Änderungen von Dokument Einmalanmeldung

Von Version < 11.1 >

bearbeitet von gru
am 10.03.2021, 09:57

Auf Version < 8.7 >

bearbeitet von awa
am 20.05.2019, 12:05

< >

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Dokument-Autor

@@ -1,1
          +1,1 @@
--XWiki.gru
++XWiki.awa

Tags

...	...	@@ -1,1 +1,0 @@
1		-SSO\|Single-Sign-On\|Single\|NTLM\|Kerberos

Inhalt

@@ -4,8
          +4,6 @@
  Nutzeroberfläche für die Einstellungen zu {{smallcaps}}Ntlm{{/smallcaps}}. Nur verfügbar, wenn die Lizens dies erlaubt.
  {{/figure}}
--Die //Einmalanmeldung// für {{smallcaps}}Ntlm{{/smallcaps}} und Kerberos ist ein kostenpflichtiges {{formcycle/}} Zusatzmodul.
--
  {{smallcaps}}Ntlm{{/smallcaps}} wird für die Authentifizierung von Formularbenutzern verwendet. Ein typisches Einsatzszenario sind Formulare, die intern von Mitarbeitern eines Unternehmens aufgerufen werden. Über {{smallcaps}}Ntlm{{/smallcaps}} kann das Formular auf die Benutzerdaten des angemeldeten ActiveDirectory zugreifen.
  {{info}}
@@ -22,9
          +22,9 @@
  === Domain-Controller Host ===
--Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über {{smallcaps}}Ldap{{/smallcaps}}.
++Host (FQN) des ActiveDirectory Controller für die {{smallcaps}}Ntlm{{/smallcaps}}-Authentifizierung eines Benutzers und die anschließende Ermittlung dessen Daten über LDAP.
--{{code language="none"}}
++{{code}}
  Beispiel: domain.example.de
  {{/code}}
@@ -36,7
          +36,7 @@
  Hostname des Active-Directory-Controller.
--{{code language="none"}}
++{{code}}
  Beispiel: domain
  {{/code}}
@@ -44,7
          +44,7 @@
  Hier können je nach AD verschiedene Schreibweisen des Domainnamen verwendet werden.
--{{code language="none"}}
++{{code}}
  Beispiel: example.de oder example0
  {{/code}}
@@ -64,7
          +64,7 @@
  Ein Computer-Account ist am '$'-Zeichen im Domain-Namen erkennbar. z.B. example$@domain.de
  {{/info}}
--Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>https://techdocs.broadcom.com/content/broadcom/techdocs/us/en/ca-enterprise-software/layer7-api-management/api-gateway/9-3/policy-assertions/assertion-palette/access-control-assertions/require-ntlm-authentication-credentials-assertion/creating-a-computer-account-for-ntlm-authentication.html||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
++Beschreibung für die Vorgehensweise zur Erzeugung eines Computer-Accounts im //Active Directory Server// (externer Link): [[Creating a Computer Account for NTLM Authentication>>url:https://wiki.ca.com/display/GATEWAY83/Creating+a+Computer+Account+for+NTLM+Authentication||rel="__blank" title="Creating a Computer Account for NTLM Authentication"]]
  === Computerkontopasswort ===
@@ -76,11
          +76,11 @@
  === Port ===
--Der zu verwende Port für die Verbindung mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server zur Nutzersuche
++Der zu verwende Port für die Verbindung mit dem LDAP-Server zur Nutzersuche
  === SSL-Verbindung ===
--Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem {{smallcaps}}Ldap{{/smallcaps}}-Server.
++Ermöglich das Aktivierung der SSL-verschlüsselten Kommunikation mit dem LDAP-Server
  === Verweis-Sprünge ===
@@ -88,9
          +88,9 @@
  === Nutzerkonto (mit Domainangabe) ===
--Konto für die Benutzersuche innerhalb des {{smallcaps}}Ldap{{/smallcaps}}-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
++Konto für die Benutzersuche innerhalb des LDAP-Servers. Dieses Konto muss entsprechende Rechte für eine Nutzersuche besitzen.
--{{code language="none"}}
++{{code}}
  Beispiel: ldap@example.de
  {{/code}}
@@ -100,9
          +100,9 @@
  === BaseDN für Suche ===
--{{smallcaps}}Ldap{{/smallcaps}} BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
++LDAP BaseDN unter der die zu authentifizierten Benutzer gesucht werden sollen.
--{{code language="none"}}
++{{code}}
  Beispiel: ou="users", dc="example", dc="de"
  {{/code}}
@@ -128,7
          +128,7 @@
  === Nutzername ===
  Windows Domain Account, welcher für den Zugriff auf das Key Distribution Center (KDC) benötigt wird, um den nachfolgenden Authentifizierungsprozess einzuleiten.
--In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
++In den meisten Fällen ist dies ein User-Account aus dem AD, welcher als Service-Account fungiert und nicht zur Anmeldung an einer Workstation gedacht ist.
  {{info}}
  Es wird ein Nutzername mit Domainangabe (FQDN) benötigt, wenn in der **krb5.conf** Datei, unter dem Abschnitt //[libdefaults]//, kein **default_realm** definiert ist.
@@ -135,11
          +135,6 @@
  //Beispiel: user@EXCAMPLE.COM //
  {{/info}}
--{{info}}
--Diesem Benutzer müssen z.B. im Active Directory die zu verwendeten Domians als ServiePrincipalName beginnend mit der Serviceklasse HTTP registriert werden. Mehr dazu finden Sie [[hier>>https://social.technet.microsoft.com/wiki/contents/articles/717.service-principal-names-spn-setspn-syntax.aspx||target="_blank"]] oder [[hier>>https://docs.microsoft.com/en-us/windows-server/networking/sdn/security/kerberos-with-spn||target="_blank"]].
--{{/info}}
--
--(% class="wikigeneratedid" %)
  === Passwort ===
  Passwort des oben genannten Service-Accounts
@@ -247,6
          +247,7 @@
  Der Name, welcher in der //login.conf// Datei für die Definition des Servers verwendet wird.
  {{error}}
++
  Sollte es bei aktiviertem Kerberos vereinzelt oder dauerhaft zu Fehlern beim Formular-Aufruf kommen (HTTP-Status 400), so überschreitet das Kerberos-Ticket die standardmäßige Größenlimitierung des HTTP-Headers durch den Anwendungsserver (z.B. Tomcat). Eine Lösung bringt die Erhöhung dieser Limitierung welche [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.LimitHTTPHeader]] beschrieben wird.
  {{/error}}
@@ -289,22
          +289,22 @@
  == Ausgelesene LDAP-Nutzerdaten im Designer verarbeiten ==
--Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **user** befindet sich die Eigenschaft **rawData**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
++Die zum authentifizierten Nutzer ermittelten Eigenschaften aus dem LDAP werden im **XFC_METADATA**-Objekt abgelegt und stehen dadurch im Formular zur Verfügung. Am JSON-Objekt **currentUser** befindet sich die Eigenschaft **ldap**, welche die ermittelten Daten als JSON-Struktur beinhaltet.
  {{info}}
--Welche Daten die JSON-Struktur unter der **rawData **Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
++Welche Daten die JSON-Struktur unter der **ldap** Eigenschaft beinhaltet, hängt maßgeblich von den Leserechten des LDAP-Accounts ab,
  welcher die Nutzersuche im LDAP-System durchführt.
  {{/info}}
  Das nachfolgende JS-Codeschnipsel zeigt einen Zugriff auf die LDAP-Eigenschaft //userPrincipalName// mittels JS im Designer:
--{{code language="javascript"}}
++{{code language="javascript" title=""}}
  try {
      // Auslesen der Property und Anzeige in einem Label
      var elem = $('[name=txt1]');
--    var ldap = XFC_METADATA.user.rawData;
++    var ldap = XFC_METADATA.currentUser.ldap;
      if(ldap.hasOwnProperty('userPrincipalName')) {
--        elem.html(ldap.userPrincipalName);
++        elem.append(ldap.userPrincipalName);
      }
  } catch (err)  {}
  {{/code}}

Änderungen von Dokument Einmalanmeldung

Zusammenfassung

Details

Navigation