Zum Hauptinhalt gehen

Einführung von SSO CAS

Dieses Dokument beschreibt, wie BlueMind die CAS-Authentifizierung (Central Authentication Service) erkennt.

Funktionsweise der CAS-Authentifizierung

Für eine erste Authentifizierung :

  1. Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
  2. Da er noch nicht authentifiziert wurde, leitet ihn der BlueMind Server zum CAS-Server um, damit er sich authentifizieren kann.
  3. Nach der Authentifizierung wird ein CAS-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket zum Einlösen zu BlueMind weitergeleitet wird.
  4. Der BlueMind Server :
    1. sieht dieses Ticket,
    2. fragt den CAS-Server, ob er gültig ist,
    3. Wenn dies der Fall ist, erlaubt die Verbindung und setzt ein BlueMind Cookie in den Browser.

Bei der nächsten Authentifizierung :

  1. Der Kunde fordert erneut Zugang zum BlueMind Server an.
  2. Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.

Weitere Informationen:

Voraussetzungen

Ein CAS-Server muss betriebsbereit sein und über den BlueMind-Server per HTTPS erreichbar sein.

Installation

Es ist keine Installation erforderlich, da BlueMind die Authentifizierung über einen CAS-Server nativ unterstützt.

CAS-Konfiguration für eine einzelne oder primäre Domäne

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.

    ℹ️ Administratorkonto
    Da es sich um die Konfiguration der Domäne handelt, ist es möglich und empfehlenswert, ein Domänenadministratorkonto (siehe Organisationseinheiten und Delegierte Verwaltung) anstelle des Superusers „admin0“ zu verwenden.

  2. Wählen Sie im Dropdown-Menü den Authentifizierungsmodus CAS aus und geben Sie die URL des CAS-Servers ein:

  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Die Benutzer werden dann automatisch zum CAS-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen.

CAS-Konfiguration in einer gemeinsam genutzten Umgebung

Die Nutzung eines einzigen Authentifizierungsservers für mehrere Domänen erfolgt durch die Konfiguration eines Servers für eine primäre Domäne, der die anderen Domänen zugeordnet sind.

Aus der Web Domänen auflisten:

  1. Richten Sie eine erste Domäne gemäß der oben beschriebenen Vorgehensweise ein; diese wird dann als primäre Domäne betrachtet.

  2. Geben Sie eine externe URL für die primäre Domain an (siehe Externe URLs).\

    Die Konfiguration der externen URL ist für die ordnungsgemäße Funktion der Authentifizierung bei allen Domänen zwingend erforderlich.

  3. Notieren Sie sich die Kennung der sekundären Domäne(n) (Domänen-UID oder Domain UID) aus der Domänenliste oder dem jeweiligen Verwaltungsdatensatz.

  4. Gehen Sie zur Verwaltungsseite der primären Domain > Registerkarte Sicherheit: Unter dem CAS-Konfigurationsformular erscheint nun ein Link „Hinzufügen“:

    → Klicken Sie darauf, um beliebig viele sekundäre Domains hinzuzufügen.

  5. Geben Sie in den hinzugefügten Feldern die UIDs der zu verknüpfenden Domains ein:

  6. Klicken Sie auf „Speichern“, um die Eingabe zu bestätigen.

  7. Im Verwaltungsformular für sekundäre Domains, auf der Registerkarte „Sicherheit“, wird das Formular nun durch eine Information ersetzt, die die UID der primären Domain enthält:

Bekannte Fehler

Fehler 500: Internal Server Error

Diese Fehlermeldung kann mehrere Gründe haben. Um die Ursache zu untersuchen und zu erfahren, wie Sie sie beheben können, lesen Sie die Webserver-Logs. Weitere Informationen über die Logs finden Sie unter, die Seite Logs - Protokolldateien.

Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle

Symptome: Wenn ein selbstsigniertes Zertifikat für den CAS-Server verwendet wird oder die Zertifizierungsstelle des CAS-Servers nicht aufgelistet ist, tritt ein Sicherheitsfehler beim Aufbau der https-Verbindung zum CAS-Server auf.

Lösung: Um diesen Fehler zu beheben, importieren Sie das selbstsignierte Zertifikat oder die Stammzertifizierungsstelle in den Keystore der jvm, die BlueMind verwendet.

keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/lib/security/cacerts
Enter keystore password: changeit

Weitere Informationen finden Sie unter http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html.

Letztes Update