JavaScript is disabled on your browser.

Microsoft SharePoint Business Adapter - Authentifizierung

Wählen Sie im Bereich Authentifizierung die vom SharePoint-Server unterstützten Methoden aus: Windows-Authentifizierung für Basis- und Kerberos-Authentifizierung, Formularbasierte Authentifizierung oder Vertrauenswürdiger Identitätsanbieter für die Anmeldung über einen Active Directory Federation Services SAML Provider.

Windows Basisauthentifizierung

Bei der Basisauthentifzierung werden in Intrexx Benutzername und Password eines SharePoint-Users abgefragt und als Header im HTTP-Request an SharePoint gesendet. Dies ist die einfachste Art der Anmeldung und sollte nur in Verbindung mit HTTPS eingesetzt werden, da ansonsten die Credentials unverschlüsselt übertragen werden.

Windows Integrierte Authentifizierung

Mit dieser Optionen steht die Windows Integrierte Authentifizierung für ein Single Sign On zur Verfügung. Die Kerberos-Authentifizierung bietet Single Sign On für den Zugriff der Intrexx Benutzer auf den SharePoint-Service anhand von Kerberos Tickets.

Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:
  1. Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden. Diese stellen Sie über das Modul Benutzer im Menü Konfiguration her.
  2. Die Benutzer aus Ihrem Active Directory müssen entsprechend in Intrexx angelegt sein. Einen Import können Sie komfortabel über das Modul Benutzer im Menü Benutzer/ Benutzer und Gruppenimport herstellen. Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Gruppe Administratoren enthalten ist, um das System weiterhin administrieren zu können.
  3. Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie Delegierung.
  4. Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
  5. Im Browser der Benutzer muss die SPNEGO Authentifizierung aktiviert sein. So muss z.B. im Internet Explorer in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein. Außerdem muss in den erweiterten Einstellungen das Häkchen bei Integrierte Windows-Authentifizierung aktivieren gesetzt sein.

    Für Google Chrome müssen die Hostnames der Intrexx- und SharePoint-Server in der Registry in eine White List eingetragen werden. Weitere Informationen dazu finden Sie hier:

    https://dev.chromium.org/administrators/policy-list-3#AuthNegotiateDelegateWhitelist

    Bei Firefox ist es notwendig, die Server in der Firefox Konfiguration (about:config) in die White Lists unter den Schlüsseln

    network.negotiate-auth.trusted-uris

    und

    network.negotiate-auth.delegation-uris

    einzutragen.
  6. Für die Kerberos Ticket-Bereitstellung muss der Intrexx Kerberos Token Provider Service im Internet Information Server, über den mit Intrexx kommuniziert wird, installiert werden. Weitere Informationen zu diesem Thema finden Sie hier.
Kann ein Benutzer nicht authentifiziert werden, kann automatisch die Basisauthentifizierung aktiviert werden.

Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket wird für den Internet Information Server des Intrexx Portalservers benötigt.

Der SPN ist in der Regel wie folgt aufgebaut:

http/< Rechner-DNS-Name>@<KERBEROS_REALM>

Rechner-DNS-Name: Voll qualifizierter Host-Name (z.B. meinrechner.meinefirma.de)
KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B. MEINEFIRMA.DE)

Der SPN mit den Beipieldaten würde demnach wie folgt lauten:
http/meinrechner.meinefirma.de@MEINEFIRMA.DE

Formularbasierte Authentifizierung

Bei der Formularbasierten Authentifizierung können sich Benutzer über ein SharePoint-Login-Formular anmelden. Bei dieser Option wird dem Benutzer in Intrexx beim ersten Zugriff auf SharePoint-Daten ein Anmeldeformular angezeigt. Intrexx führt dann im Hintergrund die Authentifizierung über einen SharePoint Web Service (/_vti_bin/authenticate.asmx) durch.

Authentifizierung mit Active Directory Federation Services

Über die Option Vertrauenswürdiger Identitätsanbieter kann eine Authentifizierung über einen SAML-konformen Identitätsanbieter durchgeführt werden. Derzeit unterstützt Intrexx nur Microsoft Active Directory Federation Services (ADFS) als Identitätsanbieter.

Für die Authentifizierung über ADFS gelten folgende Voraussetzungen:
Im Feld Active Directory Federation Services URL wird die URL für die Login Seite des ADFS Servers hinterlegt, wie sie vom SharePoint-Server per Redirect an den Client Browser gesendet wird. Diese könnte zum Beispiel so aussehen:

https://logon.spdev.net/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asp2013adfs&wctx=http%3a%2f%2fsp2013adfs.spdev.net%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F

Die URL beinhaltet die drei wesentlichen Parameter wa, wtrealm, und wctx. Die erforderlichen Werte für diese Parameter entnehmen Sie bitte ihren SharePoint-ADFS-Konfiguration. Beachten Sie, dass die URL-Zeichenkette bereits URL-konform encodiert ist.

Intrexx sendet die Benutzer-Anmeldedaten an diese URL und erhält bei erfolgreicher Anmeldung eine Umleitung auf den SharePoint-Server, um die Authentifizierung und Autorisierung abzuschließen. Bei Basis-Authentifizierung werden Benutzername und Kennwort direkt an ADFS gesendet, bei Kerberos zunächst ein Ticket für ADFS über den Intrexx Kerberos Provider Service angefordert, das dann an ADFS gesendet wird. Für Kerberos wird daher noch zusätzlich der Service Principal Name des ADFS Servers benötigt. Zudem muss Windows Integrierte Authentifizierung aktiviert werden und bei dieser den SPN des Intrexx Kerberos Token Services hinterlegt werden.

Benutzerzuordnung der Authentifizierungsmethoden

Wenn mehr als eine Authentifizierungsmethode aktiviert wird, wird die erste verfügbare Methode nach folgender Rangfolge bei der Anmeldung gewählt:
  1. Basis Authentifizierung
  2. Windows Integrierte Authentifizierung
  3. Formularbasierte Authentifizierung
  4. ADFS Authentifizierung
Grundsätzlich muss für Zugriffe für die Anwendungserstellung über den Portal Manager die Basisauthentifizierung und/oder die Formularbasierte Authentifizierung aktiviert sein.

Damit nun auf Benutzer-/Gruppenebene gesteuert werden kann, welche Intrexx Benutzer sich über welche SharePoint-Methode anmelden, kann die zu verwendete Methode in einem benutzerspezifischen Schema-Attribut im Intrexx Benutzer Schemamanager hinterlegt werden. Legen Sie dazu im Schemamanager für Benutzer und/oder Gruppen ein neues Attribut vom Typ String und Länge 50 an. Der Name ist beliebig wählbar. Nun kann für einen Benutzer oder eine Benutzergruppe die SharePoint-Authentifizierungsmethode in dieses Attribut eingetragen werden.

Die Liste unten zeigt die einzutragenden Namen pro Methode auf:

Name Method
HTTP_BASIC Windows Basisauthentifizierung
KERBEROS_INTREXX Windows Integrierte Authentifizierung
SHAREPOINT_FORMS_BASED Formularbasierte Authentifizierung
SHAREPOINT_FEDAUTH_SAML Vertrauenswürdiger Identitätsanbieter

Achten Sie auf die exakte Schreibweise beim Eintragen des Namens. Zur Laufzeit ermittelt Intrexx beim ersten Zugriff auf SharePoint-Datengruppen die zu verwendete Methode aus dem Benutzerattribut. Ist dieses nicht vorhanden oder nicht belegt, wird in den Gruppen des Benutzers nach dem Attribut gesucht. Ist es auch dort nicht definiert, wird nach der oben beschriebenen Rangfolge verfahren. Nun muss dem Adapter noch mitgeteilt werden, wie das Benutzer- oder Gruppenattribut heißt.