Connector für Microsoft SharePoint - Authentifizierung

Modul Integration Connector für Microsoft SharePoint / Neue Datenquelle / Weiter bis SharePoint-Authentifizierung

Windows-Authentifizierung

Aktivieren Sie diese Einstellung für die Basis- und Kerberos-Authentifizierung.

Integrierte Windows-Authentifizierung

Mit dieser Optionen steht die Windows-Integrierte-Authentifizierung für ein Single-Sign-On zur Verfügung. Die Kerberos-Authentifizierung bietet Single-Sign-On für den Zugriff der Intrexx-Benutzer auf den SharePoint-Service anhand von Kerberos-Tickets. Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:
  1. Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden. Diese stellen Sie über das Modul Benutzer im Menü Konfiguration her.
  2. Die Benutzer aus Ihrem Active-Directory müssen entsprechend in Intrexx angelegt sein. Einen Import können Sie im Modul Benutzer über das Menü Benutzer/ Benutzer und Gruppenimport ausführen. Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Gruppe Administratoren enthalten ist, um das System weiterhin administrieren zu können.
  3. Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie Delegierung.
  4. Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
  5. Im Browser der Benutzer muss die SPNEGO Authentifizierung aktiviert sein. So muss z.B. im Internet Explorer in den Sicherheitseinstellungen der verwendeten Zone bei Benutzerauthentifizierung Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort eingestellt sein. Außerdem muss in den erweiterten Einstellungen das Häkchen bei Integrierte Windows-Authentifizierung gesetzt sein. Für Google Chrome müssen die Hostnames der Intrexx- und SharePoint-Server in der Registry in eine White List eingetragen werden. Weitere Informationen dazu finden Sie hier: https://dev.chromium.org/administrators/policy-list-3#AuthNegotiateDelegateWhitelist. Bei Firefox ist es notwendig, die Server in der Firefox Konfiguration (about:config) in die White-Lists unter den Schlüsseln
    network.negotiate-auth.trusted-uris
    		
    und
    network.negotiate-auth.delegation-uris
    		
    einzutragen.
  6. Für die Kerberos Ticket-Bereitstellung muss der Intrexx-Kerberos-Token-Provider-Service im Internet-Information-Server, über den mit Intrexx kommuniziert wird, installiert werden. Weitere Informationen zu diesem Thema finden Sie hier.
Kann ein Benutzer nicht authentifiziert werden, kann automatisch die Basisauthentifizierung aktiviert werden.

Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket wird für den Internet-Information-Server des Intrexx-Portalservers benötigt.

Der SPN ist in der Regel wie folgt aufgebaut:

http/< Rechner-DNS-Name>@<KERBEROS_REALM>

Rechner-DNS-Name: Voll qualifizierter Host-Name (z.B. meinrechner.meinefirma.de)
KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B. MEINEFIRMA.DE)

Der SPN mit den Beipieldaten würde demnach wie folgt lauten:
http/meinrechner.meinefirma.de@MEINEFIRMA.DE

Basisauthentifizierung

Bei der Basisauthentifzierung werden in Intrexx Benutzername und Password eines SharePoint-Users abgefragt und als Header im HTTP-Request an SharePoint gesendet. Dies ist die einfachste Art der Anmeldung und sollte nur in Verbindung mit HTTPS eingesetzt werden, da ansonsten die Credentials unverschlüsselt übertragen werden.

Formularbasierte Authentifizierung

Hier kann die Anmeldung über einen Active-Directory-Federation-Services-SAML-Provider eingerichtet werden. Bei der formularbasierten Authentifizierung können sich Benutzer über ein SharePoint-Login-Formular anmelden. Bei dieser Option wird dem Benutzer in Intrexx beim ersten Zugriff auf SharePoint-Daten ein Anmeldeformular angezeigt. Intrexx führt dann im Hintergrund die Authentifizierung über einen SharePoint-Webservice (oder /_vti_bin/authenticate.asmx) durch.

OAuth2 Authentifizierung (ADFS/Azure AD)

Alle Informationen zu diesem Thema finden Sie hier.

Vertrauenswürdiger Identitätsanbieter

Hier kann eine Authentifizierung über einen SAML-konformen Identitätsanbieter durchgeführt werden. Derzeit unterstützt Intrexx nur Microsoft-Active-Directory-Federation-Services (ADFS) als Identitätsanbieter. Für die Authentifizierung über ADFS gelten folgende Voraussetzungen:

Active Directory Federation Services URL

Hier wird die URL für die Login-Seite des ADFS-Servers hinterlegt, wie sie vom SharePoint-Server per Redirect an den Client-Browser gesendet wird. Diese könnte zum Beispiel so aussehen:

https://logon.spdev.net/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asp2013adfs&wctx=http%3a%2f%2fsp2013adfs.spdev.net%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F

Die URL beinhaltet die drei wesentlichen Parameter wa, wtrealm, und wctx. Die erforderlichen Werte für diese Parameter entnehmen Sie bitte ihrer SharePoint-ADFS-Konfiguration. Beachten Sie, dass die URL-Zeichenkette bereits URL-konform encodiert ist.

Intrexx sendet die Benutzer-Anmeldedaten an diese URL und erhält bei erfolgreicher Anmeldung eine Umleitung auf den SharePoint-Server, um die Authentifizierung und Autorisierung abzuschließen. Bei Basis-Authentifizierung werden Benutzername und Kennwort direkt an ADFS gesendet, bei Kerberos zunächst ein Ticket für ADFS über den Intrexx-Kerberos-Provider-Service angefordert, das dann an ADFS gesendet wird. Für Kerberos wird daher noch zusätzlich der Service-Principal-Name des ADFS-Servers benötigt. Zudem muss die integrierte Windows-Authentifizierung aktiviert und bei dieser der Service-Principal-Name des Intrexx-Kerberos-Token-Services hinterlegt werden.

Benutzerzuordnung der Authentifizierungsmethoden

Wenn mehr als eine Authentifizierungsmethode aktiviert wird, wird die erste verfügbare Methode nach folgender Rangfolge bei der Anmeldung gewählt:
  1. Basis Authentifizierung
  2. Windows Integrierte Authentifizierung
  3. Formularbasierte Authentifizierung
  4. ADFS Authentifizierung
Grundsätzlich muss für Zugriffe für die Anwendungserstellung über den Portal Manager die Basisauthentifizierung und/oder die formularbasierte Authentifizierung aktiviert sein. Damit nun auf Benutzer-/Gruppenebene gesteuert werden kann, welche Intrexx-Benutzer sich über welche SharePoint-Methode anmelden, kann die zu verwendete Methode in einem benutzerspezifischen Schema-Attribut im Schemamanager hinterlegt werden. Legen Sie dazu im Schemamanager für Benutzer und/oder Gruppen ein neues Attribut vom Typ String mit einer Länge von 50 Zeichen an. Der Name ist beliebig wählbar. Nun kann für einen Benutzer oder eine Benutzergruppe die SharePoint-Authentifizierungsmethode in dieses Attribut eingetragen werden. Die Liste unten zeigt die einzutragenden Namen pro Methode auf:

Name Method
HTTP_BASIC Windows Basisauthentifizierung
KERBEROS_INTREXX Integrierte Windows-Authentifizierung
SHAREPOINT_FORMS_BASED Formularbasierte Authentifizierung
SHAREPOINT_FEDAUTH_SAML Vertrauenswürdiger Identitätsanbieter

Achten Sie auf die exakte Schreibweise beim Eintragen des Namens. Zur Laufzeit ermittelt Intrexx beim ersten Zugriff auf SharePoint-Datengruppen die zu verwendete Methode aus dem Benutzerattribut. Ist dieses nicht vorhanden oder nicht belegt, wird in den Gruppen des Benutzers nach dem Attribut gesucht. Ist es auch dort nicht definiert, wird nach der oben beschriebenen Rangfolge verfahren. Nun muss dem Connector noch mitgeteilt werden, wie das Benutzer- oder Gruppenattribut heißt.