Connector für Microsoft SharePoint - Authentifizierung
Modul Integration
Connector für Microsoft SharePoint / Neue Datenquelle / Weiter bis SharePoint-Authentifizierung
Windows-Authentifizierung
Aktivieren Sie diese Einstellung für die Basis- und Kerberos-Authentifizierung.
Integrierte Windows-Authentifizierung
Mit dieser Optionen steht die Windows-Integrierte-Authentifizierung für ein Single-Sign-On zur Verfügung.
Die Kerberos-Authentifizierung bietet Single-Sign-On für den Zugriff der Intrexx-Benutzer auf den
SharePoint-Service anhand von Kerberos-Tickets. Bitte beachten Sie folgende Grundvoraussetzungen für eine
erfolgreiche Authentifizierung mit Kerberos:
-
Das Intrexx Portal muss mit integrierter Authentifizierung betrieben werden.
Diese stellen Sie über das Modul Benutzer im Menü
Konfiguration her.
-
Die Benutzer aus Ihrem Active-Directory müssen entsprechend in Intrexx angelegt sein.
Einen Import können Sie im Modul Benutzer über das Menü
Benutzer/ Benutzer und Gruppenimport ausführen.
Bitte stellen Sie sicher, dass mindestens ein Benutzer in der Gruppe
Administratoren enthalten ist, um das System weiterhin
administrieren zu können.
-
Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie
Delegierung.
-
Alle Clients und Server müssen Mitglieder der gleichen Domäne sein.
-
Im Browser der Benutzer muss die SPNEGO Authentifizierung aktiviert sein.
So muss z.B. im Internet Explorer in den Sicherheitseinstellungen der verwendeten
Zone bei Benutzerauthentifizierung Automatische Anmeldung
mit aktuellem Benutzernamen und Kennwort
eingestellt sein. Außerdem muss in den erweiterten Einstellungen das Häkchen bei
Integrierte Windows-Authentifizierung gesetzt sein.
Für Google Chrome müssen die Hostnames der Intrexx- und SharePoint-Server in der
Registry in eine White List eingetragen werden. Weitere Informationen dazu finden Sie hier:
https://dev.chromium.org/administrators/policy-list-3#AuthNegotiateDelegateWhitelist.
Bei Firefox ist es notwendig, die Server in der Firefox Konfiguration (about:config)
in die White-Lists unter den Schlüsseln
network.negotiate-auth.trusted-uris
und
network.negotiate-auth.delegation-uris
einzutragen.
-
Für die Kerberos Ticket-Bereitstellung muss der Intrexx-Kerberos-Token-Provider-Service
im Internet-Information-Server, über den mit Intrexx kommuniziert wird, installiert werden.
Weitere Informationen zu diesem Thema finden Sie
hier.
Kann ein Benutzer nicht authentifiziert werden, kann automatisch die
Basisauthentifizierung aktiviert werden.
Für die erfolgreiche Authentifizierung ist die Angabe eines sogenannten
Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst,
für den ein Kerberos Ticket erzeugt werden soll. Dieses Ticket wird für den
Internet-Information-Server des Intrexx-Portalservers benötigt.
Der SPN ist in der Regel wie folgt aufgebaut:
http/< Rechner-DNS-Name>@<KERBEROS_REALM>
Rechner-DNS-Name: Voll qualifizierter Host-Name (z.B.
meinrechner.meinefirma.de)
KERBEROS_REALM: In der Regel die Domäne in Großbuchstaben. (z.B.
MEINEFIRMA.DE)
Der SPN mit den Beipieldaten würde demnach wie folgt lauten:
http/meinrechner.meinefirma.de@MEINEFIRMA.DE
Basisauthentifizierung
Bei der Basisauthentifzierung werden in Intrexx Benutzername und Password eines SharePoint-Users
abgefragt und als Header im HTTP-Request an SharePoint gesendet. Dies ist die einfachste Art
der Anmeldung und sollte nur in Verbindung mit HTTPS eingesetzt werden, da ansonsten die
Credentials unverschlüsselt übertragen werden.
Formularbasierte Authentifizierung
Hier kann die Anmeldung über einen Active-Directory-Federation-Services-SAML-Provider
eingerichtet werden. Bei der formularbasierten Authentifizierung können sich Benutzer über ein
SharePoint-Login-Formular anmelden. Bei dieser Option wird dem Benutzer in
Intrexx beim ersten Zugriff auf SharePoint-Daten ein Anmeldeformular angezeigt.
Intrexx führt dann im Hintergrund die Authentifizierung über einen SharePoint-Webservice
(oder
/_vti_bin/authenticate.asmx) durch.
OAuth2 Authentifizierung (ADFS/Azure AD)
Alle Informationen zu diesem Thema finden Sie
hier.
Vertrauenswürdiger Identitätsanbieter
Hier kann eine Authentifizierung über einen SAML-konformen Identitätsanbieter durchgeführt werden.
Derzeit unterstützt Intrexx nur Microsoft-Active-Directory-Federation-Services (ADFS) als
Identitätsanbieter. Für die Authentifizierung über ADFS gelten folgende Voraussetzungen:
-
Der ADFS-Server muss installiert und in SharePoint konfiguriert sein.
-
Der ADFS-Server muss die Basis- und/oder integrierte Windows-Authentifizierung unterstützen.
-
Für die integrierte Windows-Authentifizierung mit ADFS muss der
Intrexx-Kerberos-Token-Service installiert und konfiguriert sein. Weitere Informationen zu diesem
Thema finden Sie hier.
Active Directory Federation Services URL
Hier wird die URL für die Login-Seite des ADFS-Servers hinterlegt, wie sie vom
SharePoint-Server per Redirect an den Client-Browser gesendet wird. Diese
könnte zum Beispiel so aussehen:
https://logon.spdev.net/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=urn%3asharepoint%3asp2013adfs&wctx=http%3a%2f%2fsp2013adfs.spdev.net%2f_layouts%2f15%2fAuthenticate.aspx%3fSource%3d%252F
Die URL beinhaltet die drei wesentlichen Parameter
wa, wtrealm, und
wctx. Die erforderlichen Werte für diese Parameter entnehmen Sie
bitte ihrer SharePoint-ADFS-Konfiguration. Beachten Sie, dass die URL-Zeichenkette bereits
URL-konform encodiert ist.
Intrexx sendet die Benutzer-Anmeldedaten an diese URL und erhält bei erfolgreicher Anmeldung
eine Umleitung auf den SharePoint-Server, um die Authentifizierung und Autorisierung abzuschließen.
Bei Basis-Authentifizierung werden Benutzername und Kennwort direkt an ADFS gesendet,
bei Kerberos zunächst ein Ticket für ADFS über den Intrexx-Kerberos-Provider-Service angefordert,
das dann an ADFS gesendet wird. Für Kerberos wird daher noch zusätzlich der
Service-Principal-Name des ADFS-Servers benötigt. Zudem muss die integrierte Windows-Authentifizierung aktiviert
und bei dieser der Service-Principal-Name des Intrexx-Kerberos-Token-Services hinterlegt werden.
Benutzerzuordnung der Authentifizierungsmethoden
Wenn mehr als eine Authentifizierungsmethode aktiviert wird, wird die erste
verfügbare Methode nach folgender Rangfolge bei der Anmeldung gewählt:
- Basis Authentifizierung
- Windows Integrierte Authentifizierung
- Formularbasierte Authentifizierung
- ADFS Authentifizierung
Grundsätzlich muss für Zugriffe für die Anwendungserstellung über den Portal Manager
die Basisauthentifizierung und/oder die formularbasierte Authentifizierung aktiviert sein.
Damit nun auf Benutzer-/Gruppenebene gesteuert werden kann, welche Intrexx-Benutzer sich
über welche SharePoint-Methode anmelden, kann die zu verwendete Methode in einem
benutzerspezifischen Schema-Attribut im
Schemamanager hinterlegt werden.
Legen Sie dazu im Schemamanager für Benutzer und/oder Gruppen ein neues Attribut vom Typ
String mit einer Länge von
50 Zeichen an.
Der Name ist beliebig wählbar. Nun kann für einen Benutzer oder eine Benutzergruppe die
SharePoint-Authentifizierungsmethode in dieses Attribut eingetragen werden.
Die Liste unten zeigt die einzutragenden Namen pro Methode auf:
Name |
Method |
HTTP_BASIC |
Windows Basisauthentifizierung |
KERBEROS_INTREXX |
Integrierte Windows-Authentifizierung |
SHAREPOINT_FORMS_BASED |
Formularbasierte Authentifizierung |
SHAREPOINT_FEDAUTH_SAML |
Vertrauenswürdiger Identitätsanbieter |
Achten Sie auf die exakte Schreibweise beim Eintragen des Namens. Zur Laufzeit ermittelt Intrexx beim
ersten Zugriff auf SharePoint-Datengruppen die zu verwendete Methode aus dem Benutzerattribut.
Ist dieses nicht vorhanden oder nicht belegt, wird in den Gruppen des Benutzers nach dem Attribut
gesucht. Ist es auch dort nicht definiert, wird nach der oben beschriebenen Rangfolge verfahren.
Nun muss dem Connector noch mitgeteilt werden, wie das Benutzer- oder Gruppenattribut heißt.