Erweiterung B2B Usermanagement / LDAP-Anbindung Dirk Winkler dwinkler@next-level-integration.com www.next-level-integration.com
Inhalt Aktuelle Systemarchitektur für B2B-Login Motivation für Umstellung / Erweiterung Erweiterte Systemarchitektur Authentifizierungsszenarien (inkl. Fallbacks) Autorisierung (Rollen) Live-Demo zur Konfiguration Fragen, Feedback, Details next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice
BASIC-Authentication Bestehende Architektur Benutzer Browser Systeme Benutzername und Passwort werden in tomcat-users.xml gespeichert Pflege manuell in Datei Passwort im Klartext Zuordnung von Benutzern zu B2B- Rollen wird in B2B-Datenbank gespeichert Pflege über B2B-Frontend Authentifizierung per Basic- Authentication Benutzername und Passwort werden Base64- encodiert im HTTP Header abgelegt http http Tomcat BASIC-Authentication tomcat-users.xml: - Benutzer + Passwort B2B Berechtigungsprüfung Zugriff per JDBC Datenbank B2B-Rollen Zuordnung zu Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 3
Motivation für Umstellung / Erweiterung Konfigurierbare und erweiterbare Authentifizierungsarchitektur Auf Projekt-Basis können beliebige Anmeldeverfahren und Fallback- Szenarien implementiert werden Authentifizierungskonfiguration ist unabhängig vom B2B-Standard (Einspielen von Patches ohne Nachkonfiguration) Verbesserter Standard-Authentifizerungsmechanismus Administrierbarkeit (tomcat-users.xml) Datenschutz / Sicherheit (Klartext-Passworte) LDAP-Anbindung Benutzer Gruppenmitgliedschaften next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 4
Systemarchitektur (Übersicht) Benutzer Browser Benutzername und Passwort werden in B2B-Datenbank gespeichert Pflege über B2B-Frontend Passwort in verschlüsselter Form Authentifizierung über Central Authentication Service (CAS) Standard: Login-Formular zur Eingabe von Benutzername und Passwort Prüfung und Ausstellung eines Anmelde-Tokens http Redirect Tomcat Servlet-Filter (CAS Client) CAS Login Form B2B Login Process Datenbank-Benutzer / -Passwort Redirect mit Anmelde-Token Zugriff per JDBC Datenbank DB-Benutzer + Passwort (verschlüsselt) B2B-Rollen Zuordnung zu DB-Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 5
Beschreibung der Lösung CAS wird als zusätzliche J2EE-Applikation neben B2B deployt Konfiguration des Authentifizierungsszenarios (Kunden-spezifisch in XML) Anpassung Login-Formular (Look & Feel) B2B J2EE-Applikation wird per Servlet-Filter (CAS Client) geschützt Prüfung, ob valides Anmelde-Token vorliegt Falls nicht, Redirect auf CAS Bei gültigem Anmelde-Token, Bereitstellung des Benutzernamens über getRemoteUser() -> vgl. Java Servlet API Erweiterung B2B-Usermanagement Verwaltung von Benutzern aus Datenbank und LDAP Zuordnung von B2B-Rollen zu LDAP-Gruppen Konfiguration des LDAP-Zugriffs next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 6
Systemarchitektur (Detail) Benutzer Browser Systeme http http Redirect Tomcat BASIC Authentication Servlet-Filter (CAS Client) CAS Kerberos SSO Login Process B2B Login Form /as2 /receive /org.b2bbp.admin /monitor Windows-Benutzer / -Passwort Datenbank-Benutzer / -Passwort Berechtigungsprüfung Redirect mit Anmelde-Token Zugriff per JDBC Zugriff per LDAP Datenbank DB-Benutzer + Passwort (Notfall-Benutzer) Active Directory Windows-Benutzer B2B-Rollen AD-Gruppen Zuordnung zu AD-Gruppen Zuordnung zu DB-Benutzern next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 7
Mögliches Authentifizierungsszenario Kunden-spezifische Konfiguration in CAS Mögliches Authentifizierungsszenario Default: Single-Sign-On per SPNego/Kerberos Fallback 1: Formular-basierte Anmeldung mit Windows-Benutzername und –Kennwort (LDAP) Wird ausgeführt, wenn SSO per SPNego/Kerberos fehlschlägt (z.B. wegen falscher Konfiguration des Client-PCs) Fallback 2: Formular-basierte Anmeldung mit Benutzer aus B2B-Datenbank Für Notfallbenutzer, Administrator, externe Berater ohne Windows-Account - optional - - optional - next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 8
Autorisierung Zuordnung von LDAP-Gruppen zu B2B-Rollen in B2B Administration im B2B-Standard Autorisierung Zuordnung von LDAP-Gruppen zu B2B-Rollen in B2B Speicherung der Zuordnung in B2B-Datenbank Pflege über B2B-Frontend Windows-Benutzer erhalten die B2B-Rollen implizit über die Mitgliedschaft zu einer LDAP-Gruppe Pflege von Gruppenmitgliedschaften im Active Directory (Zuordnung von Windows-Benutzer zu LDAP-Gruppe) (Notfall-)Benutzern aus B2B-Datenbank werden B2B-Rollen direkt zugeordnet (wie bisher) next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 9
Live-Demo Neue DB-Tabelle, Benutzer anlegen und Rolle zuordnen Tomcat-Authentifizierung umstellen auf B2B-Datenbank CAS deployen (cas.war) CAS konfigurieren (deployerConfigContext.xml) Anmeldung mit /sectest prüfen Basic Authentication CAS Login b2b-engine.war deployen (Build-Property "useCasAuthentication=true") B2B konfigurieren (Global Properties) LDAP-Anbindung konfigurieren (CAS + B2B) CAS Details (Session-Timeouts, Secure Cookie, Branding Login-Form) next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 10
Links Central Authentication Service http://www.jasig.org/cas http://www.ja-sig.org/wiki/display/CASUM/Home http://www.ja-sig.org/wiki/display/CASUM/SPNEGO next-level-integration.com | next level portals – next level search – next level ccm – b2b by practice 11
Kontakt Dirk Winkler dwinkler@next-level-integration.com next-level-integration.com | B2B by Practice