1. Connector für OData / Connector für SAP Gateway
Name
Tragen Sie hier den Namen der Verbindung ein.
Beschreibung
Hier kann eine Beschreibung der Verbindung eingetragen werden.
Authentifizierung
1.1. Methode
1.1.1. Keine
Für den anonymen Zugriff.
1.1.2. Einfach
Mit dieser Methode (HTTP Basic) werden die Login-Informationen abgefragt. Der hier einzutragende Benutzer wird lediglich für den Zugriff
auf die Service-Metadaten im Portal Manager benötigt.
1.1.3. Intrexx
Diese Methode bietet sich für Dienste an, die über den
Intrexx-OData-Provider
bereitgestellt werden. Dabei werden Anmeldeinformationen verschlüsselt übertragen. Für den Zugriff auf die Metadaten tragen Sie
auch hier einen Intrexx-Benutzer mit Passwort ein.
1.1.4. Kerberos / Kerberos (HTTP Basic)
Mit diesen Methoden steht in Windows-Umgebungen die Windows-Integrierte-Authentifizierung für ein Single-Sign-On zur Verfügung.
Mit Kerberos (HTTP Basic) können sich auch Clients authentifizieren, die das Kerberos-Protokoll nicht unterstützen.
Bitte beachten Sie folgende Grundvoraussetzungen für eine erfolgreiche Authentifizierung mit Kerberos:
Die Benutzer aus Ihrem Active-Directory müssen entsprechend in das Portal
importiert sein.
Bitte stellen Sie sicher, dass mindestens ein Benutzer in der
Administratoren-Benutzergruppe enthalten ist, damit das System weiterhin administriert werden kann.
Der Server, auf dem Intrexx installiert ist, benötigt die Gruppenrichtlinie "Delegierung".
Alle Clients und Server müssen Mitglieder der gleichen Domäne sein. Im Internet Explorer muss in den Sicherheitseinstellungen
der verwendeten Zone bei Benutzerauthentifizierung "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort"
eingestellt sein. Außerdem muss in den erweiterten Einstellungen die Einstellung
"Integrierte Windows-Authentifizierung aktivieren" gesetzt sein.
Bei der Kerberos-Authentifizierung haben Sie ein echtes Single-Sign-On für den Zugriff Ihrer Benutzer auf den OData-Service
und verwenden die integrierte Windows-Authentifizierung. Kann ein Benutzer nicht authentifiziert werden, wird bei der zweiten
Option automatisch die Standard-Anmeldung aktiviert. Für die erfolgreiche Authentifizierung ist die Angabe eines
sogenannten Service-Principal-Name (SPN) notwendig. Der SPN enthält die Informationen über den Dienst, für den
ein Kerberos-Ticket erzeugt werden soll. Dieses Ticket wird für den Internet Information Server des Intrexx-Portalservers benötigt.
Der SPN ist in der Regel wie folgt aufgebaut: http/<Rechner-DNS-Name>@<KERBEROS_REALM>. Dabei entspricht
der Rechner-DNS-Name dem voll qualifizierten Host-Namen (z.B. meinrechner.meinefirma.de). Als KERBEROS_REALM wird in der Regel die Domäne in
Großbuchstaben (z.B. MEINEFIRMA.DE) angegeben. Der SPN mit den Beipieldaten würde demnach wie folgt lauten:
http/meinrechner.meinefirma.de@MEINEFIRMA.DE.
Mit dieser Methode kann ein Zertifikatsspeicher im PKCS12-Format hochgeladen werden. Jeder Anwender kann später im Browser seinen eigenen Zertifikatsspeicher
über ein Login-Formular hochladen. Für die Authentifizierung mit X.509-Zertifikation wird vorausgesetzt, dass das Root-Zertifikat der Authentifizierungsstelle,
die für die Ausstellung der Client-Zertifikate zuständig ist, zuvor in Intrexx importiert
wurde. Führen Sie nach dem Import einen Neustart des Portaldienstes durch.
1.1.7. OAuth2/OpenID Connect (ab Intrexx 8 mit Online-Update 05)
Diese Methode unterstützt Dienste, die eine OAuth2-Autorisierung des Benutzers benötigen. Sollte der Dienst ein Auto-Approval des Users unterstützen,
kann hier die Anmeldung eines Benutzers für die Metadaten hinterlegt werden. Ist dies nicht möglich, so muss das Metadaten-Dokument
zunächst manuell als lokale Datei gespeichert und im Portalverzeichnis internal/cfg/odata
mit dem Dateinamen <SERVICE_GUID>.edmx hinterlegt werden. Die eigentliche Konfiguration der OAuth2-Autorisierung muss
derzeit noch direkt in der XML-Konfigurationsdatei des OData-Konsumenten
im Portalverzeichnis internal/cfg/odata mit dem Dateinamen <SERVICE_GUID>.xml
vorgenommen werden. Relevant sind dabei die Properties:
<property name="authenticationType" value="OAUTH2"/> // Value muss OAUTH2 sein
<property name="oauth2.scope" value="<OAuth Scopes>"/>
<property name="oauth2.authenticationScheme" value="<Schema>"/>
<property name="oauth2.clientId" value="<Client ID>"/>
<property name="oauth2.grantType" value="<Grant Type>"/>
<property name="oauth2.clientAuthenticationScheme" value="<Client Schema>"/>
<property name="oauth2.userAuthorizationUri value="<Endpunkt für die Authentifizierung>"/>
<property name="oauth2.clientSecret"value="<Client Secret>"/>
<property name="oauth2.redirectUri" value="<Redirect URL>"/>
<property name="oauth2.accessTokenUri" value="<Endpunkt für die Anforderung eines Tokens>"/>
Im Folgenden werden Auszüge einiger Beispielkonfigurationen für oft genutzte OAuth2-Dienste
aufgeführt. Einige dieser Dienste können nicht als OData-Service verwendet werden.
Trotzdem kann die OAuth2-Authentifizierung für direkte HTTP-Zugrffe auf den Dienst
in Groovy-Skripts genutzt werden.
Alle Informationen zur formularbasierten Authentifizierung bei Microsoft SharePoint-Verbindungen finden Sie
hier.
1.1.9. SharePoint Fed Auth (SAML)
Alle Informationen zur formularbasierten Authentifizierung mit SAML-konformem Identitätsanbieter
bei Microsoft SharePoint-Verbindungen finden Sie
hier.
Verbindungstimeout
Timeout
Tragen Sie hier die Anzahl der Millisekunden, Sekunden, Minuten oder Stunden ein,
für die die Verbindung aufrecht erhalten werden soll.
Aktiv
Mit dieser Einstellung wird das hier vorgegebene Timout wirksam.
2. Connector für SharePoint
Name
Tragen Sie hier den Namen der neuen Verbindung ein.
Beschreibung
Hier können Sie eine kurze Beschreibung erfassen.
Authentifizierung
User / Passwort
Tragen Sie hier den Benutzernamen und das Passwort ein,
unter dem Sie auf SharePoint zugreifen wollen. Der hier eingetragene Benutzer
wird lediglich für den Zugriff auf die Service-Metadaten im Portal Manager benötigt.
OAuth2/OpenID Connect (ab Intrexx 8 mit Online-Update 05)
Die Methode OAuth2 unterstützt Dienste, die eine OAuth2-Autorisierung des Benutzers benötigen. Sollte der Dienst
ein Auto-Approval des Users unterstützen, kann hier die Anmeldung eines
Benutzers für die Metadaten hinterlegt werden. Ist dies nicht möglich,
so muss das Metadaten-Dokument zunächst manuell als lokale Datei
gespeichert und im Intrexx-OData-Konfigurationsverzeichnis des
Portals hinterlegt werden (Dateiname: <SERVICE_GUID>.edmx).
Die eigentliche Konfiguration der OAuth2-Autorisierung muss
derzeit noch direkt in der XML-Konfigurationsdatei des OData-Konsumenten
(Datei Portalverzeichnis/internal/cfg/odata/<SERVICEGUID>.xml)
vorgenommen werden. Relevant sind dabei die Properties:
<property name="authenticationType" value="OAUTH2"/> // Value muss OAUTH2 sein
<property name="oauth2.scope" value="<OAuth Scopes>"/>
<property name="oauth2.authenticationScheme" value="<Schema>"/>
<property name="oauth2.clientId" value="<Client ID>"/>
<property name="oauth2.grantType" value="<Grant Type>"/>
<property name="oauth2.clientAuthenticationScheme" value="<Client Schema>"/>
<property name="oauth2.userAuthorizationUri value="<Endpunkt für die Authentifizierung>"/>
<property name="oauth2.clientSecret"value="<Client Secret>"/>
<property name="oauth2.redirectUri" value="<Redirect URL>"/>
<property name="oauth2.accessTokenUri" value="<Endpunkt für die Anforderung eines Tokens>"/>
Im Folgenden werden Auszüge einiger Beispielkonfigurationen für oft genutzte OAuth2-Dienste
aufgeführt. Einige dieser Dienste können nicht als OData-Service verwendet werden.
Trotzdem kann die OAuth2-Authentifizierung für direkte HTTP-Zugrffe auf den Dienst
in Groovy-Skripts genutzt werden.