Sie haben die Möglichkeit die Anmeldung an ARIGON PLUS über eine externe Identitätsverwaltung (Active Directory (=AD)) zu steuern. Zusätzlich kann Single-Sign-On (SSO) genutzt werden. Die externen Benutzer werden mit ARIGON PLUS synchronisiert und dort in der Benutzerverwaltung eingetragen.
Eine Cross-Domain-Authentication (Authentifizierung von Benutzern aus verschiedenen Domänen) wird für ARIGON PLUS ausgeschlossen.
Konfiguration
Die externe Identitätsverwaltung muss für ARIGON PLUS in der Systemkonfiguration eingerichtet werden.
Parameter | Mögliche Werte |
---|---|
Externe Identitätsverwaltung | Aus / Active Directory (LDAP) → Sie können sich manuell mit Ihrem AD-Benutzer und Passwort in ARIGON PLUS anmelden. |
Single-Sign-On (SSO) aktivieren | Ja / Nein Ja → Sie werden automatisch mit AD-Benutzer und Passwort in ARIGON PLUS angemeldet |
Externe Autorisierung | Ja / Nein Ja → Der AD-User muss Mitglied einer AD-Gruppe sein. Diese Gruppe benötigt eine Zuordnung zu einem Benutzerprofil. Anderenfalls erfolgt die Anmeldung <ohne Rechte> in ARIGON PLUS |
Server/Domäne | bspw. IP-Dresse |
Port | |
Authentifizierungstyp | Negotiate / Kerberos / NTLM |
Transportsicherheit | SSL/TLS / Keine / StartTLS |
Benutzername zur Anmeldung am externen System | |
Passwort zur Anmeldung am externen System | |
Angabe einer Gruppe, die zur Anmeldung zugelassen ist | |
Synchronisationsintervall in Sekunden | 300 (0 - 99999) |
Hinweise
ARIGON PLUS unterstützt bei der externen Authentifizierung/Autorisierung ausschließlich LDAP v3.
Single-Sign-On wird nur beim Start des Workstation-Prozesses durchgeführt. Wird die Workstation über den Menüpunkt Datei → Benutzer abmelden abgemeldet (der Prozess wird nicht beendet), kann Sie nur eine manuelle Anmeldung durchführen.
Drücken Sie die Tasten <Strg>+<Shift> im Moment des Starts des Workstation-Prozesses, um Single-Sign-On zu unterdrücken. Sie können sich dann mit einem Benutzer, der nur in ARIGON PLUS verwaltet wird (bspw. SYS) anmelden.
Änderungen an diesen Konfigurationen werden erst nach Neustart des ARIGON PLUS Servers wirksam!
Falls Sie SSO aktiviert haben und die Anmeldung schlägt fehl (bspw.: externer Server ist nicht erreichbar), erhalten Sie diese Meldung:
Drücken Sie OK
, um die herkömmliche ARIGON PLUS Anmeldung zu starten
Synchronisation Benutzer und Zuordnungen zu Benutzerprofilen
Im angegebenen Intervall werden werden die AD-Gruppen mit den Benutzern und den Zuordnungen Benutzer zu Benutzerprofilen synchronisiert.
Alle Zuordnung von Benutzern zu Benutzerprofilen, die aus externer Identitätsverwaltung stammen, werden zu Beginn jeden Syncs entfernt und dann anschließend laut AD neu gesetzt. Manuell erfasste Zuordnungen bleiben dabei erhalten, bzw. werden ergänzt mit dem Haken “Stammt aus externer Identitätsverwaltung”, sofern es auch eine Zuordnung im AD ist.
Bei Benutzern, die nicht mehr im AD vorhanden sind, bzw. nicht mehr in der Gruppe lt. Systemkonfiguration sind, wird der Haken “Stammt aus externer Identitätsverwaltung” sowie der Haken “Anmeldung erlaubt” entfernt. Der Benutzer bleibt aber in ARIGON PLUS bestehen.
in den Benutzerprofilen können Sie im Feld “Externe Bezeichnung” eine zugehörige AD-Gruppe angeben.
Voraussetzung: Gruppennamen können seitens AD nur einmal pro Domäne vergeben werden.
Synchronisierte Benutzer können nicht gelöscht werden. Eine Bearbeitung ist nur für “Anmeldung erlaubt” möglich.
Synchronisierte Zuordnungen von Benutzer zu Benutzerprofil können weder gelöscht, noch bearbeitet werden.