LDAP-Authentifizierung

Neben der herkömmlichen Authentifizierung mit dem Benutzernamen und dazugehörigen Passwort, gibt es in VertiGIS FM die Möglichkeit, sich über das Lightweight Directory Access Protocol (LDAP) zu registrieren.

Ein Verwenden dieser Authentifizierungsmethode erspart dem Benutzer die zusätzliche Anmeldung über die VertiGIS FM Login-Maske, da an dieser Stelle die Windows-Integrierte Authentifizierung (Windows Login) verwendet wird.

Dadurch kann sehr einfach ein vollwertiges Single-Sign-On (SSO) Szenario in Windows Netzwerken erreicht werden.

 

toc_openbookLDAP-Konfiguration in VertiGIS FM

Die Einstellungen zu LDAP, können in VertiGIS FM unter Verwaltung > Schnittstellen > LDAP Authentifizierung vorgenommen werden. Wichtig sind hier die Angaben

einer LDAP Server URL inkl. Port (Standard ist 389), bei Verwendung von LDAPS mit TLS-Verschlüsselung (Standard ist 636)

des Service Users (Domäne\Windows Benutzer) sowie Passwort

des Rollen Basisverzeichnis und

das Benutzer Basisverzeichnis.

 

Service User

Der Service User ist ein lesender Benutzer, der am LDAP-Server die Benutzer auf Gültigkeit prüft. Beim Service User sollte auf das Ablaufdatum des Passworts geachtet werden. Ein abgelaufenes Passwort würde die Anmeldung für alle Benutzer blockieren.

 

Standardrolle

Mit der Angabe einer Standardrolle kann die Rollenzuordnung mit einer gewünschten Rolle übersteuert werden. Die Vergabe einer Standardrolle macht nur Sinn, wenn kein Rollenabgleich aktiv ist, denn sonst werden die Rollen aus dem AD übernommen.

 

Standard-User

Bei der Erstanmeldung eines Benutzers werden alle Einstellungen des angegebenen Standard-Users kopiert.

 

Rollen-Referrals-/Benutzer-Referrals ignorieren

Die Option Benutzer-Referrals ignorieren dienen dazu, beim Durchsuchen des LDAP-Verzeichnisses vorhandene Verweise zu ignorieren.

LDAP-Konfiguration

LDAP-Konfiguration

 

icon_comment

Die nötigen Angaben sind in einem Windows Active Directory nicht offensichtlich. Sie können am Server sichtbar gemacht werden über Verwaltung > Active Directory-Benutzer und -Computer. Hier müssen unter Ansicht Erweiterte Features aktiviert werden. Dann kann man in den Eigenschaften eines Verzeichnis-Elementes unter Attribut-Editor die Werte auslesen. Optional können auch LDAP-Browser von Drittherstellern behilflich sein.

Die Benutzer-Rollen müssen vor Aktivierung des LDAP in VertiGIS FM angelegt und mit Rechten versehen werden. Der Name der Rolle muss genau dem Gruppen-Namen im LDAP-Verzeichnis entsprechen.

Wenn das nicht beachtet wird, werden die Benutzer keiner Rolle zugeordnet und haben damit auch keine Rechte mehr. Eine Administration ist damit nicht mehr möglich!

In dem Fall kann der Administrator nur die Windows-Authentifizierung auf dem VertiGIS FM Server wieder deaktivieren und die normale Admin-Anmeldung verwenden.

 

Beispiel für die Windows-Domäne KMS.local auf dem Server KMS10

URL

LDAP://VertiGIS.VertiGIS.local/ bzw. LDAPS://VertiGIS.VertiGIS.local/

 

Service-User

VertiGIS\Administrator + Password

 

Rollen-Basis

 

 

OU=VertiGIS-Gruppen

DC=VertiGIS

DC=local

> z.B. alle Gruppen und User

 

 

oder

 

 

CN= VertiGIS FM-Gruppe

OU=VertiGIS-Gruppen

DC=VertiGIS, DC=local

> nur Gruppe VertiGIS FM-Gruppe + enthaltene User

 

 

Benutzer-Basis
 

 

OU=VertiGIS-User

DC=VertiGIS, DC=local

 

 

Führen Sie einen Test durch

Der Test liefert eine Logdatei mit Gruppen und Benutzern aus dem angegebenen Basisverzeichnis oder mit einer Fehlermeldung wenn die Einstellungen nicht korrekt sind (siehe Schema unten). Der Logdatei können die Benutzer (usr) und die Gruppen-Namen (grp) entnommen werden.

Beispiel-Schema mit Gruppen und Benutzern (oder mit Fehlermeldung)

grp

 

 

 

VertiGIS FM-Gruppe (LDAP://VertiGIS.VertiGIS.local/CN=VertiGIS FM-Gruppe

OU=VertiGIS-Gruppen

DC=VertiGIS

DC=local)

usr

VertiGIS\xyzUser – Vorname Nachname

icon_comment

Zum Testen LDAP noch nicht aktiv setzen!

Nach erfolgreichem Test und dem Anlegen von Rollen setzen Sie LDAP aktiv und Übernehmen bzw. Speichern die Einstellungen.
toc_openbookBenutzer aus dem Active Directory übernehmen

Sobald der LDAP-Abgleich Aktiv gesetzt wurde, gibt es in der Benutzerverwaltung die Möglichkeit, Benutzer aus dem AD zu importieren. Damit werden alle Benutzer aus dem Benutzerbasisverzeichnis ausgelesen und als Mitarbeiter und Benutzer angelegt. Wenn der Rollen-Abgleich ebenfalls aktiv ist, werden nur Benutzer angelegt, die auch im Rollenbasisverzeichnis enthalten sind.

icon_warning

ACHTUNG!

Je nachdem wie hoch das Benutzerbasisverzeichnis in der Hierarchie des AD gewählt wurde, kann der Import recht lange dauern, wenn viele Mitarbeiter davon betroffen sind.

Über einen Scheduler kann auch regelmäßig (z.B. jede Nacht) ein automatischer Abgleich der Nutzerdaten aus dem AD durchgeführt werden. Zur Konfiguration wenden Sie sich bitte an Ihren Systemadministrator oder Ihren Kundenansprechpartner.
toc_openbookEinstellung der Windows-Funktionen/Features für eine korrekte IIS-Konfiguration

Um die IIS-Konfigurationen problemlos durchführen zu können, muss die Windows-Authentifizierung aktiviert sein. Dies ist über Systemsteuerung > Windows-Funktionen aktivieren oder deaktivieren (Windows 7) bzw. Windows-Features (Windows 8.1) zu bewerkstelligen. Bei Änderungen den Anwendungspool neu starten.

Windows-Funktionen bzw. Windows-Features

Windows-Funktionen bzw. Windows-Features
Klicken, um aufzuklappen!Konfiguration des Internet Information Service (IIS)

Generell erfolgt eine Authentifizierung über die Windows-Integrierte Authentifizierungsfunktion, bei der die Rollen für den authentifizierten Benutzer an das LDAP-System übertragen werden. Folglich muss diese Windows-Integrierte Authentifizierung (NTLM) im IIS-Manager eingerichtet und aktiviert werden.

Hierfür wird der IIS-Manager über die Windows-Suche oder über die Systemsteuerung > Verwaltung > Internetinformationsdienste (IIS)-Manager aufgerufen.

Im IIS-Manager wird auf die entsprechende VertiGIS FM-Website - z.B. Sites > Default Web Site > VertiGIS FM navigiert, sodass alle Einstellungskategorien ersichtlich sind.

In der Kategorie Anwendungseinstellungen muss der Wert für die Anwendung mit dem Namen GeoManLogin.NTEnabled von false auf true gesetzt werden.

IIS-Anwendungseinstellungen & NTEnabled

IIS-Anwendungseinstellungen & NTEnabled

 

 

Im nächsten Schritt, wird zur Ansicht Inhalt gewechselt. Dies wird mit einem RechtsKlick auf die Web Site VertiGIS FM > Zur Ansicht Inhalt wechseln bewerkstelligt.

Resultat dieser Ansicht ist eine Anzeige aller Dateien der VertiGIS FM Installation. Die Datei GeoManLogin.aspx selektieren und über Rechtsklick > Zur Ansicht Features wechseln zur Feature-Ansicht der Datei wechseln.

Hier unter Authentifizierung zusätzlich zu Anonym und Formularauthentifizierung die Windows-Authentifizierung aktivieren.

GeoManLogin - Windows Authentifizierung

GeoManLogin - Windows Authentifizierung

 

 

Zusätzlich muss noch der Anbieter NTLM auf die oberste Ebene verschoben werden (Rechtsklick auf Windows-Authentifizierung > Anbieter > Anbieter NTLM nach oben verschieben).

 

Sie können nun ihren Browser neu starten und VertiGIS FM aufrufen. Der aktuelle Windows-Benutzer wird über LDAP gesucht und als neuer Benutzer im VertiGIS FM eingetragen. Es erscheint keine Login-Seite mehr.

 

icon_comment

GIS-Widget Konfiguration:

Wird WebOffice als GIS-Widget eingebunden, sollte auch in WebOffice die Authentifizierung mit LDAP konfiguriert sein. In diesem Fall muss im VertiGIS FM unter Verwaltung > GIS-Widget > Basiseinstellung > Windows Authentication aktiviert werden. Für die fehlerfreie Kartendarstellung auf VertiGIS FM-Berichten muss sich die AppPool-Identität (Windows-Benutzer), die im Internet Information Server (IIS) eingerichtet ist, in WebOffice anmelden können und die entsprechenden Rechte besitzen.

 

Einstellung im InternetExplorer:

Internetoptionen > Sicherheit > Stufe anpassen: Benutzerauthentifizierung > Anmeldung: Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

 

Sicherheitseinstellungen Internet Explorer

Sicherheitseinstellungen Internet Explorer

 

Einstellung in Firefox:

NTLM Authentifizierung im Firefox aktivieren.

about:config in der Adressleiste eingeben und nach ntlm suchen, dann die jeweilige Website als Wert unter network.automatic-ntlm-auth.trusted-uris definieren.

Infostand: Mozilla Firefox v32

 

NTML Authentifizierung im Firefox

NTML Authentifizierung im Firefox
toc_openbookAnmeldung an VertiGIS FM außerhalb des Firmennetzwerkes bei konfigurierter Windows-Authentifizierung

Das von VertiGIS FM vollwertig unterstützte Single-Sign-On (SSO) Szenario kann nur innerhalb des Firmennetzwerks genutzt werden. Der Zugriff auf VertiGIS FM kann aber, wenn erwünscht, auch von außerhalb des Firmennetzwerks erfolgen. Eine spezielle Konfiguration ist dafür nicht notwendig. Die externen VertiGIS FM Benutzer die nicht im Firmeninternen Verzeichnisdienst (Active Directory) geführt werden, müssen in der Verwaltung > Rollen/Rechte > Benutzerverwaltung als Benutzer inklusive Passwort erfasst sein.

Anmeldung für Firmenmitarbeiter mit Windows Login

Beim Start von VertiGIS FM außerhalb Ihres Firmennetzwerks, werden Sie vom Browser zur Eingabe Ihrer Login-Daten aufgefordert. Geben Sie hier ihre Windows Anmeldedaten an, um sich anzumelden.

NTLogin_extern_1

Anmeldung für externe Benutzer (z.B. für Dienstleister)

Beim Start von VertiGIS FM außerhalb des vorgesehenen Firmennetzwerks, werden Sie vom Browser zur Eingabe von Login-Daten aufgefordert. Die Anmeldung kann nur von Benutzern genutzt werden, die im Firmeninternen Verzeichnisdienst (Active Directory) geführt werden. Klicken Sie daher auf Abbrechen und gelangen Sie auf die Standard VertiGIS FM Login-Seite. Melden Sie Sich mit Ihren VertiGIS FM Anmeldedaten an.

NTLogin_extern_2

icon_comment

Dieses Anmeldeszenario wird vom Internet Explorer aktuell nicht unterstützt, es ist daher einer der folgenden Browser notwendig: Microsoft Edge, Google Chrome, Mozilla Firefox oder Safari for iOS.
toc_openbookFAQ

Eine Gruppe wird im Active Drectory (AD) angelegt, Benutzer werden übernommen und dann im VertiGIS FM in Rollen eingeteilt – geht das oder wird das immer wieder überschrieben?

Geht, wenn keine Standardrolle hinterlegt ist und der Rollenabgleich nicht aktiv gesetzt wird

 

Funktion der Option Einstellungen immer überschreiben

Diese Einstellung bewirkt, dass bei jeder Anmeldung die Benutzerspezifischen Einstellungen des Standardbenutzers übernommen werden. Wenn die Option nicht aktiviert ist, werden die Einstellungen des Standard-Benutzers nur bei der Erstanmeldung übernommen, danach nicht mehr.

Gilt nur für den Standardbenutzer, nicht Standardrolle.

 

Wenn der Rollenabgleich nicht aktiv ist, welche Rolle bekommen die Benutzer dann? Die Standardrolle?

Ja, wenn eine eingetragen ist, sonst keine.

Wenn eine Standardrolle eingetragen ist, wird der Benutzer auch bei jedem Anmelden wieder mit der Rolle überschrieben.

Wenn die Rollenzuordnung im VertiGIS FM passieren soll, dann Standardrolle freilassen.

 

Wofür wird die Mitarbeiter SID im VertiGIS FM benötigt? Eindeutiger Schlüssel zum Anlegen von Mitarbeitern?

Ja, kann gleich der Benutzer SID sein. Die SID ist ein eindeutiger Schlüssel aus dem AD.

 

Was sind LDAP-Rollen?

Die Rollen im VertiGIS FM entsprechen den Gruppen im Active Directory (Rollen = Gruppen).

 

Welche Auswirkungen hat das Rollen-Basisverzeichnis?

Das Rollen-Basisverzeichnis ist das oberste Verzeichnis am LDAP-Server unter dem die Gruppen und Benutzer angelegt sind.

 

Welche Auswirkungen hat die Einstellung Rollenabgleich aktiv?

Rollenabgleich aktiv:

oBei der Anmeldung eines Benutzers wird geprüft, ob sich dieser im Benutzerbasisverzeichnis befindet

wenn NEIN: Fehler bei der Anmeldung

wenn JA: es wird geprüft, ob der Benutzer zu einer AD-Gruppe im Rollenbasisverzeichnis gehört

wenn NEIN: Fehler bei der Anmeldung

wenn JA: der Benutzer wird mit der Rolle angemeldet

Rollenabgleich nicht aktiv:

oBei der Anmeldung eines Benutzers wird geprüft, ob sich dieser im Benutzerbasisverzeichnis befindet

wenn NEIN: Fehler bei der Anmeldung

wenn JA: es wird geprüft, ob der Benutzer zu einer AD-Gruppe im Rollenbasisverzeichnis gehört

wenn NEIN: Der Benutzer wird mit der Standardrolle angemeldet

wenn JA: der Benutzer wird mit der Rolle angemeldet