Authentifizierung in Aeneis über Spring Security

Die tokenbasierte Authentifizierung in Aeneis bietet die Möglichkeit, dass Benutzer-Daten über das Framework Spring Security mit Aeneis synchronisiert werden. Benutzer/-innen können somit über Single-Sign-On (SSO) direkt auf das Aeneis-Portal zugreifen.

• Authentifizierung in Aeneis über Spring Security
  • Benutzer/-innen automatisch importieren
  • Benutzer/-innen automatisch aktualisieren
  • Anmelden am Portal
  • Benutzer/-innen mit Gruppen synchronisieren

Funktionen:

• Authentifizierungen über Azure AD, AWS, ADFS, Okta und SAML2

• Automatische Anlage von Benutzern/-innen und Synchronisation der konfigurierten Gruppenzuordnungen bei dem ersten Zugriff auf das Portal

• Übernahme von Namen, E-Mail-Adressen und Gruppen aus dem Verzeichnis

Vorbereitungen:

• Bestehende Benutzer/-innen müssen die BenutzerID verwenden, die innerhalb der Tokenauthentifizierung verwendet und synchronisiert wird. Werden unterschiedliche IDs verwendet, werden im Rahmen der automatischen Anlage zusätzliche Benutzer/-innen erzeugt.

• Der SSL Trustkeystore ist ab Aeneis 6.3.SR1 immer "aeneis-server-keystore.jks".

• SSL-Zertifikate: Das öffentliche Zertifikat der Login-Seite von z.B. Azure muss im Anwendungsverzeichnis hinzugefügt werden. Wenn es zu einem Fehler wegen eines fehlenden Zertifikats kommt, muss dieses im Anwendungsverzeichnis unter "aeneis-server-keystore.jks" hinzugefügt werden. Bei Azure z.B. das Zertifikat "stamp2-login-microsoftonline-com.pem".

Limitationen:

• Die tokenbasierte Authentifizierung kann nur im Portal verwendet werden.

• Die elektronische Signatur (Eigenschaft Zeige Login-Dialog in Transitionen) funktioniert nur mit ADFS und Azure. Wenn die Authentifizierung über ADFS SAML2 konfiguriert ist, muss hierfür lediglich die Datei application.yml angepasst werden, siehe Elektronische Signatur für SAML2 ADFS.

• Die Synchronisation der Gruppen funktioniert nur über Azure, ADFS und SAML2.

Benutzer/-innen automatisch importieren

Um Benutzer/-innen, die über eine tokenbasierte Authentifizierung synchronisiert werden, automatisch zu importieren, aktivieren Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Benutzer automatisch importieren:

Benutzer/-innen automatisch aktualisieren

Um Benutzer/-innen, die über eine tokenbasierte Authentifizierung synchronisiert werden und die sich ändern, automatisch zu aktualisieren, aktivieren Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Importierte Benutzer automatisch aktualisieren:

Folgende Attribute werden aktualisiert, sobald sich Benutzer/-innen neu einloggen:

• Benutzer-Bezeichnung

• Benutzer-E-Mail

• Benutzer-Gruppen: Wenn im Attribut Gruppen für LDAP-Registrierung Gruppen hinzugefügt werden, dann wird der/die Benutzer/-in beim nächsten Login in diese Gruppen hinzugefügt. Wenn eine Gruppe aus dem Attribut Gruppen für LDAP-Registrierung entfernt wird, dann wird der/die Benutzer/-in nicht automatisch aus der Gruppe entfernt, sondern muss manuell entfernt werden.

Anmelden am Portal

Nachdem die Authentifizierung in Aeneis über SSO eingerichtet wurde, loggen sich Benutzer/-innen über den entsprechenden SSO-Button des Portal-Login-Dialogs an.

Benutzer/-innen, die über die Schnittstelle automatisch in Aeneis importiert wurden, haben die Eigenschaft Ist externes Objekt?. Wenn Benutzer/-innen schon vorher in Aeneis angelegt waren und nachträglich SSO aktiviert wird, muss in der BenutzerAdministration im Benutzerobjekt die Eigenschaft Ist externes Objekt? manuell gesetzt werden. Die Eigenschaft Ist externes Objekt? bewirkt, dass sich Benutzer/-innen nur noch über die eingerichtete tokenbasierte Authentifizierung in Aeneis einloggen können.

Benutzer/-innen mit Gruppen synchronisieren

Um importierte Benutzer/-innen mit externen Gruppen zu synchronisieren, können Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Importierte Benutzer mit externen Gruppen synchronisieren aktivieren.