Übersicht verfügbarer Authentifizierungsarten

2FA, AD, STEPS®, OCI

Dokumentation > Authentifizierung

Zusätzlich zur Verwendung lokaler Konten ist die Authentifizierung gegen Ihr Active Directory oder Ihr STEPS® ERP möglich. Unabhängig der eingesetzten (personenbasierten) Authentifizierung steht die Zwei Faktor Authentifizierung (2FA) zur Verfügung. Die Passwortrichtlinien können pro Authentifizierungsart konfiguriert werden.

Ausnahmen

Sowohl die Passwortrichtlinien als auch die 2FA stehen bei der Verwendung der «Integrierten Windows Anmeldung» und bei Authentifizierungsarten zwischen zwei Endpunkten für die Automatisierung von Abläufen nicht zur Verfügung; Beispielsweise für OCI Funktionen oder automatisierte Schnittstellen von Drittanwendungen.

Einstellungen zur Authentifizierung

AD Authentifizierung

Sofern Sie den Web- oder Applikationsserver auf eigener Infrastruktur betreiben oder eine ausreichend abgesicherte Verbindung zu einem Ihrer AD Domaincontrollern besteht, kann die Authentifizierung gegen Ihre Domäne erfolgen.

Der Benutzer meldet sich mit dem vollständigen Benutzernamen am CMS an (hans.muster@company.lan)
Die Anmeldung wird akzeptiert, wenn der Benutzer Mitglied in mindestens einer der dafür konfigurierten ‘AD Gruppen’ ist.

Im CMS werden diese 'AD Gruppen' in der Benutzerverwaltung automatisch angelegt. Diese Gruppen dürfen innerhalb des CMS beliebig verschoben und können zur Vergabe von Berechtigungen innerhalb des CMS herangezogen werden.

Kostenpflichtige Zusatzlizenz.

Integrierte Windows-Authentifizierung

Falls der Web- oder Applikationsserver Mitglied Ihrer Domäne ist, kann zusätzlich die «Integrierte Anmeldung» aktiviert werden. Personen, welche sich bereits mit einem Firmen Computer an Ihrer Domäne angemeldet haben, werden vom System direkt erkannt und müssen sich nicht noch einmal zusätzlich anmelden.
Es ist problemlos möglich, die «Integrierte Anmeldung» parallel zur regulären Anmeldung zu betreiben. Dazu wird im IIS lediglich eine zusätzlich «Site» mit aktivierter «Windows-Authentifizierung» angelegt.

Vorgehen

Neues «Web» im IIS erstellen, «Windows Authentifizierung» aktivieren, alle anderen Typen deaktivieren
Achten Sie darauf, dass in der Konfiguration der Anbieter Kerberos an erster Stelle steht. NTLM an zweiter Stelle kann als Fallback dienen.
Im Dateisystem des Webservers müssen für die Domänenbenutzer entsprechender Berechtigungen erteilt werden
Auf der Webapplikation werden Lese- und Ausführungsrechte benötigt, für das Konfigurationsverzeichnis Lese- und Änderungsrechte
In der Verzeichnisdienstkonfiguration sicherstellen, dass das Feld «NETBIOS Domainname» korrekt erfasst ist
Konfigurieren Sie Ihren Browser für die «Silent Authentication»
Fügen Sie die die Adresse des Webservers der Zone «Local Internet» hinzu
Sofern Sie die Anwendung das erste Mal mit Ihrem Konto nutzen, müssen Sie sich einmal anmelden, inklusive einer möglichen erforderlichen Zwei Faktor Athentifizierung

Ihren Browser für «Silent Authentication» konfigurieren

Edge

Control Panel/Network & Internet/Internet Options/Security

Firefox

Adresszeile: about:config / Suche nach network.automatic
In network.automatic-ntlm-auth.trusted-uris wird der Hostname eingetragen, bsp.: https://app.company.lan.

Einschränkungen

Personen, welche sich mittels dieser «integrierten Anmeldung» authentifiziert haben, können das eigene Passwort nicht ändern. Ebenfalls steht die Funktion «Passwort Zurücksetzen» nicht zur Verfügung.
Die «Zwei Faktor Authentifizierung (2FA)» steht nicht zur Verfügung.
Die Funktion 'Abmelden' steht nicht zur Verfügung.
Die Netzwerklatenzen zwischen dem Web- und den Domänencontrollern wirken stark auf das Leistungsverhalten der Anwendung ein.

Fehlerquellen

Falls die Cookie Einstellungen wie im folgenden Beispiel strikt konfiguriert sind, und deshalb das Session Cookie im Browser unter http nicht gesetzt wird, stellt man dies nicht sofort fest, weil integriert angemeldet wird. Achten Sie in diesem Fall darauf, dass die Site lediglich per https erreichbar ist, bzw. verwendet wird.

Cookie Einstellungen unter system.web

<system.web>
<sessionState cookieName="CompanySesID" cookieSameSite="Strict" />
<httpCookies httpOnlyCookies="true" requireSSL="true" sameSite="Strict"/>
</system.web>

Authentifizierung gegen ein STEPS® ERP

Webshops mit voll integriertem STEPS® ERP profitieren von der Anmeldung direkt an der ERP Umgebung.

Die Umsetzung einer spezifisch auf Ihre ERP Umgebung ausgelegte Integration, vorausgesetzt das ERP bietet entsprechende Schnittstellen, ist eine Frage von Stunden oder Tagen und nicht von Wochen.

Passwortrichtlinien und 2FA stehen ebenfalls zur Verfügung.

Sich ausgeben als eine andere Person

Verfügbar bei allen Authentifizierungsarten ausgenommen der OCI Authentifizierung

Einzelnen Personen kann dass Recht eingeräumt werden, sich als jemand anderes auszugeben. Die Funktion ist hilfreich im Zusammenhang mit der Unterstützung von anderen Anwendenden oder zur Verifizierung neu erstellter Zugänge, bevor diese dem internen oder externen Kunden zur Verfügung gestellt werden.

Für die Funktion sind folgende Berechtigungen erforderlich:

'Administrative Menüpunkte anzeigen' auf der Benutzerverwaltung (übergeordnete Berechtigung)
'Sich ausgeben als' auf der Person selbst, als welche Sie sich ausgeben möchten

Das System hält fest, wer wann und für wen diese Funktion gestartet hat, und wann diese wieder beendet wurde. Damit Urheber von Transaktionen ermittelt werden können, wird die effektiv angemeldete Person ausserdem in allen Ereignissen und Statusänderungen festgehalten.

OCI Authentifizierung

Für entsprechend konfigurierte Webshops

Sobald auf einem Konto eine OCI Konfiguration aktiviert ist, kann eine entsprechende OCI Authentifizierung erfolgen. Das Passwort kann gemäss Abbildung eingesehen werden.

Es gelten folgende Regeln:

Das Passwort wird automatisch erstellt oder kann manuell gesetzt werden.
Falls das Passwort entfernt wird, generiert das System automatisch ein neues.
Passwort- und 2FA Richtlinien
Die Richtlinien für Passwörter und die 2FA werden nicht angewandt. Die Veranwortung für starke Passwörter liegt bei den Verantwortlichen während dem «Onboarding»
Blockierungsregel für IP Adressen und Benutzer
Die Einstellungen in der Betrugsabwehr für das Blockieren von Benutzerkonten und IP-Adressen sind auch bei der OCI Anwendung aktiv.
Der Anmeldenamen entspricht demjenigen für die reguläre Anmeldung.
Mit diesem Passwort ist nur eine OCI Anmeldung möglich. Die Funktionen innerhalb des Webshops sind auf OCI Funktionen beschränkt.