Zum Hauptinhalt springen
Version: 16.1

Authentifizierung

Auf der Seite Authentifizierung können Sie die Authentifizierungsmechanismen konfigurieren, über die sich Benutzer mit ADONIS verbinden. Diese Mechanismen können einzeln oder in Kombination verwendet werden. Außerdem können Sie Authentifizierungseinstellungen für den Zugriff auf die ADONIS REST API konfigurieren.

Die Seite Authentifizierung hat fünf Unterseiten:

  • Konnektoren

    Konfigurieren Sie Konnektoren. Jeder von ihnen repräsentiert einen Authentifizierungsmechanismus in ADONIS.

  • LDAP

    Fügen Sie LDAP-Domains hinzu und verwalten Sie allgemeine LDAP-Einstellungen in ADONIS.

  • SAML

    Ändern Sie globale Konfigurationsparameter für SAML-Konnektoren.

  • JWT

    Erstellen Sie eine JWT-Konfiguration für den Zugriff auf die ADONIS REST API.

  • OAuth 2.0

    Bearbeiten Sie OAuth 2.0-Einstellungen für den Zugriff auf die ADONIS REST API.

Weitere Tools finden Sie hinter der Schaltfläche Weitere Optionen. Hier können Sie Lizenzwarnungen, Sicherheitseinstellungen und allgemeine Authentifizierungseinstellungen konfigurieren.

Konnektoren

Auf der Seite Konnektoren können Sie Konnektoren erstellen, bearbeiten und löschen. Konnektoren repräsentieren die Authentifizierungsmechanismen in ADONIS. Alle Konnektoren können einzeln oder in Kombination mit anderen verwendet werden. Außerdem kann jeder Konnektor so konfiguriert werden, dass er eine LDAP-Kopplung verwendet, um zusätzliche Benutzerdaten aus einem Verzeichnisdienst abzurufen.

Konnektoren ansehen

Wenn Sie die Seite Konnektoren öffnen, sehen Sie als erstes eine Liste aller Konnektoren und deren Details. Folgende Informationen werden angezeigt:

  • Rangordnung

    Die Reihenfolge, in der Konnektoren für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden. Wenn sich ein Benutzer anmeldet, ohne einen Konnektor oder Konnektortyp anzugeben, verwendet ADONIS den ersten anwendbaren Konnektor in der Liste, sofern keine spezifischen Einschränkungen definiert sind.

  • Name

    Der Name des Konnektors.

  • Typ

    Der Konnektortyp.

  • Konnektor aktiviert

    Zeigt an, ob ein Konnektor aktiviert oder deaktiviert ist.

  • LDAP-Kopplung

    Zeigt an, ob für den Konnektor eine LDAP-Kopplung konfiguriert ist.

  • IP-Einschränkungen

    Zeigt an, ob für den Konnektor IP-Einschränkungen konfiguriert sind.

Konnektortypen

Folgende Konnektortypen stehen in ADONIS zur Verfügung:

  • STANDARD: Zeigt die Standard-Anmeldeseite an, auf der Benutzer ihren Benutzernamen und ihr Passwort eingeben können. Unterstützt zwei Authentifizierungsmechanismen:

    • Standard ADONIS Benutzer: Wenn keine LDAP-Kopplung konfiguriert ist, wird der Benutzer mit den angegebenen Anmeldeinformationen gegenüber der Datenbank authentifiziert.

    • LDAP-Authentifizierung: Wenn eine LDAP-Kopplung konfiguriert ist, wird der Benutzer mit den angegebenen Anmeldeinformationen gegenüber dem konfigurierten Verzeichnisdienst authentifiziert.

  • IDM: Unterstützt IDM-Authentifizierung. Benutzern können sich über Single Sign-on oder mit Benutzername und Passwort anmelden.

  • SAML: Unterstützt SAML-Authentifizierung. Benutzern können sich über Single Sign-on oder durch Eingabe von Anmeldedaten (Benutzername und Passwort, Zertifikate usw.) anmelden.

  • OIDC: Unterstützt OIDC-Authentifizierung. Benutzern können sich über Single Sign-on anmelden.

Konnektor hinzufügen und konfigurieren

So erstellen Sie einen neuen Konnektor:

  1. Wechseln Sie zu Authentifizierung > Konnektoren, und klicken Sie dann auf Erstellen.

  2. Geben Sie im Feld ID einen eindeutigen Namen für Ihren Konnektor ein.

  3. Wählen Sie in der Liste Konnektortyp auswählen einen Konnektortyp aus.

  4. Klicken Sie auf Erstellen.

Sobald Sie den Konnektor erstellt haben, können Sie sofort mit der Bearbeitung der Konfiguration beginnen. Führen Sie folgende vier Schritte aus:

  1. Eigenschaften

  2. Einschränkungen

  3. LDAP-Kopplung

  4. User Mapping

In den folgenden Abschnitten erfahren Sie mehr über diese Schritte.

Eigenschaften

Auf der ersten Seite der Konnektorkonfiguration können Sie je nach ausgewähltem Konnektortyp unterschiedliche Einstellungen vornehmen.

STANDARD

Für STANDARD- Konnektoren sind folgende Einstellungen möglich:

  • Passwort zurücksetzen: Schalten Sie den Passwort-Reset im Self-Service ein oder aus und konfigurieren Sie, wie lange ein Link zum Zurücksetzen des Passworts gültig ist (weitere Informationen finden Sie unter Passwort-Reset im Self-Service konfigurieren).

SAML

Für SAML- Konnektoren sind folgende Einstellungen möglich:

  • IDP-Eigenschaften

    • IDP-Name: Der Name des Identity Providers (IdP). Sie können einen beliebigen Namen wählen. Dieser Name wird in ADONIS angezeigt und erscheint in den Logs.

    • Binding-Typ: Definiert den Bindungstyp für die Kommunikation mit dem IdP. Standardmäßig ist "post" eingestellt, was bedeutet, dass die Kommunikation technisch über das POST-Verfahren eines HTML-Formulars erfolgt. Wenn "redirect" festgelegt wird, kontaktiert der Client den IdP über einen Redirect-Aufruf, was möglicherweise aufgrund bestimmter Richtlinien nicht zulässig ist.

    • IDP-Adresse: Gibt die URL des IdP an, an die Authentifizierungsanfragen gesendet werden.

    • Assertion-Entschlüsselung: Steuert, ob die Verschlüsselung von Assertionen für diesen spezifischen Konnektor aktiviert ist. Optionen sind: "Aktiviert", "Deaktiviert" oder "Nicht gesetzt".

      • Wenn nicht gesetzt, gelten die globalen Verschlüsselungseinstellungen für Assertions aus der SAML-Konfiguration.

      • Wenn deaktiviert, wird die Verschlüsselung/Entschlüsselung von Assertions für diesen Konnektor deaktiviert, unabhängig von den globalen SAML-Einstellungen.

      • Wenn aktiviert, wird für diesen Konnektor die Verschlüsselung von Assertions erfordert, jedoch müssen auch die globalen SAML-Einstellungen die Verschlüsselung aktiviert und korrekt konfiguriert haben.

      Standardmäßig ist diese Einstellung nicht gesetzt, was bedeutet, dass die globalen SAML-Verschlüsselungseinstellungen bestimmen, ob die Verschlüsselung für diesen Konnektor angewendet wird.

    • IDP-Sitzungsende bei Dienstanbieter-Sitzungsende: Gibt an, ob das Abmelden von ADONIS auch eine Abmeldung beim IdP auslösen soll. Standardmäßig ist diese Option deaktiviert.

  • IDP public key file: Klicken Sie auf Durchsuchen, um das Zertifikat für die Token-Signierung vom IdP hochzuladen. Dieses Feld kann vorausgefüllt sein, wenn Sie zuvor die Metadaten-URL des IdP in ADONIS referenziert haben (siehe IdP konfigurieren unter Konnektoren anpassen).

  • Claims: Definieren Sie die Claims, die der IdP bereitstellen soll. Claims werden verwendet, um Benutzerinformationen zu übermitteln (z. B. E-Mail-Adresse, Vorname und Nachname).

IDM

Für IDM- Konnektoren sind folgende Einstellungen möglich:

  • Remote-Benutzerstandort: Gibt an, wie der Remote-Benutzer in einem IDM-Szenario identifiziert wird. Optionen sind: "method", "header", or "basic_auth".

    • Wenn "method" ausgewählt ist, wird der Remote-Benutzer mit der Servlet-Anforderungsmethode getRemoteUser ermittelt.

    • Wenn "header" ausgewählt ist, wird der Remote-Benutzer aus einem Request-Header extrahiert. Sie müssen den Header im Feld Name des Headers, der den Benutzernamen des Remote-Benutzers enthält angeben.

    • Wenn "basic_auth" ausgewählt ist, wird der Remote-Benutzer aus dem Header Authorization der Anfrage abgerufen.

    Optional können Sie Verarbeitungsanweisungen hinzufügen, um den Wert des Benutzernamens zur Laufzeit zu bearbeiten oder zu modifizieren.

  • Name des Headers, der den Benutzernamen des Remote-Benutzers enthält: Erforderlich, wenn Remote-Benutzerstandort auf "header" eingestellt ist. Dieses Feld definiert den Namen des Headers, der den Benutzernamen des Remote-Benutzers enthält.

  • Die Domain-Erweiterung des Remote-Benutzernamens abschneiden: Bestimmt, ob eine Domain-Erweiterung (z.B. '\@domain') vom Remote-Benutzernamen entfernt werden soll. Wenn aktiviert (Standard-Einstellung), wird ein Benutzername wie 'user\@domain' auf 'user' verkürzt.

  • Regulärer Ausdruck, um Zeichenfolgen im Benutzernamen durch eine andere Zeichenfolge zu ersetzen: Ermöglicht es Ihnen, eine Regel zum Ändern des Benutzernamens durch Ersetzen bestimmter Zeichenfolgen festzulegen. Die Regel muss als regulärer Ausdruck angegeben werden.

  • Ersetzung für Abschnitte im Benutzernamen, die mit dem regulären Ausdrucksfeld gefunden wurden: Gibt die Zeichenfolge an, die Abschnitte des Benutzernamens ersetzt, die durch den regulären Ausdruck im Feld Regulärer Ausdruck, um Zeichenfolgen im Benutzernamen durch eine andere Zeichenfolge zu ersetzen identifiziert wurden.

OIDC

Für OIDC- Konnektoren sind folgende Einstellungen möglich:

  • Authorisierungs-Server

    • Authorisierungs-Endpunkt: Der Autorisierungsendpunkt des OP.

    • Token-Endpunkt: Der Tokenendpunkt des OP.

    • Issuer: Die Aussteller-URL des OP.

    • Client-ID: Die allgemeine Kennung für ADONIS wie beim OP registriert.

    • Client-Schlüssel (= Clientgeheimnis): Das geheime Passwort für ADONIS wie beim OP registriert.

    • Benutzer merken: Aktivieren Sie diese Option, um die zuletzt verwendete Benutzer-ID zu speichern und für zukünftige Authentifizierungsvorgänge weiterzugeben, sodass dieses Benutzerkonto automatisch ausgewählt wird (kann nützlich sein, wenn mehrere Benutzerkonten betrieben werden).

  • Claims: Definieren Sie die Claims, die der OP bereitstellen soll. Claims werden verwendet, um Benutzerinformationen zu übermitteln (z. B. E-Mail-Adresse, Vorname und Nachname).

  • Scopes: Definieren Sie die Scopes, die während des Authentifizierungsprozesses verwendet werden, um den Zugriff auf bestimmte Benutzerdetails zu autorisieren. Jeder Scope gibt eine Reihe von Attributen zurück, die als Ansprüche dargestellt werden.

Passwort-Reset im Self-Service konfigurieren

Mit dem Passwort-Reset im Self-Service können ADONIS-Benutzer ihr Passwort zurücksetzen, ohne jedes Mal ihren ADONIS-Administrator kontaktieren zu müssen. Sie können einfach auf den Link "Passwort vergessen?" auf der Login-Seite klicken und erhalten dann eine E-Mail mit einem Link zum Zurücksetzen ihres Passworts.

Verfügbarkeit

Diese Funktionalität ist verfügbar, wenn die Mail-Komponente konfiguriert ist und ein STANDARD- Konnektor verwendet wird (= Standard-Anmeldeseite, auf der Benutzer ihren Benutzernamen und ihr Passwort eingeben können).

Hinweis

Details zur Konfiguration der Mail-Komponente entnehmen Sie bitte dem Abschnitt E-Mail.

Folgende Benutzer können ihr Passwort NICHT selbst zurücksetzen:

  • ADONIS-Administratoren (Benutzer mit globalen Administratorenrechten)

  • Technische Benutzer

  • Benutzer aus einem externen Benutzerverwaltungssystem

  • Benutzer ohne E-Mail-Adresse

Konfiguration

In der ADONIS Administration können Sie den Passwort-Reset im Self-Service ein-/ausschalten und konfigurieren, wie lange ein Link zum Zurücksetzen des Passworts gültig ist.

So konfigurieren Sie die Parameter für das Zurücksetzen des Passworts:

  • Wechseln Sie zu Authentifizierung > Konnektoren.

  • Bearbeiten Sie den gewünschten STANDARD- Konnektor, zum Beispiel Standard Login. Passen Sie auf der Seite Eigenschaften unter Passwort zurücksetzen folgende Einstellungen an:

    • Aktiviert: Aktivieren oder deaktivieren Sie diese Option, um den Passwort-Reset im Self-Service in ADONIS ein- oder auszuschalten.

    • Passwort-Reset-Ablauf in Minuten: Legen Sie fest, wie lange ein Link zum Zurücksetzen des Passworts gültig sein soll (zum Beispiel 30 Minuten).

  • Klicken Sie auf OK, und dann auf Speichern.

Einschränkungen

Auf der zweiten Seite der Konnektorkonfiguration können Sie Einschränkungen definieren. Folgende Einstellungen sind verfügbar.

  • Einschränkungen: Verwenden Sie diese Option, um den Zugriff auf den Konnektor einzuschränken, indem Anfragen basierend auf der IP-Adresse des Clients entweder zugelassen oder blockiert werden. Sie können Regeln definieren, die den Zugriff je nach Übereinstimmung der IP-Adresse mit einem bestimmten Muster erlauben oder verweigern. Das Verhalten wird durch die angewendete Logik bestimmt – entweder "whitelist" (Zugriff erlauben) oder "blacklist" (Zugriff verweigern). Für jede Einschränkung können Sie zwischen zwei Modi wählen:

    • match: Die Regel wird angewendet, wenn die IP-Adresse des Clients genau mit dem festgelegten Muster übereinstimmt.

    • subnet: Die Regel wird angewendet, wenn die IP-Adresse des Clients innerhalb eines definierten Subnetzbereichs liegt.

LDAP-Kopplung

Auf der dritten Seite der Konnektorkonfiguration können Sie für jeden Konnektor eine LDAP-Kopplung einrichten. Diese Funktion ermöglicht das Abrufen zusätzlicher Benutzerdaten aus einem Verzeichnisdienst. Für STANDARD-Konnektoren dient die LDAP-Kopplung zusätzlich zur Authentifizierung von Benutzern gegen den konfigurierten Verzeichnisdienst. Folgende Einstellungen sind verfügbar:

  • LDAP-Kopplung aktivieren/deaktivieren

    • Aktiviert: Schalten Sie die LDAP-Kopplung für diesen Konnektor ein oder aus. Beachten Sie, dass die LDAP-Kopplung nur funktioniert, wenn der LDAP-Mechanismus in den allgemeinen LDAP-Einstellungen aktiviert ist.
  • LDAP-Domains: Optional können Sie eine oder mehrere Domains auswählen, die für die Authentifizierung und das Abrufen von Benutzerdaten verwendet werden sollen. Es können nur Domains ausgewählt werden, die zuvor auf der Seite LDAP konfiguriert wurden. Wenn keine Domain angegeben wird, werden alle Domains aus den globalen LDAP-Einstellungen der Reihe nach versucht, bis die Authentifizierung erfolgreich ist.

  • Eigenschaften: Optional können Sie zusätzliche LDAP-Eigenschaften speziell für diesen Konnektor definieren. Diese Eigenschaften werden zusammen mit den in den allgemeinen LDAP-Einstellungen festgelegten Eigenschaften verwendet.

User Mapping

Auf der vierten Seite der Konnektorkonfiguration können Sie pro Konnektor festlegen, wie aus einem externen Benutzerverwaltungssystem abgerufene Eigenschaften zum Zuweisen von System-Rollen, Benutzergruppen, Repositorys usw. verarbeitet werden.

Hinweis

Es können nur Eigenschaften ausgewählt werden, die zuvor in ADONIS definiert wurden. Eigenschaften für SAML-Konnektoren werden beispielsweise unter Claims auf der Seite Eigenschaften definiert. Wenn eine LDAP-Kopplung verwendet werden soll, kann ein Basisset von abzurufenden Attributen in den allgemeinen LDAP-Einstellungen definiert werden, während zusätzliche konnektorspezifische LDAP-Eigenschaften direkt auf der Seite LDAP-Kopplung definiert werden können.

Folgende Einstellungen sind möglich:

  • Eigenschaften: Zuordnung von Benutzerattributen in ADONIS auf Basis von externen Eigenschaften. Jede Zuordnung wird mit folgenden Parametern konfiguriert:

    • Eigenschaft: Wählen Sie die externe Eigenschaft aus, die zugeordnet werden soll.

    • Attribut: Das entsprechende Attribut in ADONIS (z.B. "Vorname" oder "E-Mail").

    • Verarbeitungsanweisung : Optional können Sie Verarbeitungsanweisungen hinzufügen, um den Wert zur Laufzeit zu bearbeiten oder zu modifizieren.

Beispiel

Eigenschaft: givenName, Attribut: Vorname

Der Wert der LDAP-Eigenschaft "givenName" wird dem ADONIS-Attribut "Vorname" zugewiesen.

  • Rollen: Weisen Sie System-Rollen auf Basis von externen Eigenschaften zu.

    • Standardrollen: Definieren Sie die standardmäßigen System-Rollen, die Benutzern zugewiesen werden, wenn keine Rollenzuordnungen zutreffen.

    • Rollen: Konfigurieren Sie benutzerdefinierte Rollenzuordnungen mit:

      • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung der System-Rolle aus.

      • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

      • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

      • Zielname: Wählen Sie die System-Rolle in ADONIS aus, die zugewiesen werden soll.

  • Gruppen: Weisen Sie Benutzergruppen auf Basis von externen Eigenschaften zu.

    • Standardgruppen: Definieren Sie die standardmäßigen Benutzergruppen, die Benutzern zugewiesen werden, wenn keine Gruppenzuordnungen zutreffen.

    • Gruppen: Konfigurieren Sie benutzerdefinierte Gruppenzuordnungen mit:

      • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung der Benutzergruppe aus.

      • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

      • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

      • Zielname: Wählen Sie die Benutzergruppe in ADONIS aus, die zugewiesen werden soll.

  • Repository: Weisen Sie Repositorys auf Basis von externen Eigenschaften zu mit:

    • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Repositorys aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Zielname: Wählen Sie das Repository in ADONIS aus, das Sie Benutzern als Arbeitsplatz zuweisen möchten. Die Benutzer werden gleichzeitig als Objekte in der Modellierung verfügbar gemacht. Sie können entweder "Alle Repositorys" oder ein bestimmtes Repositorys als Ziel angeben. Außerdem können Sie eine Objektgruppe pro Repository festlegen, in der sich die zugewiesenen Benutzerobjekte befinden sollen.

  • Named Use: Weisen Sie Benutzern benannten Zugriff auf Szenarien zu.

    • Standard-Szenarien: Definieren Sie die Szenarien, für die Benutzer standardmäßig benannten Benutzerzugriff haben sollen, wenn keine Szenariozuordnungen zutreffen.

    • Szenarien: Konfigurieren Sie benutzerdefinierte Szenariozuordnungen mit:

      • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Szenarios aus.

      • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

      • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

      • Zielname: Wählen Sie das Szenario in ADONIS aus, das zugewiesen werden soll.

  • Mapped User Verwaltung: Zur Festlegung von Fällen, wo bereits authentifizierte Benutzer auf Alias-Benutzer gemappt werden sollen (= als solche behandelt werden sollen). Diese Alias-Benutzer repräsentieren die authentifizierten Benutzer, wenn sie sich an ADONIS anmelden. Beispielsweise können Sie so eine bestimmte Gruppe von Anwendern auf einen Benutzer mappen, der Zugriff auf das Organisationsportal hat.

    • Standardmäßig zugeordnete Benutzer : Definieren Sie einen standardmäßigen Alias-Benutzer, auf den Benutzer gemappt werden sollen, wenn keine andere Zuordnung zutrifft (nur für neue Benutzer).

    • Mapped User: Konfigurieren Sie benutzerdefinierte Alias-Benutzer-Zuordnungen mit:

      • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Alias-Benutzers aus.

      • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

      • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

      • Vorhandene Benutzer zuordnen: Optional können Sie angeben, wie vorhandene Benutzer behandelt werden sollen. Wenn diese Option aktiviert ist, wird der authentifizierte Benutzer immer durch den Alias-Benutzer repräsentiert wird, wenn das Mapping zutrifft. Wenn deaktiviert, gilt das Mapping nur für neue Benutzer, die noch nicht in der ADONIS-Datenbank vorhanden sind und nicht automatisch erstellt werden können.

      • Zielname: Wählen Sie den Alias-Benutzer in ADONIS aus, der zugewiesen werden soll.

  • Benutzer synchronisieren: Steuerung der automatischen Benutzererstellung und -synchronisierung:

    • Benutzer automatisch erstellen: Legen Sie fest, ob Benutzer, die sich zum ersten Mal an ADONIS anmelden, "on-the-fly" in der ADONIS-Datenbank erzeugt werden.

    • Automatische Synchronisation: Legen Sie fest, ob Benutzerdaten entsprechend den vom Verzeichnisdienst abgerufenen Informationen bei jeder Anmeldung und/oder bei jeder periodischen Synchronisation aktualisiert werden sollen. Manuelle Änderungen an den Daten eines Benutzers durch den ADONIS-Administrator werden damit überschrieben.

      Welche Benutzerdaten synchronisiert werden, kann in den untergeordneten Eigenschaften dieses Parameters definiert werden:

      • Attribute synchronisieren: Legen Sie fest, ob die Zuordnung von Benutzerattributen bei jeder Synchronisation aktualisiert werden soll.

      • Rollen synchronisieren: Legen Sie fest, ob die Zuordnung von System-Rollen bei jeder Synchronisation aktualisiert werden soll.

      • Gruppen synchronisieren: Legen Sie fest, ob die Zuordnung von Benutzergruppen bei jeder Synchronisation aktualisiert werden soll.

      • Repositorys synchronisieren: Legen Sie fest, ob die Zuordnung von Repositorys bei jeder Synchronisation aktualisiert werden soll.

      • Named Use synchronisieren: Legen Sie fest, ob die Zuordnung von benanntem Benutzerzugriff zu Szenarien bei jeder Synchronisation aktualisiert werden soll.

  • Löschverhalten von Benutzern:

    • Nicht gefundene Benutzer löschen: Legen Sie fest, ob Benutzer, die während der Synchronisation nicht gefunden werden, gelöscht werden sollen.

    • Nicht löschbare Benutzer in Benutzergruppe verschieben: Legen Sie fest, ob Benutzer, die während der Synchronisation nicht gelöscht werden können, in eine bestimmte Benutzergruppe verschoben werden sollen. Wenn diese Option aktiviert ist, müssen Sie eine Gruppe auswählen, in die diese Benutzer verschoben werden sollen. Ansonsten werden die Benutzer nicht verschoben.

Hinweis

Welche Benutzer sind nicht löschbar?

  • Benutzer die gerade angemeldet sind.

  • Benutzer, die mit einem Repository geteilt wurden (= damit sie als Objekte in der Modellierung verfügbar sind), wenn sie in einem Modell verwendet werden oder eingehende Referenzen haben.

Mögliche Methoden zum Abgleichen von Werten

Wenn Sie ein User Mapping für einen Konnektor definieren, sind folgende Methoden zum Abgleichen von Werten möglich (Eigenschaft "Typ"):

  • equals: Die Werte müssen exakt übereinstimmen.

  • equalsIgnoreCase: Die Werte müssen exakt übereinstimmen, aber Groß- und Kleinschreibung wird ignoriert.

  • contains: Der Zielwert muss die angegebene Übereinstimmung als Teilzeichenfolge enthalten.

  • containsWord: Der Zielwert muss das genaue Wort (als Ganzes) enthalten, das Sie abgleichen.

  • containsWordIgnoreCase: Dasselbe wie containsWord, aber Groß- und Kleinschreibung wird ignoriert.

  • regExp: Der Abgleich wird mithilfe eines regulären Ausdrucks durchgeführt (ein musterbasiertes Abgleichsystem).

  • indicator: Die Zuordnung erfolgt auf Basis von Indikatoren (nur für IDM-Konnektoren)

Konnektoren anpassen

Konnektoren lassen sich bearbeiten, umbenennen, löschen und mehr:

  1. Wechseln Sie zur Seite Benutzer.

  2. Suchen Sie nach den Benutzern, die Sie anpassen möchten.

Führen Sie dann eine der folgenden Aktionen aus:

  • Konnektor bearbeiten

    Bewegen Sie den Mauszeiger auf den Konnektor, klicken Sie auf Mehr, und dann auf Bearbeiten. Jetzt können Sie den Konnektor konfigurieren.

  • Konnektor umbenennen oder löschen

    Bewegen Sie den Mauszeiger auf den Konnektor, klicken Sie auf Mehr, und dann auf Umbenennen oder Löschen.

  • Rangordnung erhöhen oder verringern

    Wenn mehrere Konnektoren aktiviert sind, können Sie die Reihenfolge anpassen, in der sie für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden sollen. Verwenden Sie den Ziehpunkt (), um einen Konnektor an eine neue Position zu ziehen. Oder bewegen Sie den Mauszeiger auf den Konnektor, klicken Sie auf Mehr, und dann auf Rangordnung erhöhen oder Rangordnung verringern.

  • Konnektor aktivieren oder deaktivieren

    Bewegen Sie den Mauszeiger auf den Konnektor, klicken Sie auf Mehr, und dann auf Konnektor aktivieren oder Konnektor deaktivieren. Diese Option ist beispielsweise nützlich, wenn Sie einen Konnektor vorübergehend deaktivieren möchten, anstatt ihn dauerhaft zu entfernen.

  • IdP konfigurieren

    Nur für SAML-Konnektoren verfügbar. Bewegen Sie den Mauszeiger auf den Konnektor, klicken Sie auf Mehr, und dann auf IdP konfigurieren. Diese Option ermöglicht Ihnen, entweder eine Metadaten-XML-Datei hochzuladen oder eine Metadaten-URL anzugeben. Die Metadaten enthalten alle notwendigen Informationen, damit ADONIS Token Ihres IdP verarbeiten kann. Nach dem Hochladen werden die folgenden Eigenschaften des SAML-Konnektor automatisch befüllt: Binding-Typ, IdP-Adresse und IDP public key file.

LDAP

Auf der Seite LDAP können Sie allgemeine LDAP-Einstellungen und domainspezifische Parameter konfigurieren. Die Seite besteht aus zwei Bereichen:

  • LDAP-Domains

    Im linken Bereich der Seite LDAP können Sie Domains hinzufügen und verwalten, die zur Authentifizierung und zum Abrufen von Benutzerdaten verwendet werden. Alle konfigurierten Domains sind hier aufgelistet.

  • LDAP-Einstellungen

    Im rechten Bereich der Seite LDAP können Sie allgemeine Parameter festlegen, die für alle Domains gelten.

Domain hinzufügen

So fügen Sie eine neue Domain in der ADONIS Administration hinzu:

  1. Wechseln Sie zu Authentifizierung > LDAP.

  2. Klicken Sie im linken Bereich unter LDAP-Domains auf Erstellen.

Sobald Sie die Domain hinzugefügt haben, können Sie sofort mit der Bearbeitung der Konfiguration beginnen. Führen Sie folgende drei Schritte aus:

  1. Allgemein

  2. User Mapping

  3. Zeitplan

In den folgenden Abschnitten erfahren Sie mehr über diese Schritte.

Allgemein

Auf der ersten Seite der Domain-Konfiguration können Sie allgemeine Einstellungen vornehmen wie beispielsweise den Domain-Namen, die Provider-URL, die Hauptbenutzerdetails und mehr. Folgende Einstellungen sind verfügbar:

  • Rangordnung: Die Reihenfolge, in der Domains für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden.

  • Name: Die Kennung dieser Domain. Dieser Wert muss innerhalb der Domains eindeutig sein. Außerdem wird dieser Name in den Logs angezeigt.

  • Anbieter-URL: Legt die URL für den LDAP-Verzeichnisserver fest. Dieser Wert hat die Form "ldap://host:port". Verwenden Sie IP-Adressen anstelle von Domain-Namen, um eine DNS-Abfrage zu vermeiden.

  • Sicherheitsprotokoll: Wenn Sie LDAPS verwenden, müssen Sie hier SSL aktivieren und ein SSL-Zertifikat (X509) hochladen.

  • Principal: Der Benutzername des Hauptbenutzers zum Nachschlagen aller anderen Benutzer. Dieser Benutzer muss Lesezugriff auf alle Bereiche des Verzeichnisdiensts haben, die in ADONIS verwendet werden.

  • Principal-Domain: Die Domain des Hauptbenutzers.

  • Principal-Format: In diesem Feld wird festgelegt, wie der Benutzername und die Domäne des Auftraggebers für die Authentifizierung beim Verzeichnisdienst zusammengesetzt werden sollen. Platzhalter (%principal%, %principaldomain%) repräsentieren den Anmeldenamen und die Domain. Ihre Anordnung hängt vom verwendeten Verzeichnisdienst ab. Zum Beispiel ist das Format bei Microsoft Active Directory typischerweise %principal%@%principaldomain%, während es bei IBM Tivoli cn=%principal%,%principaldomain% ist (wobei principaldomain einer bestimmten Struktur folgt, z. B. "o=domain.com" ).

  • Passwort: Das Passwort des Hauptbenutzers. Wird verschlüsselt gespeichert.

  • Connection-Timeout: Die maximal zulässige Zeit zum Herstellen einer Verbindung zum Verzeichnis während der Authentifizierung und anderer LDAP-bezogener Anforderungen. Wenn nicht anders festgelegt, beträgt der Standardwert 5000 Millisekunden (5 Sekunden).

  • Eindeutiger Bezeichner: Definieren Sie eine oder mehrere Eigenschaften, die als eindeutige Kennung des Benutzers für den internen Gebrauch dienen. Wenn keine spezifische LDAP-Eigenschaft die Verzeichnisobjekte eindeutig unterscheiden kann, verwenden Sie NAME_IN_NAMESPACE. Sie können mehrere Eigenschaften (durch Kommas getrennt) auflisten für den Fall, dass verschiedene Benutzer unterschiedliche Eigenschaften verwenden (z. B. unterschiedliche Groß-/Kleinschreibung). ADONIS prüft nacheinander jede Eigenschaft für jeden Benutzer, wobei die erste übereinstimmende Eigenschaft als eindeutiger Bezeichner verwendet wird

  • Login-Basis-DN: Die Angabe der Basisdomain, in der sich die Benutzerobjekte befinden.

  • Login-Filter: Diese erforderliche Filteroption enthält einen Platzhalter für den Benutzernamen, der verwendet wird, um das entsprechende Benutzerobjekt im LDAP-Verzeichnis genau zu identifizieren. Die Standardkonfiguration (&(objectClass=user)(sAMAccountName=%username%)) ist in der Regel ausreichend und muss normalerweise nicht angepasst werden. Beim Anmeldeversuch eines Benutzers ersetzt ADONIS %username% automatisch durch den eingegebenen Benutzernamen. Der Filter durchsucht dann das LDAP-Verzeichnis nach einem Benutzerobjekt, dessen sAMAccountName-Attribut mit dem eingegebenen Benutzernamen übereinstimmt. Wenn ein entsprechender Eintrag gefunden wird, bestätigt ADONIS, dass die Anmeldeinformationen einem gültigen Benutzer im Verzeichnis entsprechen. Weitere Informationen zu den zulässigen Filtertypen und Booleschen Operatoren finden Sie im Infotext zu dieser Einstellung.

  • Sync-Filter: Diese Option definiert einen Filter, der bei Synchronisierungsjobs verwendet wird. Er folgt denselben Regeln und Optionen wie Login Filter. Sync-Filter dient als Fallback-Mechanismus für Synchronisierungsjobs, die keinen "Filter"-Parameter spezifizieren. Wenn ein Synchronisierungsjob ohne "Filter"-Parameter konfiguriert ist und kein Sync-Filter definiert ist, wird der Standardfilter (objectClass=user) auf diesen Synchronisationsauftrag angewendet.

  • Sync-Basis-DN: Dieser Parameter gibt den Base Distinguished Name (DN) an, von dem aus Synchronisierungsjobs gestartet werden sollen. Er dient als Fallback für Synchronisierungsjobs, für die kein Startknoten-Parameter definiert ist. Wenn weder Sync-Basis-DN noch Startknoten definiert sind, wird der Wert des Login-Basis-DN-Parameters in der Domain-Konfiguration als standardmäßiger Startpunkt für diesen Synchronisierungsjob verwendet.

  • Login-Bereich: Dieses Parameter gibt den Umfang der Suche im Verzeichnis an. Es bestimmt, wie umfassend die Suche durchgeführt wird. Die verfügbaren Optionen sind:

    • Subtree: (Standard) Durchsucht den gesamten Unterbaum ab dem Stamm- oder Startknoten.

    • One: Durchsucht den aktuellen Knoten und eine zusätzliche Ebene darunter.

    • Object: Durchsucht nur das aktuelle Objekt. Diese Option wird in der Regel nicht empfohlen.

  • Paged Result Control OID: Die Objektkennung (OID) für die Verzeichnisdienstkontrolle, um zu überprüfen, ob paginierte Ergebnisse vom Verzeichnisdienst unterstützt werden oder nicht.

  • Seitengröße: Gibt die Anzahl der Einträge pro Seite an, wenn paginierte Ergebnisse vom Verzeichnisdienst unterstützt werden. Diese Einstellung bestimmt die maximale Anzahl von Ergebnissen, die auf jeder Seite der Suchergebnisse zurückgegeben werden.

  • Standard-Konnektor: Gibt den Konnektor mit LDAP-Kopplung an, der verwendet werden soll, um das User Mapping zu bestimmen, wenn LDAP außerhalb des Kontexts eines spezifischen Konnektors genutzt wird (z. B. bei geplanten Aufgaben). Hinweis: Falls nicht angegeben, verwendet ADONIS den ersten aktiven Konnektor mit aktivierter LDAP-Kopplung für diese Domäne, der ein User Mapping enthält. Wenn kein solcher Konnektor gefunden wird, wird für das User Mapping aus das domänenspezifische User Mapping zurückgegriffen.

  • Fehlende ObjectSID ignorieren: Bestimmt, ob fehlende objectSid-Werte für LDAP-Benutzer ignoriert werden sollen. Standardmäßig werden LDAP-Objekte durch ihre eindeutige LDAP-ID identifiziert, die über das Attribut objectSid abgerufen wird. Wenn diese ID für einen LDAP-Benutzer nicht abgerufen werden kann, werden seine LDAP-Eigenschaften übersprungen, was bedeutet, dass seine Rollen-, Gruppen- und andere Zuordnungen gemäß der Benutzerzuordnung nicht angewendet werden. Dies betrifft sowohl Anmelde- als auch Synchronisierungsaktionen. Wenn diese Option aktiviert ist, werden fehlende objectSid-Werte ignoriert, und die Benutzerdaten werden weiterhin abgerufen, jedoch fehlt dem Benutzer eine eindeutige LDAP-ID in seinen Eigenschaften, was zu Problemen führen kann wie beispielsweise, dass eine Anmeldung bei ADONIS Administration nicht möglich ist. Wenn dieser Parameter deaktiviert ist, werden fehlende objectSid-Werte nicht ignoriert, und die LDAP-Benutzerdaten solcher Benutzer werden übersprungen.

  • Weiterleitung: Konfiguriert, wie Weiterleitungen (Referrals) vom Verzeichnisdienst behandelt werden. Wenn nicht angegeben, wird das Standardverhalten des Verzeichnisdienstes verwendet.

    • ignore: Weiterleitungen ignorieren; Weiterleitungen werden nicht verfolgt.

    • follow: Weiterleitungen automatisch folgen und auflösen.

    • throw: Eine Ausnahme auslösen, wenn eine Weiterleitung erkannt wird.

User Mapping

Auf der zweiten Seite der Domain-Konfiguration können Sie ein User Mapping direkt auf Domain-Ebene festlegen. Dieses User Mapping wird angewendet, wenn sich Benutzer über einen Konnektor anmelden, der kein eigenes User Mapping definiert, oder wenn eine geplante Synchronisation für diese Domain erfolgt und kein Standard-Konnektor konfiguriert ist.

Hinweis

Wie Sie die Einstellungen auf dieser Seite konfigurieren können, wird im Rahmen der Dokumentation zur Konnektor-Konfiguration erklärt. Details entnehmen Sie bitte dem Abschnitt User Mapping.

Zeitplan

Die dritte Seite der Domain-Konfiguration ermöglicht es Ihnen, die Benutzer-Synchronisation mit LDAP zu automatisieren, indem Sie einen Zeitplan für eine bestimmte Domain festlegen.

Hinweis

Zusätzlich können Sie in den allgemeinen LDAP-Einstellungen die Synchronisation für alle Domains gleichzeitig konfigurieren. Der Konfigurationsprozess ist für beide Optionen gleich.

Folgende Einstellungen sind verfügbar:

  • Name: Ein Name für diesen Job (für die Rückverfolgbarkeit in den Log-Dateien).

  • Filter: Ein optionaler Parameter zur Verfeinerung der Suchkriterien im Verzeichnisdienst. Wenn kein spezifischer Filter für einen Synchronisierungsjob angegeben ist, wird der Wert aus der Einstellung Sync-Filter in der Domain-Konfiguration als Fallback verwendet. Falls weder ein spezifischer Filter noch ein Fallback-Filter festgelegt ist, wird der Standardfilter (objectClass=user) angewendet, um nur Benutzerobjekte abzurufen.

  • Startknoten: Definieren Sie den Knoten in der Baumstruktur des Verzeichnisdiensts, der als Ausgangspunkt für Suchen nach Benutzern verwendet werden soll. Der Parameter Sync-Basis-DN wird als Fallback verwendet, wenn für den Synchronisationsjob das Attribut Startknoten nicht definiert ist. Wenn weder Sync-Basis-DN noch Startknoten definiert sind, wird ersatzhalber der Parameter Login-Basis-DN ausgewertet.

  • Typ: Wählen Sie die Zeiteinheit für den Synchronisierungszeitplan aus. Zu den verfügbaren Optionen gehören sekündlich, minütlich, stündlich, täglich, wöchentlich oder jährlich.

  • Intervall: Definieren Sie die Häufigkeit der Synchronisation. Legen Sie fest, wie viele Zeiteinheiten zwischen jeder Wiederholung des Jobs verstreichen müssen. Diese Einstellung funktioniert in Verbindung mit der Option Typ und ist kompatibel mit sekündlich, minütlich, stündlich und jährlich.

  • Beginnt um: Optionales Startdatum, ab dem der Zeitplan aktiv werden soll. Standardmäßig ist der Zeitplan sofort aktiv.

  • Endet um: Optionales Enddatum, ab dem der Zeitplan inaktiv wird. Nach diesem Datum ist der Zeitplan nicht mehr aktiv.

  • CRON-Daten des Zeitplans: Mit diesem Parameter können Sie den Synchronisierungsjob zu festen Zeiten oder Daten regelmäßig planen. Er funktioniert in Verbindung mit der Option Typ und ist kompatibel mit Tagen, Wochen und Monaten. Er umfasst die folgenden Eigenschaften:

    • Tag des Monats: Geben Sie den Tag des Monats an, an dem der Job ausgeführt werden soll. Erlaubte Werte reichen von 1 bis 31.

    • Wochentage: Wählen Sie einen oder mehrere Wochentage aus, an denen der Job ausgeführt werden soll.

    • Ausführungszeit: Definieren Sie die genaue Stunde und Minute, zu der der Job gestartet werden soll.

Domains anpassen

Domains lassen sich bearbeiten, löschen und mehr:

  1. Wechseln Sie zu Authentifizierung > LDAP.

  2. Suchen Sie im linken Bereich unter LDAP-Domains nach der Domain, die Sie anpassen möchten.

Führen Sie dann eine der folgenden Aktionen aus:

  • Domain bearbeiten

    Bewegen Sie den Mauszeiger auf die Domain, klicken Sie auf Mehr, und dann auf Bearbeiten. Jetzt können Sie die Domain konfigurieren.

  • Domain löschen

    Bewegen Sie den Mauszeiger auf die Domain, klicken Sie auf Mehr, und dann auf Löschen.

  • Rangordnung erhöhen oder verringern

    Wenn mehrere Domains aktiviert sind, können Sie die Reihenfolge anpassen, in der sie für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden sollen. Verwenden Sie den Ziehpunkt (), um eine Domain an eine neue Position zu ziehen. Oder bewegen Sie den Mauszeiger auf die Domain, klicken Sie auf Mehr, und dann auf Rangordnung erhöhen oder Rangordnung verringern.

LDAP-Einstellungen konfigurieren

So ändern Sie die allgemeinen LDAP-Einstellungen für alle Domains:

  1. Wechseln Sie zu Authentifizierung > LDAP.

  2. Passen Sie im rechten Bereich unter LDAP-Einstellungen die Einstellungen in den Abschnitten Allgemein, Umgebung, Eigenschaften und Zeitplan an.

Folgende Einstellungen sind verfügbar:

  • Allgemein

    • Aktiviert: Schalten Sie den LDAP-Mechanismus global ein oder aus. Beachten Sie, dass eine LDAP-Kopplung für einen Konnektor nur funktioniert, wenn diese Einstellung aktiviert ist.

    • Client-Aktionen erlauben : Legt fest, ob clientseitige LDAP-Anfragen erlaubt sein sollen oder nicht. Diese Einstellung steuert, ob folgenden Aktionen manuell in der ADONIS Administration angestoßen werden können (siehe Server für weitere Informationen):

      • LDAP-Synchronisation starten

      • LDAP Cache leeren

    • Standard-Domain: Geben Sie die Domain an, die für die Authentifizierung und die Abfrage von Benutzerdaten verwendet werden soll, wenn keine andere Domäne angegeben ist.

    • Authentifizierungsmodus: Eine optionale Einstellung, die das Sicherheitsniveau für die Authentifizierung festlegt. Mögliche Werte sind "none" (keine), "simple" (einfach) oder "strong" (stark). Wenn diese Option nicht angegeben wird, richtet sich das Verhalten nach den Standardeinstellungen des Dienstanbieters.

    • Context Factory: Legt den Namen der Hauptklasse fest, die LDAP implementiert. Wenn Sie die LDAP-Implementierung von JavaSoft verwenden, sollte der Wert auf com.sun.jndi.ldap.LdapCtxFactory gesetzt werden. Ändern Sie diese Einstellung nur, wenn dies für Ihre spezifische LDAP-Konfiguration erforderlich ist.

    • URL-Package-Präfixe: Diese Eigenschaft legt die Liste der Paket-Präfixe fest, die beim Laden von URL-Kontextfabriken verwendet werden sollen. Der Wert sollte eine durch Doppelpunkte getrennte Liste von Paketpräfixen für den Klassennamen der Fabrikklasse sein, die eine URL-Kontextfabrik erstellt. Ändern Sie diese Einstellung nur, wenn dies für Ihre spezifische LDAP-Konfiguration erforderlich ist.

  • Umgebung: Eine Liste zusätzlicher Eigenschaften, die bei der Erstellung des initialen LDAP-Kontexts verwendet werden. Diese Eigenschaften helfen dabei, die LDAP-Umgebung und Verbindungseinstellungen anzupassen. Weitere Informationen finden Sie in der Dokumentation zu javax.naming.Context. Ändern Sie diese Einstellung nur, wenn dies für Ihre spezifische LDAP-Konfiguration erforderlich ist.

  • Eigenschaften: Diese Eigenschaften definieren das Basisset von Attributen, die über LDAP abgerufen werden. Wenn eine LDAP-Kopplung aktiviert ist, können zusätzliche konnektor-spezifische LDAP-Eigenschaften abgerufen werden. Alle Eigenschaften, die in Domain-Konfigurationen verwendet werden sollen, um ein User-Mapping direkt auf Domain-Ebene einzurichten, müssen in diese Liste aufgenommen werden.

  • Zeitplan: Richten Sie eine automatische Benutzer-Synchronisation mit LDAP für alle Domains gleichzeitig ein.

Hinweis

Zusätzlich können Sie die Synchronisation auch für eine spezifische Domain direkt in der Domain-Konfiguration einrichten. Der Konfigurationsprozess ist für beide Optionen gleich. Weitere Informationen zu den verfügbaren Einstellungen finden Sie im Abschnitt Zeitplan in der Dokumentation zur Domain-Konfiguration.

SAML

Die Seite SAML ermöglicht die Konfiguration der erforderlichen Parameter, um SAML-Authentifizierung zu aktivieren. Diese Einstellungen definieren, wie ADONIS mit Ihrem SAML Identity Provider (IdP) kommuniziert.

Folgende Einstellungen sind verfügbar:

  • Issuer-Name: Geben Sie eine eindeutige ID ein, mit der sich ADONIS gegenüber dem IdP identifiziert. Der Wert muss mit der ID übereinstimmen, die auf IdP-Seite für ADONIS konfiguriert ist. Für Microsoft Entra ID muss er beispielsweise mit dem Bezeichner (Entitäts-ID) übereinstimmen.

  • Assertion Consumer-URL: Legen Sie die URL fest, unter der ADONIS den Empfang des Authentifizierungstokens vom IdP erwartet. Geben Sie die HTTPS-URL von ADONIS ein und fügen Sie "/auth.view" hinzu, wobei Sie folgendes Format verwenden: "https://<SERVER_NAME>:<TOMCAT_PORT>/ADONIS16_1/auth.view". Der Wert muss mit der Antwort-URL übereinstimmen, die auf IdP-Seite für ADONIS konfiguriert ist. Für Microsoft Entra ID muss er beispielsweise der Antwort-URL (Assertionsverbraucherdienst-URL entsprechen.

  • Token-Signierung: Konfigurieren Sie die Einstellungen für das Signieren von SAML-Tokens, um die Integrität und Authentizität der zwischen ADONIS und dem Identity Provider (IdP) ausgetauschten Daten sicherzustellen.

    Um das Signieren von Tokens in ADONIS zu aktivieren, ist ein SSL-Zertifikat für den Service Provider (SP) erforderlich. Sie können hierfür ein selbstsigniertes Zertifikat mit dem Java-Keytool erstellen.

    • Keystore-Alias: Geben Sie das im KeyStore hinterlegte Alias für das Zertifikat des SP für die Token-Signierung ein.

    • Keystore-Datei: Klicken Sie auf Durchsuchen, um die KeyStore-Datei hochzuladen, die das Zertifikat des SP für die Token-Signierung enthält.

    • Keystore-Passwort: Geben Sie das Passwort für den Zugriff auf den KeyStore ein. Das Passwort wird verschlüsselt gespeichert.

  • Assertion-Entschlüsselung: Wurde Ihr IdP zur Verbesserung der Sicherheit für die Verschlüsselung von SAML-Assertionen konfiguriert? Dann konfigurieren Sie die Einstellungen für das Entschlüsseln von SAML-Assertionen in ADONIS.

    Um die Entschlüsselung von Assertionen in ADONIS zu aktivieren, ist ein SSL-Zertifikat für den Service Provider (SP) erforderlich. Dieses Zertifikat kann identisch mit dem Zertifikat des SP für die Token-Signierung sein.

    • Aktiviert: Aktivieren Sie diese Option, damit ADONIS eingehende verschlüsselte Assertionen vom IdP entschlüsseln kann.

    • Keystore-Alias: Geben Sie das im KeyStore hinterlegte Alias für das Zertifikat des SP für die Assertion-Entschlüsselung ein.

    • Keystore-Datei: Klicken Sie auf Durchsuchen, um die KeyStore-Datei hochzuladen, die das Zertifikat des SP für die Assertion-Entschlüsselung enthält.

    • Keystore-Passwort: Geben Sie das Passwort für den Zugriff auf den KeyStore ein. Das Passwort wird verschlüsselt gespeichert.

JWT

Auf der Seite JWT können Sie JWT-Authentifizierung für REST-Anfragen konfigurieren.

Hinweis

Wie Sie die Einstellungen auf der Seite JWT konfigurieren können, wird im Rahmen der REST-API-Dokumentation erklärt. Details entnehmen Sie bitte dem Abschnitt JWT Authentifizierung für ADONIS aktivieren.

OAuth 2.0

Auf der Seite OAuth 2.0 können Sie OAuth 2.0 Authentifizierung für REST-Anfragen konfigurieren.

Hinweis

Wie Sie die Einstellungen auf der Seite OAuth 2.0 konfigurieren können, wird im Rahmen der REST-API-Dokumentation erklärt. Details entnehmen Sie bitte dem Abschnitt OAuth 2.0 für ADONIS aktivieren.

Weitere Tools

Auf der Seite Authentifizierung finden Sie Werkzeuge zur Konfiguration von Lizenzwarnungen, Sicherheitseinstellungen und allgemeinen Authentifizierungseinstellungen:

Lizenzwarnungen

So konfigurieren Sie Lizenzwarnungen - automatische E-Mail-Benachrichtigungen, wenn die meisten verfügbaren Named Use-Benutzer für ein bestimmtes Szenario bereits zugewiesen sind und Maßnahmen zur Erweiterung der Lizenz ergriffen werden sollten:

  • Wechseln Sie zu Authentifizierung > Weitere Optionen, und klicken Sie dann auf Lizenzwarnungen.

Passen Sie folgende Parameter an und speichern Sie danach die Änderungen:

  • E-Mail des Benachrichtigungsempfängers

    Geben Sie die E-Mail-Adresse ein, die die Benachrichtigungen erhalten soll.

  • Benachrichtigungs-Threshold

    Legen Sie den Schwellenwert für die Benachrichtigung fest. Geben Sie den Prozentsatz der bereits zugewiesenen Named Use-Benutzer für ein bestimmtes Szenario an, bei dessen Überschreitung eine Lizenzwarnung ausgelöst wird.

  • Bei Überschreitung des Thresholds benachrichtigen

    Legen Sie fest, ob eine Benachrichtigung gesendet wird, wenn die Anzahl der Named Use-Benutzer für ein Szenario den konfigurierten Schwellenwert überschritten hat.

  • Bei Threshold-Recovery benachrichtigen

    Legen Sie fest, ob eine Benachrichtigung gesendet wird, wenn die Anzahl der Named Use-Benutzer für ein Szenario unter den konfigurierten Schwellenwert gefallen ist.

Verfügbarkeit

Diese Funktionalität ist verfügbar, wenn die Mail-Komponente konfiguriert ist.

Hinweis

Details zur Konfiguration der Mail-Komponente entnehmen Sie bitte dem Abschnitt E-Mail.

Sicherheitseinstellungen

So ändern Sie die Sicherheitseinstellungen für Authentifizierung:

  1. Wechseln Sie zu Authentifizierung > Weitere Optionen, und klicken Sie dann auf Allgemeine Einstellungen

  2. Passen Sie die Einstellungen in den Abschnitten Allgemein, Brute-Force, Reauthentifizierung, REST und Org-Portal IP-Beschränkungen an.

Folgende Einstellungen sind verfügbar:

  • Allgemein

    • CORS erlauben: Aktivieren Sie diese Option, um OAuth 2.0-Authentifizierungsanfragen von dem Modul ADONIS Process Manager for Confluence zuzulassen.
  • Brute-Force: Konfigurieren Sie Einstellungen zum Schutz vor Brute-Force-Angriffen für reguläre Anmeldeversuche an ADONIS durch Benutzer (siehe Schutz vor Brute-Force-Angriffen konfigurieren)

  • Reauthentifizierung

    • Aktiviert: Aktivieren Sie diese Option, um Reauthentifizierung zu ermöglichen. Reauthentifizierung kann zum Schutz bestimmter kritischer Geschäftsaktionen in ADONIS per Customising eingerichtet werden.

    • Brute Force: Konfigurieren Sie Einstellungen zum Schutz vor Brute-Force-Angriffen für Reauthentifizierungsversuche (siehe Schutz vor Brute-Force-Angriffen konfigurieren).

  • REST

    • CORS erlauben: Aktivieren Sie diese Option, um Authentifizierungsanfragen von dem Modul ADONIS Process Manager for Confluence zuzulassen.

    • Brute Force: Konfigurieren Sie Einstellungen zum Schutz vor Brute-Force-Angriffen für Anmeldeversuche über die ADONIS REST-API (siehe Schutz vor Brute-Force-Angriffen konfigurieren).

    • Basicauth IP-Beschränkungen: Legen Sie die IP-Adressen fest, die Anforderungen mit Basic Authentication an die ADONIS REST API senden dürfen (siehe IP-Beschränkungen konfigurieren)

    • Basicauth-Rollen: Wählen Sie optional die System-Rollen aus, von denen ein Benutzer mindestens eine haben muss, damit er die ADONIS REST API mit Basic Authentication verwenden darf. Wenn keine System-Rolle ausgewählt ist, erlauben alle System-Rollen Zugriff auf die API.

  • Org-Portal IP-Beschränkungen: Legen Sie die IP-Adressen fest, die auf das Organisationsportal zugreifen dürfen (siehe IP-Beschränkungen konfigurieren).

Schutz vor Brute-Force-Angriffen konfigurieren

ADONIS verfügt über einen Mechanismus, der verhindert, dass Brute-Force-Angriffe Zugriff auf Anmeldeinformationen erhalten. Nach einer festgelegten Anzahl von fehlgeschlagenen Anmeldeversuchen wird die Anmeldung an ADONIS blockiert und dem Benutzer eine Nachricht angezeigt. So passen Sie die Einstellungen zum Schutz vor Brute-Force-Angriffen an:

Sie können Einstellungen zum Schutz vor Brute-Force-Angriffen auf den folgenden Ebenen konfigurieren:

  • Brute-Force: Einstellungen für reguläre Anmeldeversuche an ADONIS durch Benutzer.

  • Reauthentifizierung: Einstellungen für Reauthentifizierungsversuche. Reauthentifizierung kann die zum Schutz bestimmter kritischer Geschäftsaktionen in ADONIS per Customising eingerichtet werden kann.

  • REST: Einstellungen für Anmeldeversuche über die REST-API, die den authentifizierten Zugriff auf exponierte Funktionalität in ADONIS ermöglicht.

Passen Sie folgende Parameter an und speichern Sie danach die Änderungen.

  • Sleeptime nach maximalen Versuchen pro IP

    Die Zeitdauer (in Millisekunden), für die Anmeldeversuche von einer IP-Adresse nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt werden. Der Standardwert ist 60 000 Millisekunden (= 1 Minute).

  • Sleeptime nach maximalen Versuchen insgesamt

    Die Zeitdauer (in Millisekunden), für die Anmeldeversuche für alle Benutzer nach einer bestimmten Anzahl insgesamt fehlgeschlagener Anmeldeversuche gesperrt werden. Der Standardwert ist 30 000 Millisekunden (= 30 Sekunden).

  • Benutzer Clean-Up-Threshold

    Zeitraum (in Millisekunden), in dem fehlgeschlagene Anmeldeversuche von einem Benutzernamen berücksichtigt werden. Der Standardwert ist 600 000 Millisekunden (= 10 Minuten).

  • IP Clean-Up-Threshold

    Zeitraum (in Millisekunden), in dem fehlgeschlagene Anmeldeversuche von einer IP-Adresse berücksichtigt werden. Der Standardwert ist 10 800 000 Millisekunden (= 3 Stunden).

  • Clean-Up-Zeitraum

    Zeitraum (in Millisekunden), in dem fehlgeschlagene Anmeldeversuche von allen Benutzern berücksichtigt werden. Der Standardwert ist 60 000 Millisekunden (= 1 Minute).

  • Maximale Versuche pro IP

    Die maximale Anzahl fehlgeschlagener Anmeldeversuche, bevor eine IP-Adresse für eine bestimmte Zeit gesperrt wird. Der Standardwert ist 75 Mal.

  • Maximale Versuche pro Benutzername

    Die maximale Anzahl fehlgeschlagener Anmeldeversuche, bevor ein Benutzername für 10 Minuten gesperrt wird. Der Standardwert ist 15 Mal.

  • Maximale Versuche insgesamt

    Die maximale Anzahl der insgesamt fehlgeschlagenen Anmeldeversuche, bevor alle Benutzer für eine bestimmte Zeit gesperrt werden. Der Standardwert ist 150 Mal.

Beispiel

Nach 75 fehlgeschlagenen Anmeldeversuchen von einer IP-Adresse [Maximale Versuche pro IP] innerhalb von 3 Stunden [IP Clean-Up-Threshold] müssen Benutzer mit dieser IP-Adresse eine Minute warten [Sleeptime nach maximalen Versuchen pro IP].

IP-Beschränkungen konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie IP-Beschränkungen auf folgenden Ebenen konfigurieren können:

  • Basicauth IP-Beschränkungen: Steuern Sie, welche IP-Adressen Anfragen mit Basic Authentication an die ADONIS REST API senden dürfen.

  • Org-Portal IP-Beschränkungen: Steuern Sie, welche IP-Adressen auf das Organisationsportal zugreifen dürfen.

Konfiguration

So konfigurieren Sie eine IP-Beschränkung:

  1. Klicken Sie auf IP-Beschränkung hinzufügen, um eine neue Regel zu erstellen.

  2. Wählen Sie unter Modus die Option Erlauben oder Verweigern aus, um festzulegen, ob die Regel den Zugriff erlaubt oder blockiert.

  3. Wählen Sie unter Anwenden auf die Option Alle aus, um die Regel auf alle IP-Adressen anzuwenden. Alternativ können Sie die Option Benutzerdefinierte IP auswählen, um bestimmte IP-Adressen oder Bereiche festzulegen. Wenn Benutzerdefinierte IP ausgewählt ist, können Sie entweder eine einzelne IP-Adresse eingeben (z.B. 192.168.1.1) oder ein Wildcard-Format verwenden (z.B. 192.168.*), um einen größeren Adressbereich abzudecken.

Wie IP-Beschränkungen funktionieren

Beachten Sie Folgendes bei der Konfiguration von IP-Beschränkungen:

  • Wenn IP-Beschränkungen vorhanden sind, aber keine Übereinstimmung erfolgt, ist die Standardaktion "verweigern".

  • Wenn keine IP-Beschränkungen vorhanden sind, hängt das Standardverhalten von der Funktion ab:

    • Basicauth IP-Beschränkungen: Standard ist "verweigern"

    • Org-Portal IP-Beschränkungen: Standard ist "erlauben"

  • Die erste zutreffende Regel entscheidet. Angenommen, Sie fügen folgende IP- Beschränkungen hinzu:

    • Modus: Erlauben, Anwenden auf: 192.*

    • Modus: Verweigern, Anwenden auf: 192.168.0.1

    In diesem Fall hätte die "Verweigern"-Regel keine Auswirkung, da die "Erlauben"-Regel bereits auf die Adresse 192.168.0.1 zutrifft.

Beispiel

Um alle mit 192. beginnenden IP-Adressen zu verweigern, die IP-Adresse 193.168.0.1 zu verweigern, und alle anderen IP-Adressen zu erlauben:

Modus: Verweigern, Anwenden auf: 192.*

Modus: Verweigern, Anwenden auf: 193.168.0.1

Modus: Erlauben, Anwenden auf: Alle

Um alle mit 178. beginnenden IP-Adressen außer 178.6.6.6 zu erlauben, und alle anderen IP-Adressen zu verweigern:

Modus: Verweigern, Anwenden auf: 178.6.6.6

Modus: Erlauben, Anwenden auf: 178.*

Modus: Verweigern, Anwenden auf: Alle

Allgemeine Einstellungen

So ändern Sie die allgemeinen Authentifizierungseinstellungen:

  • Wechseln Sie zu Authentifizierung > Weitere Optionen, und klicken Sie dann auf Allgemeine Einstellungen

Folgende Einstellungen sind verfügbar:

  • Tracing

    Aktivieren Sie eine Ablaufverfolgung für die Authentifizierung, damit zusätzliche Authentifizierungsdetails in den Web-Server-Logs protokolliert werden. Dies ist in der Setup-Phase für Authentifizierungsmechanismen wie SAML nützlich. Die Ablaufverfolgung wird beim Neustart des Web-Servers automatisch deaktiviert.

  • Konfiguration zurücksetzen

    Setzen Sie die Authentifizierungseinstellungen auf die Werkseinstellungen zurück. Alle zuvor vorgenommenen Änderungen gehen dabei verloren.