Single Sign On

Allgemeines

Single Sign-On für Windows in XELOS wird durch die Verwendung des NTLMv2-Protokolls erreicht. Diese Auth-Methode kann in der erweiterten Konfiguration aktiviert werden:

SSO 1.png						Doc Files

Konfigurationsoptionen

Zieldomäne

Dies sollte Ihre Domain sein - erforderlich für eine erfolgreiche NTLM-Authentifizierung.

 

NTLM auf IP beschränken

Beschränken Sie die Single Sign-On-Funktion auf bestimmte IPs. Es wird empfohlen, Single Sign-On für interne Umgebungen zu verwenden und externe Benutzer auszuschließen. (In den meisten Fällen haben externe Benutzer nicht die erforderlichen Einstellungen[siehe unten] und werden sich durch den Autodialog verärgert fühlen).

NTLM auf Clients beschränken

Benutzer, die nicht in der Lage sind, das Single Sign-On zu nutzen (z.B. externe Benutzer, die nicht Mitglied Ihrer Domäne sind oder die Website nicht der vertrauenswürdigen Zone hinzugefügt haben), könnten das Gefühl haben, dass der Autodialog nagt. Es wird empfohlen, NTLM nur dann zu verwenden, wenn der Client die Funktion wahrscheinlich nutzen wird. Wenn Sie "WebDAV Clients" wählen, können Sie das SSO in Ihrem Browser weiterhin verwenden, indem Sie den Parameter ?a_sso=1 zur URL hinzufügen. Es wird empfohlen, die Startseite für richtig konfigurierte Clients mit diesem Parameter einzustellen.

 

Fehlerbehebung

Verwendung der gleichen Anmeldeinformationen

Bitte stellen Sie sicher, dass Kunden in XELOS das gleiche Login / Passwort verwenden, das sie auf ihren Arbeitsplätzen verwenden. (Für Clients, die ein Active Directory verwenden, ist es ratsam, Single Sign-On in Kombination mit der Active Directory Auth-Methode zu verwenden).

 

Vertrauen Sie Ihrer Intranetseite

Fügen Sie die Website zu Ihrer vertrauenswürdigen Zone oder zu lokalen Intranet-Sites hinzu:

SSO 2.png						Doc Files

Bitte stellen Sie sicher, dass die Sicherheitseinstellung das Senden von Anmeldeinformationen an die angegebene Zone erlaubt (standardmäßig ist dies für lokale Intranetsites erlaubt):

SSO 3.png						Doc Files

Bitte beachten Sie, dass Sie, wenn diese Einstellungen nicht korrekt waren, den Browser möglicherweise komplett neu starten müssen, damit Änderungen wirksam werden, möglicherweise sogar einen vollständigen Systemneustart erforderlich ist.

Für weitere Informationen können Sie sich hier über diese Aufgabe informieren: https://technet.microsoft.com/en-us/library/dd883248%28v=ws.10%20%29.aspx#addintranetsites

Sie können diese Einstellung auch über eine Gruppenrichtlinie bereitstellen:

  1. Erstellen Sie eine neue Gruppenrichtlinie in einer Betriebseinheit, die die Benutzer enthält, für die die Richtlinie gelten soll.
  2. Erstellen Sie unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung die folgenden Registrierungsschlüssel unter: HKEY_CURRENT_USER
    > Software > Microsoft > Windows > CurrentVersion > Internet-Einstellungen > ZoneMap > Domänen > "example.com" > * *
    .

    Fügen Sie dann DWORDS für die Protokolle hinzu, die Sie der lokalen Intranetzone hinzufügen möchten, und setzen Sie den Wert der Schlüssel auf 1.

SSO 4.png						Doc Files

 

SSO für WebDAV verwenden? Hinzufügen von Websites zu vertrauenswürdigen Websites

Damit der Webclient das Intranet als vertrauenswürdig erkennt, müssen Sie diese Seite ebenfalls in die "AuthForwardServerList" aufnehmen. Dies kann über den Registrierungseditor oder durch Ändern einer Gruppenrichtlinie erfolgen. Für weitere Informationen: http://support.microsoft.com/kb/943280/

A: Änderungsregistrierung

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters]

Fügen Sie REG_MULTI_SZ (Multi-String-Wert) "AuthForwardServerList" hinzu, wenn noch kein Parameter vorhanden ist:

SSO 5.png						Doc Files

B: Push über Gruppenrichtlinien

Stellen Sie die Registrierungseinstellung unternehmensweit mit Hilfe des Registrierungsassistenten in der Gruppenrichtlinien-Verwaltungskonsole GMPC bereit:

 

Mindestens einmal anmelden

Jeder Benutzer muss sich mit herkömmlichen Mitteln anmelden, bevor das SSO funktioniert. Dies ist erforderlich, damit das System die erforderlichen NTLM-Hashes vorberechnen kann. Dies gilt auch, wenn die Anmeldeinformationen auf dem Client oder der Domäne geändert werden, da sonst Single-Sign-On nicht funktioniert.

Sie benutzen noch kein XELOS Social Workplace?

Jetzt informieren!

Durch klick auf den Link "jetzt informieren", gelangen Sie auf unsere Produktseite "xelos.net".