Übersicht verfügbarer Authentifizierungsarten

2FA, AD, STEPS®, OCI

Dokumentation > Authentifizierung

Zusätzlich zur Verwendung lokaler Konten ist die Authentifizierung gegen Ihr Active Directory oder Ihr STEPS® ERP möglich. Unabhängig der eingesetzten (personenbasierten) Authentifizierung steht die Zwei Faktor Authentifizierung (2FA) zur Verfügung. Die Passwortrichtlinien können pro Authentifizierungsart konfiguriert werden.

Ausnahmen

Sowohl die Passwortrichtlinien als auch die 2FA stehen bei der Verwendung der «Integrierten Windows Anmeldung» und bei Authentifizierungsarten zwischen zwei Endpunkten für die Automatisierung von Abläufen nicht zur Verfügung; Beispielsweise für OCI Funktionen oder automatisierte Schnittstellen von Drittanwendungen.

Einstellungen zur Authentifizierung

AD Authentifizierung

Sofern Sie den Web- oder Applikationsserver auf eigener Infrastruktur betreiben oder eine ausreichend abgesicherte Verbindung zu einem Ihrer AD Domaincontrollern besteht, kann die Authentifizierung gegen Ihre Domäne erfolgen.

Der Benutzer meldet sich mit dem vollständigen Benutzernamen am CMS an (hans.muster@company.lan)
Die Anmeldung wird akzeptiert, wenn der Benutzer Mitglied in mindestens einer der dafür konfigurierten ‘AD Gruppen’ ist.

Im CMS werden diese 'AD Gruppen' in der Benutzerverwaltung automatisch angelegt. Diese Gruppen dürfen innerhalb des CMS beliebig verschoben und können zur Vergabe von Berechtigungen innerhalb des CMS herangezogen werden.

Kostenpflichtige Zusatzlizenz.

AD Authentifizierung

Integrierte Windows-Authentifizierung

Falls der Web- oder Applikationsserver Mitglied Ihrer Domäne ist, kann zusätzlich die «Integrierte Anmeldung» aktiviert werden. Personen, welche sich bereits mit einem Firmen Computer an Ihrer Domäne angemeldet haben, werden vom System direkt erkannt und müssen sich nicht noch einmal zusätzlich anmelden.
Es ist problemlos möglich, die «Integrierte Anmeldung» parallel zur regulären Anmeldung zu betreiben. Dazu wird im IIS lediglich eine zusätzlich «Site» mit aktivierter «Windows-Authentifizierung» angelegt.

Vorgehen

  • Neues «Web» im IIS erstellen, «Windows Authentifizierung» aktivieren, alle anderen Typen deaktivieren
    Achten Sie darauf, dass in der Konfiguration der Anbieter Kerberos an erster Stelle steht. NTLM an zweiter Stelle kann als Fallback dienen.
  • Im Dateisystem des Webservers müssen für die Domänenbenutzer entsprechender Berechtigungen erteilt werden
    Auf der Webapplikation werden Lese- und Ausführungsrechte benötigt, für das Konfigurationsverzeichnis Lese- und Änderungsrechte
  • In der Verzeichnisdienstkonfiguration sicherstellen, dass das Feld «NETBIOS Domainname» korrekt erfasst ist
  • Konfigurieren Sie Ihren Browser für die «Silent Authentication»
    Siehe dazu die Anleitung im nächsten Abschnitt
  • Sofern Sie die Anwendung das erste Mal mit Ihrem Konto nutzen, müssen Sie sich einmal anmelden, inklusive einer möglichen erforderlichen «Zwei Faktor Authentifizierung»

Ihren Browser für «Silent Authentication» konfigurieren

Edge & Chrome unter Windows
  • Unter Control Panel/Network & Internet/Internet Options/Security die Seite der lokalen Zone hinzufügen
Firefox
  • Adresszeile: about:config
  • In network.automatic-ntlm-auth.trusted-uris wird der Hostname eingetragen, bsp.: https://app.company.lan
    Für NTLM. Mehrere Einträge sind mit Kommata zu trennen
  • network.automatic-ntlm-auth.allow-proxies auf true setzen
  • network.automatic-ntlm-auth.allow-non-fqdn auf true setzen
  • network.negotiate-auth.allow-non-fqdn auf true setzen
  • In network.negotiate-auth.trusted-uris wird der Hostname eingetragen, bsp.: https://app.company.lan oder die Domäne, bzw. eine Subdomäne https://.company.lan
    Für SPNEGO. Mehrere Einträge sind mit Kommata zu trennen

Einschränkungen

  • Personen, welche sich mittels dieser «integrierten Anmeldung» authentifiziert haben, können das eigene Passwort nicht ändern. Ebenfalls steht die Funktion «Passwort Zurücksetzen» nicht zur Verfügung.
  • Die «Zwei Faktor Au­then­ti­fi­zie­rung­ (2FA)» steht nicht zur Verfügung.
  • Die Funktion 'Abmelden' steht nicht zur Verfügung.
  • Die Netzwerklatenzen zwischen dem Web- und den Domänencontrollern wirken stark auf das Leistungsverhalten der Anwendung ein.

Fehlerquellen

Falls die Cookie Einstellungen wie im folgenden Beispiel strikt konfiguriert sind, und deshalb das Session Cookie im Browser unter http nicht gesetzt wird, kann sich die Anwendung seltsam verhalten. Man stellt dies spätestens beim Sichten der Ereignisse fest (für jeden Request wird ein Login festgehalten). Achten Sie darauf, dass die Site lediglich per https erreichbar ist, bzw. verwendet wird.

Cookie Einstellungen unter system.web

<system.web>
  <sessionState cookieName="CompanySesID" cookieSameSite="Strict" />
  <httpCookies httpOnlyCookies="true" requireSSL="true" sameSite="Strict"/>
</system.web>

Authentifizierung gegen ein STEPS® ERP

Webshops mit voll integriertem STEPS® ERP profitieren von der Anmeldung direkt an der ERP Umgebung.

Die Umsetzung einer spezifisch auf Ihre ERP Umgebung ausgelegte Integration, vorausgesetzt das ERP bietet entsprechende Schnittstellen, ist eine Frage von Stunden oder Tagen und nicht von Wochen.

Passwortrichtlinien und 2FA stehen ebenfalls zur Verfügung.

Authentifizierung gegen ein STEPS® ERP

Sich ausgeben als eine andere Person

Verfügbar bei allen Authentifizierungsarten ausgenommen der OCI Authentifizierung

Einzelnen Personen kann dass Recht eingeräumt werden, sich als jemand anderes auszugeben. Die Funktion ist hilfreich im Zusammenhang mit der Unterstützung von anderen Anwendenden oder zur Verifizierung neu erstellter Zugänge, bevor diese dem internen oder externen Kunden zur Verfügung gestellt werden.

Für die Funktion sind folgende Berechtigungen erforderlich:
  • 'Administrative Menüpunkte anzeigen' auf der Benutzerverwaltung (übergeordnete Berechtigung)
  • 'Sich ausgeben als' auf der Person selbst, als welche Sie sich ausgeben möchten

Das System hält fest, wer wann und für wen diese Funktion gestartet hat, und wann diese wieder beendet wurde. Damit Urheber von Transaktionen ermittelt werden können, wird die effektiv angemeldete Person ausserdem in allen Ereignissen und Statusänderungen festgehalten.

Sich ausgeben als eine andere Person

OCI Authentifizierung

Für entsprechend konfigurierte Webshops

Sobald auf einem Konto eine OCI Konfiguration aktiviert ist, kann eine entsprechende OCI Authentifizierung erfolgen. Das Passwort kann gemäss Abbildung eingesehen werden.

Es gelten folgende Regeln:

  • Das Passwort wird automatisch erstellt oder kann manuell gesetzt werden.
    Falls das Passwort entfernt wird, generiert das System automatisch ein neues.
  • Passwort- und 2FA Richtlinien
    Die Richtlinien für Passwörter und die 2FA werden nicht angewandt. Die Veranwortung für starke Passwörter liegt bei den Verantwortlichen während dem «Onboarding»
  • Blockierungsregel für IP Adressen und Benutzer
    Die Einstellungen in der Betrugsabwehr für das Blockieren von Benutzerkonten und IP-Adressen sind auch bei der OCI Anwendung aktiv.
  • Der Anmeldenamen entspricht demjenigen für die reguläre Anmeldung.
    Mit diesem Passwort ist nur eine OCI Anmeldung möglich. Die Funktionen innerhalb des Webshops sind auf OCI Funktionen beschränkt.
OCI Authentifizierung