Authentifizierung in Aeneis über Spring Security
Die tokenbasierte Authentifizierung in Aeneis bietet die Möglichkeit, dass Benutzer-Daten über das Framework Spring Security mit Aeneis synchronisiert werden. Benutzer/-innen können somit über Single-Sign-On (SSO) direkt auf das Aeneis-Portal und die API zugreifen.
Hinweis: Die Authentifizierung in Aeneis über Spring Security funktioniert ohne eine zusätzliche LDAP-Sync-Lizenz.
Funktionen:
-
Authentifizierung über Azure AD, AWS, ADFS und SAML
-
Automatische Anlage von Benutzern/-innen und Synchronisation der konfigurierten Gruppenzuordnungen bei dem ersten Zugriff auf das Portal
-
Übernahme von Namen, E-Mail-Adressen und Gruppen aus dem Verzeichnis
Hinweis: Wird ein/e Benutzer/-in nach der Synchronisation aus dem Verzeichnis entfernt, bleibt er/sie in Aeneis vorhanden. Ein Zugriff ist jedoch nicht möglich, da kein gültiges Token vom Identity Provider erstellt wird.
Vorbereitungen:
-
Bestehende Benutzer/-innen müssen die BenutzerID verwenden, die innerhalb der Tokenauthentifizierung verwendet und synchronisiert wird. Werden unterschiedliche IDs verwendet, werden im Rahmen der automatischen Anlage zusätzliche Benutzer/-innen erzeugt.
-
Der SSL Trustkeystore ist ab Aeneis 6.3.SR1 immer "aeneis-server-keystore.jks".
-
SSL-Zetifikate: Das öffentliche Zertifikat der Login-Seite von z.B. Azure muss im Anwendungsverzeichnis hinzugefügt werden. Wenn es zu einem Fehler wegen eines fehlenden Zertifikats kommt, muss dieses im Anwendungsverzeichnis unter "aeneis-server-keystore.jks" hinzugefügt werden. Bei Azure z.B. das Zertifikat "stamp2-login-microsoftonline-com.pem".
Limitationen:
-
Nur das Portal und die API können über Spring Security authentifiziert werden.
-
Die elektronische Signatur (Eigenschaft Zeige Login-Dialog in Transitionen) funktioniert nur mit ADFS und Azure. Wenn die Authentifizierung über ADFS SAML2 konfiguriert ist, muss hierfür lediglich die Datei application.yml angepasst werden, siehe Elektronische Signatur für SAML2 ADFS.
-
Die Synchronisation der Gruppen funktioniert nur über Azure, ADFS und SAML2.
Benutzer/-innen automatisch importieren
Um Benutzer/-innen, die über eine tokenbasierte Authentifizierung synchronisiert werden, automatisch zu importieren, aktivieren Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Benutzer automatisch importieren:
Bei ADFS und Azure wird hier als ID der UPN (User Principal Name) verwendet. Bei AWS wird der cognito:username verwendet.
Benutzer/-innen automatisch aktualisieren
Um Benutzer/-innen, die über eine tokenbasierte Authentifizierung synchronisiert werden und die sich ändern, automatisch zu aktualisieren, aktivieren Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Importierte Benutzer automatisch aktualisieren:
Folgende Attribute werden aktualisiert, sobald sich Benutzer/-innen neu einloggen:
-
Benutzer-Bezeichnung
-
Benutzer-E-Mail
-
Benutzer-Gruppen: Wenn im Attribut Gruppen für LDAP-Registrierung Gruppen hinzugefügt werden, dann wird der/die Benutzer/-in beim nächsten Login in diese Gruppen hinzugefügt. Wenn eine Gruppe aus dem Attribut Gruppen für LDAP-Registrierung entfernt wird, dann wird der/die Benutzer/-in nicht automatisch aus der Gruppe entfernt, sondern muss manuell entfernt werden.
Anmelden am Portal
Nachdem die Authentifizierung in Aeneis über SSO eingerichtet wurde, müssen sich Benutzer/-innen nicht mehr extra am BPM-Portal anmelden. Damit sich Administrierende ohne SSO in Aeneis einloggen können, kann über folgenden Link die Anmeldemaske für das BPM-Portal geöffnet werden: https://[SERVER]:[PORT]/login.html.
Benutzer/-innen, die über die Schnittstelle automatisch in Aeneis importiert wurden, haben die Eigenschaft Ist externes Objekt?. Wenn Benutzer/-innen schon vorher in Aeneis angelegt waren und nachträglich SSO aktiviert wird, muss in der BenutzerAdministration im Benutzerobjekt die Eigenschaft Ist externes Objekt? manuell gesetzt werden. Die Eigenschaft Ist externes Objekt? bewirkt, dass sich Benutzer/-innen nur noch über die eingerichtete tokenbasierte Authentifizierung in Aeneis einloggen können.
Benutzer mit Gruppen synchronisieren
Um importierte Benutzer/-innen mit externen Gruppen zu synchronisieren, können Sie in der SystemAdministration in den Eigenschaften des Datenbankobjekts die Eigenschaft Importierte Benutzer mit externen Gruppen synchronisieren aktivieren.
Voraussetzung: Für die korrekte Synchronisierung, muss im IDP die Übertragung der Gruppen im Token konfiguriert sein. Die ID der Gruppe muss mit dem Wert der Gruppe übereinstimmen, die im Token überragen wird (in ADFS TokenGroups - unqualifizierter Name, in Azure samAccountName). In Aeneis müssen zusätzlich in der Gruppe die Eigenschaft Ist externes Objekt? aktiviert sein und die Eigenschaft Externe Synchronisations-ID leer sein.