Externe Identitätsverwaltung
Sie haben die Möglichkeit die Anmeldung an ARIGON PLUS über eine externe Identitätsverwaltung (Active Directory (=AD)) zu steuern. Zusätzlich kann Single-Sign-On (SSO) genutzt werden. Die externen Benutzer werden mit ARIGON PLUS synchronisiert und dort in der Benutzerverwaltung eingetragen.
Diese Funktionalität kann nicht für ARIGON PLUS in der Cloud verwendet werden.
Eine Cross-Domain-Authentication (Authentifizierung von Benutzern aus verschiedenen Domänen) wird für ARIGON PLUS ausgeschlossen.
Konfiguration
Die externe Identitätsverwaltung muss für ARIGON PLUS in der Systemkonfiguration eingerichtet werden.
Parameter | Mögliche Werte |
---|---|
Externe Identitätsverwaltung | Aus / Active Directory (LDAP) → Sie können sich manuell mit Ihrem AD-Benutzer und Passwort in ARIGON PLUS anmelden. |
Single-Sign-On (SSO) aktivieren | Ja / Nein Ja → Sie werden automatisch mit AD-Benutzer und Passwort in ARIGON PLUS angemeldet |
Externe Autorisierung | Ja / Nein Ja → Der AD-User muss Mitglied einer AD-Gruppe sein. Diese Gruppe benötigt eine Zuordnung zu einem Benutzerprofil. Anderenfalls erfolgt die Anmeldung in ARIGON PLUS ohne Zugriffsrechte auf Module. |
Server/Domäne | bspw. die IP-Adresse |
Port |
|
Authentifizierungstyp | Negotiate / Kerberos / NTLM |
Transportsicherheit | SSL/TLS / Keine / StartTLS |
Benutzername zur Anmeldung am externen System | Windowsbenutzer-Anmeldename |
Passwort zur Anmeldung am externen System |
|
Angabe einer Gruppe, die zur Anmeldung zugelassen ist | Tragen Sie hier den gewünschten Gruppennamen einer Sicherheitsgruppe aus Active Directory ein |
Synchronisationsintervall in Sekunden | 300 (0 - 99999) |
Hinweise
ARIGON PLUS unterstützt bei der externen Authentifizierung/Autorisierung ausschließlich LDAP v3.
Single-Sign-On wird nur beim Start des Workstation-Prozesses durchgeführt. Wird die Workstation über den Menüpunkt Datei → Benutzer abmelden abgemeldet (der Prozess wird nicht beendet), kann sie nur eine manuelle Anmeldung durchführen.
Drücken Sie die Tasten <Strg>+<Shift> im Moment des Starts des Workstation-Prozesses, um Single-Sign-On zu unterdrücken. Sie können sich dann mit einem Benutzer, der nur in ARIGON PLUS verwaltet wird (bspw. SYS) anmelden.
Änderungen an diesen Konfigurationen werden erst nach Neustart des ARIGON PLUS Servers wirksam!
Falls Sie SSO aktiviert haben und die Anmeldung schlägt fehl (bspw.: externer Server ist nicht erreichbar), erhalten Sie diese Meldung:
Drücken Sie OK
, um die herkömmliche ARIGON PLUS Anmeldung zu starten
Synchronisation Benutzer und Zuordnungen zu Benutzerprofilen
Im angegebenen Intervall werden werden die AD-Gruppen mit den Benutzern und den Zuordnungen Benutzer zu Benutzerprofilen aus ARIGON PLUS synchronisiert.
Die Zuordnung der Benutzer zu Benutzerprofilen aus der externen Identitätsverwaltung hat Vorrang und überschreibt manuelle Änderungen der Zuordnungen in ARIGON PLUS für alle Benutzerprofile, die eine entsprechende Gruppe in der externen Identitätsverwaltung haben.
Alle Zuordnung von Benutzern zu Benutzerprofilen, die aus externer Identitätsverwaltung stammen, werden zu Beginn jeden Syncs entfernt und dann anschließend laut AD neu gesetzt. Manuell erfasste Zuordnungen bleiben dabei erhalten, bzw. werden ergänzt mit dem Haken “Stammt aus externer Identitätsverwaltung”, sofern es auch eine Zuordnung im AD ist.
Bei Benutzern, die nicht mehr im AD vorhanden oder nicht mehr in der Gruppe lt. Systemkonfiguration sind, wird der Haken “Stammt aus externer Identitätsverwaltung” sowie der Haken “Anmeldung erlaubt” entfernt. Der Benutzer bleibt aber in ARIGON PLUS bestehen.
in den Benutzerprofilen können Sie im Feld “Externe Bezeichnung” eine zugehörige AD-Gruppe angeben.
Voraussetzung: Gruppennamen können seitens AD nur einmal pro Domäne vergeben werden.