4.5 Verwenden des Single-Sign-On-Zugriffs in Identity Manager

Der OSP unterstützt die OAuth2-Spezifikation und erfordert einen LDAP-Authentifizierungsserver, der die Authentifizierung mit dem OAuth2-Protokoll vornimmt. Standardmäßig verwendet Identity Manager das Identitätsdepot (eDirectory). Bei Bedarf können Sie mehrere Authentifizierungsquellen oder Identitätsdepots für die Bearbeitung der Authentifizierungsanforderungen konfigurieren, sofern die Quelle das OAuth2-Protokoll nutzt. Der OSP kann außerdem mit Kerberos zusammenarbeiten.

Wie funktionieren der OSP und SSO?

Die Benutzer können sich sofort nach der Installation bei Identity Manager anmelden, wenn die angegebenen Container im Identitätsdepot einen CN und ein Passwort für diese Benutzer enthalten. Ohne diese Anmeldekonten kann sich nur der Administrator, der während der Installation angegeben wurde, sofort anmelden.

Wenn sich ein Benutzer bei einer der browsergestützten Komponenten anmeldet, leitet der Prozess den Namen und das Passwort des Benutzers an den OSP-Dienst weiter, der dann den Authentifizierungsserver abfragt. Der Server validiert den Benutzer-Berechtigungsnachweis. Anschließend gibt der OSP ein OAuth2-Zugriffstoken an die Komponente und den Browser aus. Anhand des Tokens erteilt der Browser dem Benutzer während seiner Sitzung den SSO-Zugriff auf alle browsergestützten Komponenten.

Während der Anmeldesequenz kann der OSP erkennen, ob Kerberos oder SAML in der Identity Manager-Umgebung konfiguriert ist. In diesem Fall akzeptiert der OSP die Authentifizierung durch den Kerberos-Ticketserver oder den SAML-IDP. Anschließend gibt der OSP ein OAuth2-Zugriffstoken an die Komponente aus, bei der sich der Benutzer angemeldet hatte. Der OSP unterstützt allerdings keine MIT-Anmeldetickets aus Kerberos oder SAP.

Wie arbeitet der OSP mit Kerberos zusammen?

OSP und Kerberos sorgen dafür, dass die Benutzer sich einmalig anmelden und so eine Sitzung bei einer der Identitätsanwendungen und der Identitätsberichterstellung anlegen können. Wenn die Gültigkeitsdauer der Benutzersitzung abläuft, erfolgt die Autorisierung automatisch und ohne Eingreifen des Benutzers. Nach dem Abmelden sollten die Benutzer den Browser in jedem Fall schließen, sodass die jeweilige Sitzung beendet wird. Ansonsten leitet die Anwendung den Benutzer zum Anmeldefenster weiter, und der OSP autorisiert die Benutzersitzung erneut.

Wie richte ich die Authentifizierung und den Single-Sign-On-Zugriff ein?

Sie müssen den OSP installieren, damit der OSP und SSO funktionsfähig sind. Geben Sie anschließend die URLs für den Client-Zugriff auf die einzelnen Komponenten, die URL für die Weiterleitung der Validierungsanforderungen an den OSP sowie die Einstellungen für den Authentifizierungsserver an. Diese Angaben können Sie wahlweise während der Installation oder zu einem späteren Zeitpunkt mit dem RBPM-Konfigurationsprogramm festlegen. Darüber hinaus können Sie die Einstellungen für den Kerberos-Ticketserver oder den SAML-IDP angeben.

Weitere Informationen zum Konfigurieren der Authentifizierung und des Single-Sign-On-Zugriffs finden Sie in Abschnitt XIII, Konfiguration des Single-Sign-On-Zugriffs in Identity Manager. In einem Cluster müssen die Konfigurationseinstellungen für alle Clustermitglieder identisch sein.

Der Keystore in Identity Manager unterstützt die HTTP- und die HTTPS-Kommunikation zwischen dem OSP-Dienst und dem Authentifizierungsserver. Dieser Keystore wird beim Installieren des OSP erstellt. Außerdem legen Sie ein Passwort an, das der OSP für die autorisierten Interaktionen mit dem Authentifizierungsserver heranzieht. Weitere Informationen finden Sie unter Abschnitt 28.0, Installieren von Single Sign-On und Passwortverwaltung für Identity Manager.

OSP erzeugt ein einzelnes Ereignis, sobald sich ein Benutzer bei der Benutzeranwendung oder der Identitätsberichterstellung an- oder abmeldet:

Die XDAS-Taxonomie interpretiert diese OSP-Ereignisse dann entweder als erfolgreiche An-/Abmeldung, als SOAP-Aufruf der Benutzeranmeldung oder als „anderes Ereignis als Erfolg“.