Authentifizierung
Einführung in die Authentifizierung in ConSol CM
ConSol CM bietet drei Authentifizierungsmethoden zur Bestätigung der Identität der Benutzer. Sie können die ConSol CM-Datenbank, einen LDAP-Server oder einen Kerberos-Dienst für die Authentifizierung verwenden. Die Autorisierung der authentifizierten Benutzer erfolgt über Rollen.
Konzepte, Begriffe und Definitionen
|
Konzept |
Andere Begriffe |
Definition |
|---|---|---|
|
Authentifizierung |
|
Prozess zur Bestätigung der Identität der Benutzer |
|
Autorisierung |
|
Prozess zur Bestimmung der Zugangsberechtigungen der authentifizierten Benutzer, erfolgt über Rollen |
|
Datenbank-Authentifizierung |
|
Authentifizierung über die ConSol CM-Datenbank |
|
LDAP-Authentifizierung |
|
Authentifizierung über einen LDAP-Server |
|
Kerberos-Authentifizierung |
|
Authentifizierung über Kerberos |
Verfügbare Authentifizierungsmethoden
Datenbankauthentifizierung
Verfügbarkeit:
- Web Client
- CM/Track
Benutzername und Passwort sind in der ConSol CM-Datenbank gespeichert.
Wenn Datenbankauthentifizierung verwendet wird, können Sie eine Passwortrichtlinie festlegen (siehe Festlegen der Passwort-Richtlinie) und die Funktion zum Zurücksetzen des Passworts konfigurieren (siehe Festlegen des Templates zum Zurücksetzen des Passworts).
LDAP-Authentifizierung
Verfügbarkeit:
- Web Client
- CM/Track
Der Benutzername ist in der ConSol CM-Datenbank gespeichert. Das Passwort ist auf dem LDAP-Server gespeichert. Es kann daher weder von den Benutzern noch von den Kontakten in ConSol CM geändert werden.
Siehe Konfigurieren der LDAP-Authentifizierung.
Kerberos-Authentifizierung
Verfügbarkeit:
- Web Client
Der Benutzername ist in der ConSol CM-Datenbank gespeichert. Das Passwort ist in Windows Active Directory gespeichert. Es kann daher von den Benutzern nicht in ConSol CM geändert werden. Die Anmeldeinformationen werden aus einer gültigen Windows-Session abgerufen.
Siehe Single Sign-On für ConSol CM mittels Kerberos (in einer Windows-Domäne)
Grundlegende Aufgaben
Festlegen der Authentifizierungsmethode
Die Authentifizierungsmethode wird über System-Properties festgelegt.
Festlegen der Authentifizierungsmethode für den Web Client
Relevante System-Properties:
- LDAP- und Datenbankauthentifizierung: cmas-core-security, authentication.method
- Kerberos-Authentifizierung: cmas-core-security, kerberos.v5.enabled
Je nach konfigurierter Authentifizierungsmethode müssen unterschiedliche Felder auf der Seite Benutzer ausgefüllt sein:
- Datenbankauthentifizierung: Feld Passwort
- LDAP-Authentifizierung: Feld LDAP-ID
- Kerberos-Authentifizierung: Feld Kerberos Principal Name
Festlegen der Authentifizierungsmethode für CM/Track
Die Authentifizierungsmethode für CM/Track wird in der System-Property cmas-core-security, contact.authentication.method festgelegt.
Die möglichen Werte für diese Property sind:
- DATABASE
Wenn in den Kontaktdaten ein Benutzername und ein Passwort gespeichert sind, wird die Anmeldung über die Datenbank versucht. - LDAP
Wenn in den Kontaktdaten eine LDAP-ID gespeichert ist, wird die Anmeldung über die verfügbaren LDAP-Server versucht. - LDAP,DATABASE
Wenn in den Kontaktdaten eine LDAP-ID gespeichert ist, wird zuerst die Anmeldung über die verfügbaren LDAP-Server versucht. Sollte diese fehlschlagen, wird die Anmeldung über die Datenbank versucht, sofern in den Kontaktdaten ein Benutzername und ein Passwort gespeichert sind. - DATABASE,LDAP
Wenn in den Kontaktdaten ein Benutzername und ein Passwort gespeichert sind, wird zuerst die Anmeldung über die Datenbank versucht. Sollte diese fehlschlagen, wird die Anmeldung über die verfügbaren LDAP-Server versucht, sofern in den Kontaktdaten eine LDAP-ID gespeichert ist.
Je nach konfigurierter Authentifizierungsmethode müssen in den Kontaktdaten (siehe Verwaltung von Kundenfeldern und GUI-Design für Kundendaten) Felder für die Anmeldeinformationen angelegt werden:
- Datenbankauthentifizierung: Benutzername (Feld mit der Annotation username) und Password (Feld mit der Annotation password). Siehe auch Datenbank-Authentifizierung für Kunden.
- LDAP-Authentifizierung: LDAP-ID (Feld mit den Annotationen username und ldapid). Siehe auch Konfigurieren der LDAP-Authentifizierung.
Erweiterte Aufgaben
Erweiterte Aufgaben gibt es nur für die Datenbankauthentifizierung. Bei LDAP- und Kerberos-Authentifizierung müssen die erweiterten Einstellungen in LDAP bzw. Kerberos vorgenommen werden.
Festlegen der Passwort-Richtlinie
Das Festlegen einer Passwort-Richtlinie ist optional. Eine Passwort-Richtlinie kann nur festgelegt werden, wenn die Authentifizierungsmethode Datenbank eingesetzt wird.
Folgende Einstellungsmöglichkeiten können für die Passwort-Richtlinie verwendet werden:
- cmas-core-security, policy.password.pattern (String)
RegEx-Ausdruck für das Passwort, Standardwert: ^.3,$ (mindestens 3 Zeichen)
Beispiel: ^(?=.*[A-Z])(?=.*[0-9])(?=.*[a-z]).{5,}$ (mindestens 5 Zeichen, mindestens ein Großbuchstabe, ein Kleinbuchstabe und eine Ziffer) - cmas-core-security, policy.password.age (Integer)
Maximaler Gültigkeitszeitraum, in Tagen, Beispiel 183 (6 Monate), Standardwert: 5500 (= 15 Jahre, d. h. es wird keine Passwortänderung erzwungen). - cmas-core-security, policy.rotation.ratio (Integer)
Zahl, definiert die Anzahl der vorherigen Passwörter, die nicht identisch sein dürfen, Beispiel und Standardwert: 1. - cmas-core-security, policy.username.case.sensitive (Boolean)
Legt fest, ob Groß- und Kleinschreibung bei der Validierung berücksichtigt wird. Beispiel und Standardwert: true.
Beachten Sie, dass diese Einstellung von der Collation in MySQL beeinflusst wird. Damit das CM-System korrekt mit MySQL arbeitet, muss in MySQL die richtige Collation verwendet werden.
Für LDAP und Kerberos muss die Passwort-Richtlinie in LDAP bzw. Kerberos konfiguriert werden.
Festlegen des Templates zum Zurücksetzen des Passworts
Wenn die Datenbankauthentifizierung verwendet wird, kann das Passwort vom Benutzer selber zurückgesetzt werden. Die Voraussetzung dafür ist, dass der Benutzer eine gültige E-Mail-Adresse hat. Das Zurücksetzen des Passworts ist sowohl für Benutzer im Web Client als auch für Kontakte in CM/Track möglich.
Die From-Adresse der E-Mail, die an den Benutzer gesendet wird, wird in der System-Property cmas-core-security, password.reset.mail.from definiert.
Zurücksetzen des Passworts im Web Client
Damit Benutzer im Web Client ihre Passwörter zurücksetzen können, müssen ihre E-Mail-Adressen in den Benutzerdaten (siehe Felder) eingetragen sein.
Wenn ein Benutzer sein Passwort vergessen hat, kann er über den Link Passwort vergessen? auf der Anmeldeseite des Web Clients ein neues Passwort anfordern. Der Benutzer erhält eine E-Mail mit einem Link zu einer URL, über die er ein neues Passwort setzen kann.
Die E-Mail, die an den Benutzer gesendet wird, basiert auf dem Template password-reset-template, das im Abschnitt Templates der Web Admin Suite gespeichert ist, siehe Zurücksetzen des Passworts.
Das folgende Beispiel zeigt ein Template zum Zurücksetzen des Passworts:
Subject: Password reset procedure
<#setting number_format="0.######"/>
To reset your password please click the following link:
https://myserver:myport/cm-client/passwordChange?resetCode=${resetCode}
This link expires at ${expirationDate?string("yyyy.MM.dd HH:mm:ss")}.
Ersetzen Sie in der Zeile https://myserver:myport/cm-client/passwordChange?resetCode=${resetCode} die Angaben myserver und myport durch die Parameter Ihres Systems.
Eine detaillierte Beschreibung der Templates im Allgemeinen finden Sie in Templates.
Zurücksetzen des Passworts in CM/Track
Damit Kontakte in CM/Track ihre Passwörter zurücksetzen können, müssen ihre E-Mail-Adressen in den Kontaktdaten (siehe Verwaltung von Kundenfeldern und GUI-Design für Kundendaten) eingetragen sein.
Wenn ein Kontakt sein Passwort vergessen hat, kann er über den Link Passwort vergessen? auf der Anmeldeseite von CM/Track ein neues Passwort anfordern. Der Kontakt erhält eine E-Mail mit einem Link zu einer URL, über die er ein neues Passwort setzen kann.
Die E-Mail, die an den Kontakt gesendet wird, basiert auf dem Template track-password-reset-template, das im Abschnitt Templates der Web Admin Suite erstellt werden muss, siehe Zurücksetzen des Passworts. Das folgende Beispiel zeigt ein Template zum Zurücksetzen des Passworts:
Subject: Your password reset link
Your password reset link:
<#setting number_format="0.######"/>
To reset your password, please click the following link:
https://myserver:myport/track/#/password-reset/resetCode-${resetCode}
This link expires at ${expirationDate?string("yyyy.MM.dd HH:mm:ss")}.
Ersetzen Sie in der Zeile https://myserver:myport/track/#/password-reset/resetCode-${resetCode} die Angaben myserver und myport durch die Parameter Ihres Systems.
Eine detaillierte Beschreibung der Templates im Allgemeinen finden Sie in Templates.
Beachten Sie, dass die Variable expirationDate eine Systemvariable ist, die standardmäßig auf ein Datum 24 Stunden nach dem Zeitpunkt der Anfrage zum Zurücksetzen des Passworts gesetzt ist. Sie können die Variable über die System-Property cmas-core-security, resetCode.expirationPeriod (Integer, Millisekunden) ändern. Die System-Property ist standardmäßig nicht vorhanden und muss bei Bedarf erstellt werden.