Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Erweiterung B2B Usermanagement / LDAP-Anbindung

Veröffentlicht von:Jan Wellbrock Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Erweiterung B2B Usermanagement / LDAP-Anbindung"—  Präsentation transkript:

1 Erweiterung B2B Usermanagement / LDAP-Anbindung
Dirk Winkler

2 Inhalt Aktuelle Systemarchitektur für B2B-Login
Motivation für Umstellung / Erweiterung Erweiterte Systemarchitektur Authentifizierungsszenarien (inkl. Fallbacks) Autorisierung (Rollen) Live-Demo zur Konfiguration Fragen, Feedback, Details next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice

3 BASIC-Authentication
Bestehende Architektur Benutzer Browser Systeme Benutzername und Passwort werden in tomcat-users.xml gespeichert Pflege manuell in Datei Passwort im Klartext Zuordnung von Benutzern zu B2B- Rollen wird in B2B-Datenbank gespeichert Pflege über B2B-Frontend Authentifizierung per Basic- Authentication Benutzername und Passwort werden Base64- encodiert im HTTP Header abgelegt http http Tomcat BASIC-Authentication tomcat-users.xml: - Benutzer + Passwort B2B Berechtigungsprüfung Zugriff per JDBC Datenbank B2B-Rollen Zuordnung zu Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 3

4 Motivation für Umstellung / Erweiterung
Konfigurierbare und erweiterbare Authentifizierungsarchitektur Auf Projekt-Basis können beliebige Anmeldeverfahren und Fallback- Szenarien implementiert werden Authentifizierungskonfiguration ist unabhängig vom B2B-Standard (Einspielen von Patches ohne Nachkonfiguration) Verbesserter Standard-Authentifizerungsmechanismus Administrierbarkeit (tomcat-users.xml) Datenschutz / Sicherheit (Klartext-Passworte) LDAP-Anbindung Benutzer Gruppenmitgliedschaften next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 4

5 Systemarchitektur (Übersicht)
Benutzer Browser Benutzername und Passwort werden in B2B-Datenbank gespeichert Pflege über B2B-Frontend Passwort in verschlüsselter Form Authentifizierung über Central Authentication Service (CAS) Standard: Login-Formular zur Eingabe von Benutzername und Passwort Prüfung und Ausstellung eines Anmelde-Tokens http Redirect Tomcat Servlet-Filter (CAS Client) CAS Login Form B2B Login Process Datenbank-Benutzer / -Passwort Redirect mit Anmelde-Token Zugriff per JDBC Datenbank DB-Benutzer + Passwort (verschlüsselt) B2B-Rollen Zuordnung zu DB-Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 5

6 Beschreibung der Lösung
CAS wird als zusätzliche J2EE-Applikation neben B2B deployt Konfiguration des Authentifizierungsszenarios (Kunden-spezifisch in XML) Anpassung Login-Formular (Look & Feel) B2B J2EE-Applikation wird per Servlet-Filter (CAS Client) geschützt Prüfung, ob valides Anmelde-Token vorliegt Falls nicht, Redirect auf CAS Bei gültigem Anmelde-Token, Bereitstellung des Benutzernamens über getRemoteUser() -> vgl. Java Servlet API Erweiterung B2B-Usermanagement Verwaltung von Benutzern aus Datenbank und LDAP Zuordnung von B2B-Rollen zu LDAP-Gruppen Konfiguration des LDAP-Zugriffs next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 6

7 Systemarchitektur (Detail)
Benutzer Browser Systeme http http Redirect Tomcat BASIC Authentication Servlet-Filter (CAS Client) CAS Kerberos SSO Login Process B2B Login Form /as2 /receive /org.b2bbp.admin /monitor Windows-Benutzer / -Passwort Datenbank-Benutzer / -Passwort Berechtigungsprüfung Redirect mit Anmelde-Token Zugriff per JDBC Zugriff per LDAP Datenbank DB-Benutzer + Passwort (Notfall-Benutzer) Active Directory Windows-Benutzer B2B-Rollen AD-Gruppen Zuordnung zu AD-Gruppen Zuordnung zu DB-Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 7

8 Mögliches Authentifizierungsszenario
Kunden-spezifische Konfiguration in CAS Mögliches Authentifizierungsszenario Default: Single-Sign-On per SPNego/Kerberos Fallback 1: Formular-basierte Anmeldung mit Windows-Benutzername und –Kennwort (LDAP) Wird ausgeführt, wenn SSO per SPNego/Kerberos fehlschlägt (z.B. wegen falscher Konfiguration des Client-PCs) Fallback 2: Formular-basierte Anmeldung mit Benutzer aus B2B-Datenbank Für Notfallbenutzer, Administrator, externe Berater ohne Windows-Account - optional - - optional - next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 8

9 Autorisierung Zuordnung von LDAP-Gruppen zu B2B-Rollen in B2B
Administration im B2B-Standard Autorisierung Zuordnung von LDAP-Gruppen zu B2B-Rollen in B2B Speicherung der Zuordnung in B2B-Datenbank Pflege über B2B-Frontend Windows-Benutzer erhalten die B2B-Rollen implizit über die Mitgliedschaft zu einer LDAP-Gruppe Pflege von Gruppenmitgliedschaften im Active Directory (Zuordnung von Windows-Benutzer zu LDAP-Gruppe) (Notfall-)Benutzern aus B2B-Datenbank werden B2B-Rollen direkt zugeordnet (wie bisher) next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 9

10 Live-Demo Neue DB-Tabelle, Benutzer anlegen und Rolle zuordnen
Tomcat-Authentifizierung umstellen auf B2B-Datenbank CAS deployen (cas.war) CAS konfigurieren (deployerConfigContext.xml) Anmeldung mit /sectest prüfen Basic Authentication CAS Login b2b-engine.war deployen (Build-Property "useCasAuthentication=true") B2B konfigurieren (Global Properties) LDAP-Anbindung konfigurieren (CAS + B2B) CAS Details (Session-Timeouts, Secure Cookie, Branding Login-Form) next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 10

11 Links Central Authentication Service http://www.jasig.org/cas
next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 11

12 Kontakt Dirk Winkler dwinkler@next-level-integration.com
next-level-integration.com | B2B by Practice

Herunterladen ppt "Erweiterung B2B Usermanagement / LDAP-Anbindung"

Ähnliche Präsentationen

Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Kunden Informationen: RUAG Aerospace

Kunden Informationen: RUAG Aerospace
E-Commerce Shop System

E-Commerce Shop System
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Server- und Dienstestruktur an der Uni Paderborn

Server- und Dienstestruktur an der Uni Paderborn
Studienarbeit Entwurf und Implementierung eines UPnP-Browsers

Studienarbeit Entwurf und Implementierung eines UPnP-Browsers
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
Scanner, Materialanforderungen und Dokumente

Scanner, Materialanforderungen und Dokumente
Agenda Ein Fallbeispiel Übersicht Architektur Subversion (SVN)

Agenda Ein Fallbeispiel Übersicht Architektur Subversion (SVN)
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
oodle BelWü Technische Details

oodle BelWü Technische Details
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Übung 5 Mehrstufige Client/Server-Systeme mit Enterprise Java Beans

Übung 5 Mehrstufige Client/Server-Systeme mit Enterprise Java Beans
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Windows auf öffentlichen PCs

Windows auf öffentlichen PCs
B2B by Practice - Funktionsbeschreibung

B2B by Practice - Funktionsbeschreibung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.

Ähnliche Präsentationen

Google-Anzeigen