Konfigurieren der SSO-Authentifizierung
Einführung in SSO-Authentifizierung in ConSol CM
SSO ist eine Authentifizierungsmethode, mit der die Identität von Benutzern im Web Client und CM/Track verifiziert werden kann. Sie basiert auf OpenID Connect und kann mit Microsoft Active Directory Federation Services oder Azure AD eingerichtet werden.
Konzepte, Begriffe und Definitionen
|
Konzept |
Andere Begriffe |
Definition |
|---|---|---|
|
SSO |
|
Abkürzung von Single Sign-On. Authentifizierungsmechanismus, der es Benutzern ermöglicht, nach einem einmaligen Anmelden auf mehrere Applikationen zuzugreifen |
|
OpenID Connect |
|
Auf dem OpenID-Protokoll basierender Authentifizierungsmechanismus, über den Clients Informationen über authentifizierte Benutzer-Sessions abrufen können |
Grundlegende Aufgaben
Einrichten von SSO für den Web Client
Die SSO-Konfiguration auf der ConSol CM-Seite erfolgt mithilfe von System-Properties aus dem Modul cmas-core-security. Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
-
oidc.web.enabled.default: Gibt an, ob die Benutzerauthentifizierung mit SSO über OIDC aktiviert ist.
-
oidc.web.authority.default: Gibt die URL der Authentifizierungsautorität an, z. B. ADFS. Beispiel: https://localhost/adfs
-
oidc.web.clientId.default: Gibt die Client-ID (Application-ID) der Anwendung an, so wie sie in ADFS oder Azure AD registriert ist.
-
oidc.web.clientSecret.default: Gibt das Secret des Clients an, das in ADFS oder Azure AD erzeugt wurde.
-
oidc.web.redirectUri.default: Gibt die Weiterleitungs-URL an, an der Authentifizierungsantworten empfangen werden können. Dies ist entweder der OIDC-Endpunkt auf dem ConSol CM-Server oder auf dem Load-Balancer. Beispiel: http://localhost/cm-client/oidc/
-
oidc.web.usernameClaim.default: Gibt den Namen des Claims im ID-Token an, mit dem der Benutzer einem Login in ConSol CM zugeordnet wird. Der Wert hängt von den ADFS-Einstellungen ab; die Standardwerte sind „upn“ und „unique_name“.
-
oidc.web.usernameRegexp.default: Definiert den regulären Ausdruck, mit dem die Werte der Benutzernamen-Claims den ConSol CM-Benutzernamen zugeordnet werden.
-
„upn“ als Claim: (.*)@.* verwandelt den Claim-Wert „user1@sso.yourdomain.com“ in „user1“ und sucht in der ConSol CM-Datenbank nach „user1“.
-
„unique_name“ als Claim: .*\\(.*) verwandelt den Claim-Wert „SSO\user1“ in „user1“ und sucht in der ConSol CM-Datenbank nach „user1“.
-
Einrichten von SSO für CM/Track
Die SSO-Konfiguration auf der ConSol CM-Seite erfolgt mithilfe von System-Properties aus dem Modul cmas-core-security.
Wenn es mehrere Instanzen von CM/Track gibt, zum Beispiel eine für interne Kunden und eine für externe Kunden, können Sie für jede Instanz eine eigene Konfiguration angeben. Die Zuordnung der CM/Track-Instanz zu einer Konfiguration erfolgt in der folgenden Property:
-
domain.map.for.oidc.config.CONFIGURATION_NAME: Ermöglicht die Zuordnung mehrerer Instanzen von CM/Track zu einer bestimmten Konfiguration. Ersetzen Sie „CONFIGURATION_NAME“ durch den Namen der Konfiguration (Beispiel: wenn Ihre CM/Track-Konfiguration „trackV2customized“ heißt, ist der Name der Property domain.map.for.oidc.config.trackV2customized). Sie können mehrere durch ein Komma getrennte URLs eingeben.
Die folgenden System-Properties werden als Standardkonfiguration verwendet. Sie können sie kopieren und das Wort „default“ im Property-Namen durch dem Namen der Instanz ersetzen, um eine eigene Konfiguration für die Instanz zu erstellen. Die Standardwerte werden verwendet, wenn es keine konfigurationsspezifische Property gibt.
Setzen Sie die folgenden System-Properties in der Web Admin Suite, siehe System-Properties:
-
oidc.track.enabled.default: Gibt an, ob die Benutzerauthentifizierung mit SSO über OIDC aktiviert ist.
-
oidc.track.authority.default: Gibt die URL der Authentifizierungsautorität an, z. B. ADFS. Beispiel: https://localhost/adfs
-
oidc.track.clientId.default: Gibt die Client-ID (Application-ID) der Anwendung an, so wie sie in ADFS oder Azure AD registriert ist.
-
oidc.track.clientSecret.default: Gibt das Secret des Clients an, das in ADFS oder Azure AD erzeugt wurde.
-
oidc.track.redirectUri.default: Gibt die Weiterleitungs-URL an, an der Authentifizierungsantworten empfangen werden können. Dies ist entweder der OIDC-Endpunkt auf dem ConSol CM-Server, auf dem CM/Track läuft, oder auf dem Load-Balancer. Beispiel: http://localhost/track/oidc/
-
oidc.track.usernameClaim.default: Gibt den Namen des Claims im ID-Token an, mit dem der Benutzer einem Kontakt in ConSol CM zugeordnet wird. Der Wert hängt von den ADFS-Einstellungen ab; die Standardwerte sind „upn“ und „unique_name“.
-
oidc.track.usernameRegexp.default: Definiert den regulären Ausdruck, mit dem die Werte der Benutzernamen-Claims den ConSol CM-Benutzernamen zugeordnet werden.
-
„upn“ als Claim: (.*)@.* verwandelt den Claim-Wert „user1@sso.yourdomain.com“ in „user1“ und sucht in der ConSol CM-Datenbank nach „user1“.
-
„unique_name“ als Claim: .*\\(.*) verwandelt den Claim-Wert „SSO\user1“ in „user1“ und sucht in der ConSol CM-Datenbank nach „user1“.
-