2017 R1 Update Rollup 1

AuthentifizierungPermanenter Link zu dieser Überschrift

Die Webservices können aus jenen Umgebungen heraus aufgerufen werden, die eine SOAP-Kommunikation (auf Basis HTTP/HTTPS und XML) erlauben. Diese Umgebung muss in der Lage sein, mit den Microsoft Internetinformationsdiensten via HTTP/HTTPS zu kommunizieren, insbesondere auf Basis der tatsächlich implementierten Security- und Authentifizierungskonfiguration der Microsoft Internetinformationsdienste.

Die Authentifizierung wird im Sinne eines Single Sign On technisch über den Mechanismus „Integrated Login“ realisiert.

Die Authentifizierung der Benutzer der Fachanwendung erfolgt beim „Integrated Login“ durch das Kerberosprotokoll, das sowohl die Fachanwendungsdomäne als auch die Stammdomäne unterstützen müssen. Der Zugriff erfolgt nach folgendem schematischem Ablauf:

Voraussetzungen für die Authentifizierung über Kerberos:

  1. Fabasoft Produktinstallation
  2. Einstellungen beim Webserver der Fachanwendung
    Microsoft Knowledge Base Article – 832769
  3. Das Benutzerrecht für die Delegation muss entweder bei den Sicherheitseinstellungen des aktuellen Computers bzw. beim Benutzeraccount eingetragen sein (abhängig vom Account, unter dem der Webserver der Fachanwendung läuft).
  4. Der Webbrowser muss Kerberos-Authentifizierung unterstützen.
  5. Der betreffende angemeldete Anwender der Fachanwendung muss ein Benutzer in der Fabasoft Produktinstallation Domäne sein und auf dem Webserver der Fabasoft Produktumgebung authentisiert werden können.
  6. Die Client-Verbindung zum Webservice der Fabasoft Produktumgebung muss mit Kerberos aufgebaut worden sein.

Active-Directory-UmgebungPermanenter Link zu dieser Überschrift

Um die Kerberos-Authentifizierung zu verwenden, muss auf allen Rechnern eine unterstützte Microsoft-Windows-Version installiert sein. Darüber hinaus müssen die Benutzerkonten, die Rechte erhalten sollen, im Active Directory gespeichert werden.

Damit die Kerberos-Authentifizierung erfolgreich durchgeführt werden kann, müssen alle Rechner (Client- und Server-Maschinen) dem gleichen Active-Directory-Forest angehören.

Einstellungen im Microsoft Internet Explorer Permanenter Link zu dieser Überschrift

In diesem Kapitel wird beschrieben, welche Einstellungen im Microsoft Internet Explorer vorgenommen werden müssen, um sicherzustellen, dass die Kerberos-Authentifizierung am Client-Rechner verwendet wird.

Folgende Schritte müssen am Client-Rechner durchgeführt werden:

  1. Starten Sie den Microsoft Internet Explorer.
  2. Wählen Sie „Extras“ > „Internetoptionen...“.
  3. Wechseln Sie auf die Registerkarte „Erweitert“.
  4. Stellen Sie sicher, dass die Option „Integrierte Windows-Authentifizierung aktivieren (Neustart erforderlich)“ im Bereich „Sicherheit“ aktiviert ist.
  5. Wechseln Sie auf die Registerkarte „Sicherheit“.
  6. Wählen Sie die „Lokales Intranet“-Zone und klicken Sie auf die Schaltfläche „Sites...“.
  7. Geben Sie die URLs der Webserver der Fachanwendung und der Fabasoft Produktinstallation (http://<webserver>) ein und klicken Sie auf „Hinzufügen“.
  8. Klicken Sie auf „Schließen“, um das Dialogfenster zu schließen.
  9. Klicken Sie auf  „OK“, um die Einstellungen zu speichern.
  10. Schließen Sie den Microsoft Internet Explorer.

Benutzerkonto für die Delegation konfigurierenPermanenter Link zu dieser Überschrift

Folgende Schritte müssen am Active-Directory-Domänencontroller durchgeführt werden, damit sichergestellt wird, dass die Delegation für ein Benutzerkonto verwendet wird.

  1. Loggen Sie sich als Administrator am Domänencontroller ein.
  2. Klicken Sie auf „Start“ > „Programme“ > „Verwaltung“ > „Active Directory-Benutzer und –Computer“.
  3. Navigieren Sie zum „Users“-Ordner der entsprechenden Microsoft Windows-Domäne.
  4. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das delegiert werden soll und wählen Sie „Eigenschaften“ aus dem Kontextmenü.
  5. Wechseln Sie zur Registerkarte „Konto“.
  6. Stellen Sie sicher, dass die Option „Konto ist vertraulich und kann nicht delegiert werden“ in der Liste „Kontooptionen“ nicht ausgewählt ist.
  7. Klicken Sie auf „OK“, um das Dialogfenster zu schließen.

Benutzerkonto, unter dem die Fabasoft Folio Webservices laufen, konfigurierenPermanenter Link zu dieser Überschrift

In diesem Abschnitt wird beschrieben, wie sichergestellt werden kann, dass für den Benutzer, unter dem die Fabasoft Folio Webservices (sowohl von der Fachanwendungsdomäne als auch von der Stammdomäne) laufen, die Delegation verwendet wird.

Hinweis: Bei Verwendung von Anwendungspools müssen die Einstellung für den Benutzer vorgenommen werden, unter dem der Anwendungspool läuft.

Durchzuführende Konfigurationseinstellungen am Active-Directory-Domänencontroller:

  1. Klicken Sie auf „Start“ > „Programme“ > „Verwaltung“ > „Active Directory-Benutzer und –Computer“.
  2. Navigieren sie zum „Users“-Ordner der entsprechenden Domäne.
  3. Öffnen Sie die Eigenschaften des Benutzerkontos, unter dem die Fabasoft Folio Webservices bzw. der Anwendungspool läuft.
  4. Aktivieren Sie die Option „Benutzer bei Delegierung aller Dienste vertrauen (nur Kerberos)“ auf der Registerkarte „Delegierung“.

Anschließend muss der Service Prinzipal Name für den Benutzer, unter dem die Fabasoft Folio Webservices laufen, gesetzt werden. Dadurch wird festgelegt, dass dieser Benutzer auf den angegebenen Rechnern als Service-Benutzer verwendet werden darf.

  1. Geben Sie in der Kommandozeile folgenden Befehl ein, wobei FQDNServerMachine der vollständig qualifizierte Domänenname des Rechners, auf dem die Fabasoft Folio Webservices installiert sind, ist. ServiceUser ist der Domänen-Benutzeraccount.
    setspn.exe –A HTTP/<FQDNServerMachine> <ServiceUser>
    Hinweis: Es muss der vollständig qualifizierte Domänenname des Rechners verwendet werden, nicht der NetBIOS-Name!