Einmalige Anmeldung (SSO)

Seit Version 2.6 können Sie Single Sign On (SSO) so konfigurieren, dass das Standard-Anmeldeformular entfernt wird. Eine Anmeldung ist nicht mehr erforderlich. SpaceObServer Web Access verwendet das Authentifizierungsobjekt aus der Windows-Anmeldung.

Zwei Schritte sind erforderlich, um SSO für SpaceObServer Web Access einzurichten:

Aktivieren der Windows-Authentifizierungsfunktion

  1. Starten Sie den Server Manager auf dem Rechner, auf dem Sie SpaceObServer Web Access installiert haben.

  2. Klicken Sie auf dem Dashboard auf den Link Add Roles and Features.

  3. Wählen Sie im linken Menü Server Roles aus.

  4. Navigieren Sie im Hauptfenster von Server Roles zu Web Server (IIS) ‣ Web Server ‣ Security und aktivieren Sie das Kontrollkästchen Windows Authentication.

  5. Drücken Sie die Schaltfläche Next und setzen Sie die Aktivierung fort.

Aktivieren Sie die Windows-Authentifizierung für die Website

  1. Öffnen Sie den IIS-Manager (inetmgr).

  2. Wählen Sie die Seite SpaceObServer WebAccess aus.

  3. Doppelklicken Sie im Hauptfenster auf Authentication.

  4. Aktivieren Sie den Modus Windows Authentication.

  5. Deaktivieren Sie alle anderen Modi (Forms Authentication, Anonymous Authentication, etc.).

Bemerkung

Ändern Sie die Datei Web.config (nur wenn Sie von einer früheren Version <V2.6 aktualisiert haben)

  1. Navigieren Sie zum Installationsverzeichnis (der Standardpfad ist C:\Program Files\JAM Software\SpaceObServer Web Access\) und öffnen Sie die Datei Web.config.

  2. Suchen Sie das XML-Element: <authentication>.

  3. Entfernen Sie das darin enthaltene Element <forms> ... </forms>, falls vorhanden, und speichern Sie die Datei.

  4. Starten Sie die Seite über den IIS-Manager neu.

Tipp

Wenn Sie von einem Client-Computer aus über den Browser auf die Website zugreifen und immer noch eine systemeigene Aufforderung zur Eingabe von Benutzername und Passwort angezeigt wird, fügen Sie die Site zur Intranetzone hinzu.

Hinzufügen der Website zur Intranetzone für alle Client-Computer

Sie können die Website über die Gruppenrichtlinie auf Ihrem Domänencontroller zur Intranetzone hinzufügen.

  1. Navigieren Sie zu Start ‣ Control Panel ‣ Administrative Tools ‣ Group Policy Management.

  2. Einblenden your forest ‣ Domains ‣ your domain.

  3. Klicken Sie mit der rechten Maustaste auf Group Policy Objects und klicken Sie auf New, geben Sie der Datei einen geeigneten Namen und klicken Sie auf OK.

  4. Klicken Sie mit der rechten Maustaste auf Ihr neu erstelltes Gruppenrichtlinienobjekt und klicken Sie auf die Schaltfläche Edit.

  5. Erweitern Sie User Configuration ‣ Policies ‣ Administrative Templates ‣ Windows Components ‣ Internet Explorer ‣ Internet Control Panel und klicken Sie auf Security Page.

  6. Öffnen Sie das Kontextmenü durch Rechtsklick auf Site to Zone Assignment List und klicken Sie auf Edit.

  7. Wählen Sie die Schaltfläche Enabled aus. Klicken Sie im Optionsbereich auf die Schaltfläche Show.

  8. Fügen Sie der Liste eine vertrauenswürdige Site hinzu (z. B. http://webaccess.company.com) und geben Sie ihr den Wert 1.

  9. Übernehmen Sie die Einstellungen, indem Sie auf OK, dann auf Apply und OK klicken, und schließen Sie das Fenster Gruppenrichtlinien-Verwaltungseditor.

  10. Klicken Sie im Fenster Gruppenrichtlinienverwaltung auf Ihr neues Gruppenrichtlinienobjekt (GPO) und navigieren Sie zum Reiter Delegation.

  11. Klicken Sie unten auf Add, geben Sie Ihren Benutzer/Ihre Gruppe ein, klicken Sie auf Check Names und dann auf OK. Wenn Sie alle Benutzer in Ihrer Domäne einbeziehen möchten, können Sie die Gruppe users hinzufügen.

  12. Ändern Sie die Auswahlliste unter Permissions in Edit settings, delete, modify security, und klicken Sie auf die Schaltfläche OK.

  13. Klicken Sie im Fenster Gruppenrichtlinienverwaltung in der Baumstruktur mit der rechten Maustaste auf Ihre Domäne im Ordner Domänen, um das Kontextmenü zu öffnen. Klicken Sie im Kontextmenü auf Link an Existing GPO.

  14. Wählen Sie Ihr erstelltes Gruppenrichtlinienobjekt (GPO) aus, und klicken Sie auf OK.

Die Client-Computer müssen ihre zwischengespeicherten Gruppenrichtlinien aktualisieren, um die Änderungen zu übernehmen. Dies kann auf den Client-Computern über den Befehl erfolgen:

gpupdate /force

Danach sollten alle Client-Computer, die den WebAccess im Browser aufrufen, kein Anmeldeformular mehr sehen. Sie werden automatisch authentifiziert.

Bemerkung

Wenn Ihre Client-Computer den Firefox-Browser verwenden, wird möglicherweise trotzdem ein nativer Anmeldebildschirm angezeigt, da Sie eine zusätzliche Konfiguration vornehmen müssen.