Mit Single Sign-On können Benutzer nach einmaliger Authentifizierung auf mehrere Anwendungen zugreifen. Beim Single Sign-On wird ein Proxyserver zur Authentifizierung von Benutzern verwendet, sodass sie sich nicht bei Adobe Connect anmelden müssen.
Adobe Connect unterstützt folgende Single Sign-On-Anmeldeverfahren:
HTTP-Header-Authentifizierung
Konfigurieren Sie einen Authentifizierungs-Proxy, der die HTTP-Anforderung abfängt, die Anmeldedaten des Benutzers vom Header analysiert und an Adobe Connect weitergibt.
Microsoft NT LAN Manager (NTLM)-Authentifizierung
Konfigurieren Sie Adobe Connect für die automatische Authentifizierung von Clients durch einen Windows-Domänencontroller über das NTLMv1-Protokoll. Microsoft Internet Explorer unter Microsoft Windows kann die NTLM-Authentifizierung abwickeln, ohne dass der Benutzer seine Anmeldedaten eingeben muss.
Hinweis:
NTLM-Authentifizierung funktioniert auf Edge-Servern nicht. Verwenden Sie stattdessen LDAP-Authentifizierung.
Hinweis:
Mozilla Firefox-Clients können die NTLM-Authentifizierung vielleicht auch ohne Dialogabfrage durchführen. Weitere Informationen zur Konfiguration finden Sie in diesem Firefox-Dokument.
Sie haben auch die Möglichkeit, einen eigenen Authentifizierungsfilter zu erstellen. Weitere Informationen erhalten Sie vom Adobe-Support.
Wenn die HTTP-Header-Authentifizierung konfiguriert ist, werden Adobe Connect-Anmeldeanforderungen an einen Agenten weitergeleitet, der sich zwischen dem Client und Adobe Connect befindet. Bei diesem Agenten kann es sich um einen Authentifizierungs-Proxy oder um eine Softwareanwendung handeln. Der Agent authentifiziert den Benutzer, fügt der HTTP-Anforderung einen weiteren Header hinzu und sendet die Anforderung an Adobe Connect. Unter Adobe Connect müssen Sie die Kommentarmarkierung eines Java-Filters entfernen und in der Datei „custom.ini“ einen Parameter konfigurieren, der den Namen des zusätzlichen HTTP-Headers angibt.
Um die HTTP-Header-Authentifizierung zu aktivieren, müssen Sie auf dem Computer, der Adobe Connect hostet, eine Java-Filterzuordnung und einen Header-Parameter konfigurieren.
Der Authentifizierungscode muss den Benutzer authentifizieren, dem HTTP-Header ein Feld mit der Benutzeranmeldung hinzufügen und eine Anforderung an Adobe Connect senden.
-
http://example.com/system/login
-
Den Benutzer an die angeforderte Adobe Connect-URL verweisen und den Cookie BREEZESESSION als Wert des Parameters session wie folgt weitergeben:
http://example.com?session=BREEZESESSION
Hinweis:
Sie müssen den Cookie BREEZESESSION auch bei allen weiteren Anfragen an Adobe Connect in dieser Client-Sitzung weitergeben.
Im Folgenden wird eine Beispielimplementierung einer HTTP-Header-Authentifizierung beschrieben, bei der Apache als Authentifizierungsagent eingesetzt wird.
NTLMv1 ist ein Authentifizierungsprotokoll, das in Microsoft Windows-Netzwerken Bestandteil des SMB-Netzwerkprotokolls ist. Mit NTLM kann ein Benutzer seine Identität einmalig von der Windows-Domäne prüfen lassen, um künftig auf Netzwerkressourcen wie Adobe Connect zugreifen zu können. Um die Identität des Benutzers zu verifizieren, führt der Webbrowser automatisch eine Challenge-Response-Authentifizierung durch Adobe Connect über den Domänencontroller aus. Falls dieser Mechanismus fehlschlägt, kann der Benutzer sich auch direkt bei Adobe Connect anmelden. Single-Sign-on mit NTLMv1-Authentifizierung wird unter Windows nur von Internet Explorer unterstützt.
Hinweis:
Richten Sie Adobe Connect und NTLM unter Windows 2003 ein, da Adobe Connect NTLM v1 unterstützt. Windows 7 und höhere Versionen unterstützen NTLM v1 SSO nicht.
Hinweis:
Standardmäßig erfordern Windows Server 2003-Domänencontroller eine Sicherheitsfunktion, die SMB-Signatur genannt wird. Die Standardkonfiguration des NTLM-Authentifizierungsfilters unterstützt keine SMB-Signaturen. Der Filter lässt sich aber für die genannte Funktionsweise entsprechend konfigurieren. Weitere Informationen über diese und andere erweiterte Konfigurationsoptionen finden Sie unter JCIFS NTLM HTTP authentication documentation.
-
Synchronisieren Sie die LDAP-Benutzer der Domäne in Adobe Connect über die Verwaltungskonsole 8510. Informationen zur Integration von Adobe Connect mit LDAP finden Sie unter Adobe Connect mit einem LDAP-Ordner integrieren.
Hinweis:
Nachdem Sie LDAP in Adobe Connect synchronisiert haben, filtern Sie die LDAP-Daten so, dass der NTLM-Domänenbenutzername in die Adobe Connect-Datenbank übertragen wird. Andernfalls funktioniert die NTLM-SSO-Anmeldung nicht und es werden Anmeldefehler in der Datei debug.log protokolliert.
-
Öffnen Sie die Datei „[root_install_dir]\custom.ini“ in einem Texteditor und fügen Sie die folgenden Parameter hinzu:
Der Wert [domain] ist der Name der Windows-Domäne, deren Mitglieder die Benutzer sind und die für die Authentifizierung maßgeblich ist. Beispiel: FIRMENNETZ. Möglicherweise müssen Sie diesen Wert so ändern, dass der Domänenname mit Windows-Versionen vor Windows 2000 kompatibel ist. Weitere Informationen finden Sie in der TechNote 27e73404. Dieser Wert wird auf die Filtereigenschaft jcifs.smb.client.domain abgebildet. Durch das direkte Einstellen eines Wertes in der Datei web.xml wird der Wert aus der Datei custom.ini außer Kraft gesetzt.
Der Wert [WINS_server_IP_address] ist eine durch Kommas getrennte Liste mit IP-Adressen von WINS-Servern. Es müssen IP-Adressen eingegeben werden, der Hostname funktioniert nicht. Die WINS-Server werden in der angegebenen Reihenfolge abgefragt, um die IP-Adresse eines Domänencontrollers für die Domäne aufzulösen, die im Parameter NTLM_DOMAIN hinterlegt ist. (Der Domänencontroller authentifiziert die Benutzer.) Sie können auch direkt die Adresse des Domänencontrollers eingeben, beispielsweise: 10.169.10.77, 10.169.10.66. Dieser Wert wird auf die Filtereigenschaft jcifs.netbios.wins abgebildet. Durch das Einstellen des Wertes in der Datei web.xml wird der entsprechende Wert in der Datei custom.ini außer Kraft gesetzt.
Adobe Connect und NTLM verwenden unterschiedliche Anmelderichtlinien für die Benutzerauthentifizierung. Diese Richtlinien müssen aufeinander abgestimmt werden, bevor die Benutzer die Single-Login-Funktion nutzen können.
Bei der Anmeldekennung des NTLM-Protokolls kann es sich je nach Richtlinie oder Unternehmen um einen Benutzernamen (gschmidt), eine Mitarbeiter-ID (1234) oder um einen verschlüsselten Namen handeln. Standardmäßig verwendet Adobe Connect eine E-Mail-Adresse (z. B. „gschmidt@meinefirma.com“) als Anmeldekennung. Ändern Sie die Adobe Connect-Anmelderichtlinie, sodass Adobe Connect einen eindeutigen Bezeichner mit NTLM verwendet.