierung aktiviert sein.
So muss z.B. im Internet Explorer in den Sicherheitseinstellungen der verwendeten
Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein.
Außerdem muss in den erweiterten Einstellungen die Einstellung Integrierte Windows-Authentifizierung gesetzt sein.
Für Google Chrome müssen die Hostnames der Intrexx- und SharePoint-Server in der
Registry in eine White List eingetragen werden. Weitere Informationen dazu finden Sie
hier.
In Firefox müssen die Server in der Firefox-Konfiguration (about:config) in die White-Lists unter den Schlüsseln
network.negotiate-auth.trusted-uris
und
network.negotiate-auth.delegation-uris
eingetragen werden.
Für die Kerberos Ticket-Bereitstellung muss der
Intrexx-Kerberos-Token-Provider-Service
im Internet-Information-Server, über den mit Intrexx kommuniziert wird, installiert werden.
1.1.1. Intrexx Token Service - Service Prinzipal Name / SharePoint Service Prinzipal Name / Service Token URI
Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst,
für den ein Kerberos-Ticket erzeugt werden soll. Dieses Ticket wird für den Internet-Information-Server des Intrexx-Portalservers benötigt.
Der SPN ist in der Regel wie folgt aufgebaut: http//<Rechner-DNS-Name>@<KERBEROS_REALM>. Dabei muss
der Rechner-DNS-Name mit dem voll qualifizierten Host-Name (z.B. meinrechner.meinefirma.de) ersetzt werden.
Statt KERBEROS_REALM wird in der Regel die Domäne in Großbuchstaben eingesetzt (z.B. MEINEFIRMA.DE).
Der SPN mit den Beipieldaten würde demnach wie folgt lauten: http/meinrechner.meinefirma.de@MEINEFIRMA.DE.
1.2. Basisauthentifizierung
Kann ein Benutzer nicht authentifiziert werden, kann automatisch die Basisauthentifizierung aktiviert werden.
Bei der Basisauthentifzierung werden in Intrexx Benutzername und Password eines SharePoint-Users
abgefragt und als Header im HTTP-Request an SharePoint gesendet. Dies ist die einfachste Art
der Anmeldung und sollte nur in Verbindung mit HTTPS eingesetzt werden, da ansonsten die
Credentials unverschlüsselt übertragen werden.
2. Formularbasierte Authentifizierung
Hier kann die Anmeldung über einen Active-Directory-Federation-Services-SAML-Provider
eingerichtet werden. Bei der formularbasierten Authentifizierung können sich Benutzer über ein
SharePoint-Login-Formular anmelden. Bei dieser Option wird dem Benutzer in
Intrexx beim ersten Zugriff auf SharePoint-Daten ein Anmeldeformular angezeigt.
Intrexx führt dann im Hintergrund die Authentifizierung über einen SharePoint-Webservice
(oder /_vti_bin/authenticate.asmx) durch.
3. OAuth2 Authentifizierung (ADFS/Azure AD)
Alle Informationen zu diesem Thema finden Sie
hier.
4. Vertrauenswürdiger Identitätsanbieter
Hier kann eine Authentifizierung über einen SAML-konformen Identitätsanbieter durchgeführt werden.
Derzeit unterstützt Intrexx nur Microsoft-Active-Directory-Federation-Services (ADFS) als
Identitätsanbieter. Für die Authentifizierung über ADFS gelten folgende Voraussetzungen:
Der ADFS-Server muss installiert und in SharePoint konfiguriert sein.
Der ADFS-Server muss die Basis- und/oder integrierte Windows-Authentifizierung unterstützen.
Für die integrierte Windows-Authentifizierung mit ADFS muss der
Intrexx-Kerberos-Token-Service
installiert und konfiguriert sein.
4.1. Active Directory Federation Services URL
Hier wird die URL für die Login-Seite des ADFS-Servers hinterlegt, wie sie vom SharePoint-Server per Redirect an den
Client-Browser gesendet wird. Hier sehen Sie ein Beispiel:
https://logon.spdev.net/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asp2013adfs&wctx=http%3a%2f%2fsp2013adfs.spdev.net%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F.
Die URL beinhaltet die drei wesentlichen Parameter wa, wtrealm, und wctx. Die erforderlichen Werte für diese Parameter entnehmen Sie
bitte ihrer SharePoint-ADFS-Konfiguration. Beachten Sie, dass die URL-Zeichenkette bereits URL-konform encodiert ist.
Intrexx sendet die Benutzer-Anmeldedaten an diese URL und erhält bei erfolgreicher Anmeldung
eine Umleitung auf den SharePoint-Server, um die Authentifizierung und Autorisierung abzuschließen.
Bei Basis-Authentifizierung werden Benutzername und Kennwort direkt an ADFS gesendet,
bei Kerberos zunächst ein Ticket für ADFS über den Intrexx-Kerberos-Provider-Service angefordert,
das dann an ADFS gesendet wird. Für Kerberos wird daher noch zusätzlich der
Service-Principal-Name des ADFS-Servers benötigt. Zudem muss die integrierte Windows-Authentifizierung aktiviert
und bei dieser der Service-Principal-Name des Intrexx-Kerberos-Token-Services hinterlegt werden.
4.2. Benutzerzuordnung der Authentifizierungsmethoden
Wenn mehr als eine Authentifizierungsmethode aktiviert wird, wird die erste verfügbare Methode nach folgender Rangfolge bei der Anmeldung gewählt:
Grundsätzlich muss für Zugriffe für die Applikations-Erstellung
die Basisauthentifizierung und/oder die formularbasierte Authentifizierung aktiviert sein.
Damit nun auf Benutzer-/Gruppenebene gesteuert werden kann, welche Intrexx-Benutzer sich
über welche SharePoint-Methode anmelden, kann die zu verwendete Methode in einem
benutzerspezifischen Schema-Attribut hinterlegt werden. Legen Sie dazu im
Schemamanager für Benutzer und/oder
Gruppen ein neues Attribut (Typ String)
mit einer Länge von 50 Zeichen an. Der Name ist beliebig wählbar. Nun kann die SharePoint-Authentifizierungsmethode
für einen Benutzer oder eine Benutzergruppe in dieses Attribut eingetragen werden.
Die Liste unten zeigt die einzutragenden Namen pro Methode auf:
Name
Method
HTTP_BASIC
Windows Basisauthentifizierung
KERBEROS_INTREXX
Integrierte Windows-Authentifizierung
SHAREPOINT_FORMS_BASED
Formularbasierte Authentifizierung
SHAREPOINT_FEDAUTH_SAML
Vertrauenswürdiger Identitätsanbieter
Achten Sie auf die exakte Schreibweise beim Eintragen des Namens. Zur Laufzeit ermittelt Intrexx beim
ersten Zugriff auf SharePoint-Datengruppen die zu verwendete Methode aus dem Benutzerattribut.
Ist dieses nicht vorhanden oder nicht belegt, wird in den Gruppen des Benutzers nach dem Attribut
gesucht. Ist es auch dort nicht definiert, wird nach der oben beschriebenen Rangfolge verfahren.
Nun muss dem Connector noch mitgeteilt werden, wie das Benutzer- oder Gruppenattribut heißt.