Artikel-ID: 281119307

Windows SSO-Authentifizierung für GBS Workflow Manager

Schlagwörter:  Webanwendung  Bedienung  Workflow  Administration  Single Sign-On

Problembeschreibung

Die SSO-Authentifizierungs-Implementierung verwendet das Waffle-Framework (https://github.com/Waffle/waffle). Es funktioniert mit allen Browsern, die von dem GBS Workflow Manager unterstützt werden. Der Server muss jedoch auf einem Microsoft Windows-Betriebssystem laufen.

Ein Benutzer wird automatisch am GBS Workflow Manager angemeldet, wenn die Funktion aktiviert ist und sein Windows-Anmeldename in seinem Personendokument in der Workflow Manager-Domäne gespeichert ist. Wenn der Benutzer Mitglied mehrerer Domänen ist, wird immer die erste Workflow Manager-Domäne verwendet.

Lösung

Voraussetzungen für die Verwendung der SSO-Authentifizierungsfunktion: Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, um diese Funktion für die Workflow Manager-Benutzer bereitzustellen.

1. Stellen Sie sicher, dass der Windows Server in die verwendete Domäne integriert ist

Der Windows-Server, auf dem der Workflow Manager Server installiert ist, muss mit einem Active Directory (AD) verbunden und Teil einer AD-Domäne sein.

Die Benutzer, die die SSO-Authentifizierungsmethode verwenden sollen, müssen im AD aufgelistet werden, da dies von Waffle überprüft wird.

2. Aktivierung der Funktion in der Konfigurationsdatei

  • Um die Funktion zu aktivieren, fügen Sie der Konfigurationsdatei „System.properties“ im Ordner "... \ wildfly-15.0.1.final \ standalone \ GBSWorkflowManager \ configuration \" die folgende Zeile hinzu oder ändern Sie die Zeile entsprechend:

    authentication.type = windows
  • Starten Sie den Wildfly-Server neu, nachdem Sie diese Änderungen an der Konfigurationsdatei vorgenommen haben.

3. Verfügbarkeit des Windows-Anmeldenamens des Benutzers im Personendokument

Der Windows-Anmeldename jedes Benutzers muss im Personendokument des entsprechenden Benutzers in der Workflow Manager-Domäne verfügbar sein.

Im Falle einer Active Directory-Synchronisierung oder einer Azure Active Directory-Synchronisierung ist diese automatisch verfügbar, andernfalls muss ein neues Feld konfiguriert werden.

  • Fall 1: Mit Active Directory-Synchronisierung oder Azure AD-Synchronisierung

Der Windows-Anmeldename wird aus dem Standardfeld „Active Directory-Benutzername“ gelesen.

Wenn die Synchronisierung mit einem Active Directory oder einem Azure Active Directory erfolgt, wird während der Synchronisierung der Windows-Anmeldename jedes Benutzers automatisch gespeichert und im Personendokument in einem Feld mit dem Namen „Active Directory-Benutzername“ angezeigt. Der technische Name des Feldes lautet „activeDirName“.

  • Fall 2: Mit oder ohne Active Directory-Synchronisierung oder Azure AD-Synchronisierung

Der Windows-Anmeldename wird aus einem zusätzlichen Feld gelesen (erstellt durch eine zusätzliche Eigenschaft):

Fügen Sie der Datei System.properties die folgende Zeile hinzu:

authentication.loginNameField = winLoginName

Starten Sie den Wildfly-Server neu, nachdem Sie diese Änderungen an der Konfigurationsdatei vorgenommen haben. Nun gilt folgendes:

  • Das zusätzliche Feld mit dem Windows-Anmeldenamen wird im Personendokument angezeigt
  • In diesem Feld muss der Windows-Anmeldename manuell eingegeben werden
  • Der Inhalt dieses zusätzlichen Felds wird für die SSO-Windows-Authentifizierung der jeweiligen Person verwendet, unabhängig davon, ob eine Active Directory-Synchronisierung vorhanden ist oder nicht
  • Tipp: Der Windows-Anmeldename des aktuellen Benutzers kann über den Befehl "whoami" im Ordner des aktuellen Benutzers abgerufen werden, z. "C: \ Users \ arno.rautmann"

4. Konfiguration der Browser der Benutzer für Single Sign-On

Die Funktion erfordert die Konfiguration von Browsern für die einmalige Anmeldung.

Weitere Informationen finden Sie unter https://github.com/Waffle/waffle/blob/master/Docs/ConfiguringBrowsers.md.

Wenn die SSO-Konfiguration nicht korrekt ausgeführt wird, wird dem Benutzer möglicherweise das Dialogfeld "Authentifizierung erforderlich" angezeigt.

In diesem Fall muss der Benutzer die Einstellungen in seinem lokalen Browser ändern. Es gibt spezifische Einstellungen für die verschiedenen Browser.

Firefox-Single-Sign-On-Konfiguration

  1. Geben Sie „about: config“ in die Adressleiste ein und drücken Sie die Eingabetaste.
  2. Geben Sie „network.negotiate-auth.trusted-uris“ in das Feld „Filter“ ein.
  3. Doppelklicken Sie auf "network.negotiate-auth.trusted-uris", um den Dialog für den neuen Wert zu öffnen. Geben Sie Ihren Servernamen (z. B. "http: // localhost: 8080") als Wert an. Wenn Sie mehr als einen Server haben, können Sie alle als eine mit Kommas getrennte Liste eingeben.
  4. Tab schließen.

Die Konfiguration funktioniert sofort nach dem Neuladen auf einer anderen Registerkarte.

Single Sign-On-Konfiguration für Internet Explorer (und Chrome)

Stellen Sie sicher, dass die integrierte Windows-Authentifizierung aktiviert ist:

  1. Wählen Sie das Menü „Extras/ Internetoptionen“
  2. Klicken Sie auf die Registerkarte „Erweitert“
  3. Scrollen Sie nach unten zu „Sicherheit“
  4. Aktivieren Sie die Option „Integrierte Windows-Authentifizierung aktivieren“
  5. Starten Sie den Browser neu.

Die Zielwebsite muss sich in der Intranet-Zone befinden.

  1. Navigieren Sie zur Website
  2. Wählen Sie das Menü „Extras/Internetoptionen“
  3. Klicken Sie auf der Registerkarte "Sicherheit" auf das Symbol "Lokales Intranet", um die Zone auszuwählen.
  4. Klicken Sie auf die Schaltfläche „Sites“.
  5. Aktivieren Sie das Kontrollkästchen "Alle lokalen Sites (Intranet), die nicht in anderen Zonen enthalten sind, einbeziehen"

Wenn das oben genannte Problem nicht behoben wurde, klicken Sie auf „Erweitert“.

Fügen Sie die Website zur Liste der Intranet-Sites hinzu.

Zuletzt aktualisiert am 05.05.2020


« vorheriger Artikel nächster Artikel »

Wie bewerten Sie diesen Artikel?

0/5 Sterne (0 Stimmen)
Windows SSO-Authentifizierung für GBS Workflow Manager 0 5 0

Ihr Kommentar

Zurück

Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>