Exchange - Authentifizierung
Authentifizierungsart Benutzername - Passwort
Mit der Option
Benutzername - Passwort werden Benutzername und Passwort, wie sie für die Anmeldung an Windows verwendet werden, in Intrexx für die Anmeldung an Exchange abgefragt. Die Anmeldedaten können entweder session-basiert abgefragt werden und müssen dann von den Benutzern bei jeder Anmeldung im Portal erneut angegeben werden oder Sie können die Daten verschlüsselt auf dem MediaGateway ablegen, um eine erneute Anmeldung zu vermeiden. In diesem Fall wird eine Verbindung zwischen dem angemeldeten Intrexx Benutzer mit den hinterlegten Anmeldeinformationen für den Exchange Server von Intrexx hergestellt.
Authentifizierungsart Kerberos
Kerberos ermittelt anhand des aktuellen Windows-Users die Anmeldeinformationen und meldet automatisch an. Die weiterhin erforderlichen Angaben für
Mailbox und
Domäne
werden in den
Zugangsdaten für den Exchange-Server festgelegt.
Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:
- Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden. Diese stellen Sie über das Modul Benutzer im Menü Konfiguration her.
- Die Benutzer aus Ihrem Active Directory müssen entsprechend in Intrexx angelegt sein. Einen Import können Sie komfortabel über das Modul Benutzer im Menü Benutzer /
Benutzer und Gruppenimport herstellen. Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Gruppe Administratoren enthalten ist, um das System weiterhin administrieren zu können.
- Der Server, auf dem das MediaGateway installiert ist, benötigt die Gruppenrichtlinie Delegierung.
- Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
- Der Exchange Server darf keine form-based Authentication für Outlook-Web-Access / Exchange verwenden. Weitere Informationen erhalten Sie unter http://docs.intrexx.com/intrexx/version/8000/api/microsoft/owa-security.redirect
- Im Internet Explorer muss in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein. Außerdem muss in den erweiterten Einstellungen das Häkchen bei Integrierte Windows-Authentifizierung aktivieren gesetzt sein.
- Bei der Kerberos-Authentifizierung haben Sie ein echtes Single-Sign on für den Zugriff Ihrer Benutzer auf den Exchange Server und verwenden die integrierte Windows-Authentifizierung.
Kann ein Benutzer nicht authentifiziert werden, wird automatisch die session-basierte Anmeldung aktiviert.
Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket
wird für den
MediaGateway-Server benötigt. Der Dialog schlägt Ihnen einen SPN bereits vor, der jedoch in der Praxis abhängig von Ihrer Systemumgebung eventuell angepasst werden muss.
Der SPN ist in der Regel wie folgt aufgebaut:
host/<Rechner-DNS-Name>@<KERBEROS_REALM>
Rechner-DNS-Name: Voll qualifizierter Host-Name (z.B.
meinrechner.meinefirma.de)
KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B.
MEINEFIRMA.DE)
Der SPN mit den Beipieldaten würde demnach wie folgt lauten:
host/meinrechner.meinefirma.de@MEINEFIRMA.DE
Zugangsdaten für den Exchange-Server
Die Anmeldung eines Intrexx Benutzers am Exchange-Server erfolgt über eine Loginbox, die beim Aufruf einer Intrexx Exchange-Applikation im Portal eingeblendet wird.
|
Die Kerberos-Authentifizierung funktioniert nur, wenn der aufrufende Client in der Server-URL, die in der Loginbox eingetragen ist, den voll qualifizierten Namen und nicht die IP des Exchange-Servers verwendet, also z.B.
https://exchangeserver.example.org/exchange
statt
https://12.34.56.78/exchange.
Der Aufruf eines Portal von Client-Rechnern aus muss abhängig von der Konfiguration Ihres DNS-Servers mit einem der folgenden URLs erfolgen:
http://12.34.56.78/meinPortal
http://intrexxserver.example.org/meinPortal
http://intrexxserver/meinPortal
Bitte informieren Sie sich zu diesem Thema bei Ihrem Systemadministrator.
|
In der Konfiguration der Zugangsdaten für den Exchange-Server können Sie festgelegen, ob bestimmte Daten in der Loginbox bereits automatisch eingetragen werden, wie z.B. die Domäne, oder ob Daten der Benutzerverwaltung entnommen werden, wie z.B. der Benutzername oder welche Daten vom Anwender in der Loginbox in Intrexx Exchange-Applikationen manuell eingetragen werden müssen.
Ein Klick auf
Exchange-Benutzername öffnet einen Dialog, in dem festgelegt werden kann, aus welcher Quelle der Benutzername für die Anmeldung am Exchange-Server bezogen werden soll.
Ist die Einstellung
Anmeldedaten im Web sitzungsbasiert nicht gesetzt, werden alle Anmeldeinformationen aus der Loginbox als Benutzerkonto im MediaGateway gespeichert, sobald sich der Benutzer der Intrexx Exchange-Anwendung das erste Mal anmeldet. War diese Anmeldung erfolgreich, werden die entsprechenden Account-Informationen RSA-verschlüsselt im MediaGateway abgelegt. Beim nächsten Besuch des Intrexx Portals entfällt die
Anmeldung, solange die Verbindung zum Exchange Server aufgebaut werden kann.
Anschließend wird die Loginbox nur dann erneut eingeblendet, wenn Änderungen an den Zugangsdaten des Benutzers bestehen, also sich z.B. der Wert eines relevanten Feldes in der Benutzerverwaltung geändert hat.
Ist die Einstellung
Anmeldedaten im Web sitzungsbasiert gesetzt, werden die Informationen pro Sitzung abgefragt und kein Benutzerkonto im MediaGateway angelegt. Die Loginbox wird demzufolge immer
eingeblendet, wenn ein Intrexx Anwender das erste Mal eine Exchange-Applikation im Portal öffnet.
|
Ein Benutzer des Intrexx Portals kann ausschließlich auf die Informationen des Exchange-Servers zugreifen, an denen er über entsprechende Berechtigungen vom Exchange-Server aus verfügt. |
Sind bereits MediaGateway Konten angelegt, weil sich Benutzer angemeldet haben, so ist im unteren Bereich des Dialogs der Link
Übersicht bekannter Benutzer aktiv. Ein Klick auf diesen Link
öffnet einen Dialog, in dem Sie eine Liste der Benutzer im MediaGateway finden.