SSO - Single Sign On
Anmeldung aus Fremdsystem
Sie binden den folgenden Link mit verschiedenen Parametern ein:
https://recruitingapp-['''KundenID'''].umantis.com?perskey=['''PersKey''']&digest=['''Digest''']&customer=['''KundenID''']
| [KundenID] | Ihre umantis KundenID | 1 |
| [PersKey] | Der eindeutige Schlüssel der Person | 100 |
| [Digest] | md5 Verschlüsselung über die folgenden Werte: md5( [KundenID] & [PersKey] & [Authentifizierungsschlüssel]) |
1100um@nti$ |
Der Authentifizierungsschlüssel wird in umantis unter Einstellungen > Grundeinstellungen > Organisationsprofil > Authentifizierungsschlüssel für Single Sign On (SSO) definiert. Die Verwendung von Sonderzeichen ist erlaubt.
Im Beispiel wird als Authentifizierungsschlüssel um@nti$ verwendet. Um die Berechnung des Digest (md5-Schlüssels) zu testen, geben Sie hier die Angaben ein und wählen Sie md5: Testberechnung
Die Berechnung mit dem Beispiel ergibt den folgenden Digest: 27258cc5fb4f3281ed062eb0dce50198
umantis empfiehlt allen ihren Kunden, das SSO soll über einen HTTP-POST Aufruf zu benutzen. Anschliessend werden die Vor- und Nachteile von GET und POST-Aufrufen kurz erklärt.
| Vorteile | Nachteile | |
| GET | Ist einfach als Link im Intranet einzubinden. | - URL kann vom Benutzer 'gespeichert' werden und von überall her aufgerufen werden. - Parameter sind auf jedem Router zwischen Benutzer und umantis im Klartext zu lesen -> Security! |
| POST | - Sicherer, da die Parameter weder vom Benutzer noch auf einem Router 'dazwischen' gelesen werden können. - Link im Intranet kann auf eine 'versteckte' Seite geleitet werden, welche die Parameter bereitstellt / berechnet und den HTTP-POST Aufruf vollzieht. |
Etwas mehr Aufwand in das Intranet zu integrieren. |
Gross-/Kleinschreibung: Es muss darauf geachtet werden, dass in beiden Systemen (Kunden-Intranet und umantis) alle Angaben (PersKey und QuellsystemKey) in der gleichen Schreibweise gespeichert / übermittelt werden. Dies bedeutet, dass dies auch beim Stammdatenimport berücksichtigt werden muss.
- Login-Name für jeden Mitarbeiter mit SSO: Jeder Mitarbeiter, welcher über SSO sich authentifizieren möchte, muss einen Loginnamen haben.
- Aktive Stelle: Mitarbeiter, welche sich über SSO authentifizieren möchten, müssen eine aktive Stelle im System haben. (Dies steht im Gegensatz zu der Authentifizierung über Login und Passwort, bei welcher es egal ist, ob eine aktive Stelle vorhanden ist.)
Anwendungsbeispiel
Um umantis nutzen zu können, soll auf einen Link geklickt werden können, ohne dass eine zweite Anmeldung nötig ist. Dazu lassen Sie in Ihrem Intranet einen Link einbauen, der die bereits in umantis erfassten Personen direkt auf die Hauptseite führt, ohne dass sich diese anmelden müssen. Ihre Mitarbeiterinnen und Mitarbeiter müssen sich folglich nur anmelden, um Zugriff auf Ihr Intranet (welches z.B. an einem LDAP hängt) zu erhalten.
Mitarbeiterinnen und Mitarbeiter, welche sich in SAP (oder einem ähnlichem ERP) angemeldet haben, können direkt auf umantis zugreifen.
Links in E-Mails
Vorbereitung auf Seiten des Kunden
Es muss eine Seite geben, welche bei Aufruf die SSO - Authentifizierung vornimmt und an die Parameter, welche Angegeben wurden, an die umantis-Lösung weiterleitet. Datei:0Checkmark.gif Da wir in unseren Links teilweise auch noch Parameter übergeben, muss diese Seite mehrere Parameter verarbeiten können.
Links in den E-Mails:
Dies am Beispiel des "Erinnerungs E-Mails" zu Aufgaben (https://employeeapp-[KUNDENID].umantis.com/Administration/SystemTemplates/3/Basics∞).
- Aktueller Stand:
- https://[Special.Hostname]/EmplMan/Tasks/[Tasks.ID]/Basic?customer=[Special.Customer]
- SSO - Link:
- http(s)://kunden.intranet/Seite/Zum/SSO/Login?url=/EmplMan/Tasks/[Tasks.ID]/Basic?lang=XXX&customer=[Special.Customer]
- Am SSO - Link sieht man, dass die eigentliche Seite, zu welcher verwiesen werden soll (/EmplMan/Tasks/[Tasks.ID]/Basic) als Parameter und noch zwei zusätzliche Parameter (lang=XXX&customer=[Special.Customer]) übergeben wird.
Single Sign On über Browserzertifikat (PKI)
Um die Authentifizierung per PKI (Public-Key-Infrastruktur) zu ermöglichen, benötigt umantis folgende Dateien/Informationen: - die gültige CA (Zertifizierungsstelle), passend zu den von Ihnen verwendeten Client-Zertifikaten - Idealerweise ein passendes Client Zertifikat (für die Unterstützung bei der Einrichtung).
Einstellungen im umantis-System
Setzen Sie bei den Sicherheitseinstellungen unter SSO einen Haken beim Punkt „PKI benutzen“, um die Zertifikat-Verifizierung für Ihr System freizuschalten.
Als nächsten Schritt können Sie nun bei jedem Mitarbeiter/Benutzer unter Einstellungen => PKI Einstellungen die individuellen Daten aus dem personalisierten Zertifikat eintragen.
Die Felder heissen: Issuer, Subject, Gültig ab, Gültig bis.
Die Daten zu diesen Feldern entnehmen Sie dem Benutzer-Zertifikat. Beachten Sie, dass die Daten folgendem Muster entsprechen:
Issuer = C=CH, ST=SG, L=Sankt Gallen, O=umantis AG test, OU=IT, CN=ege, emailAddress=admantis@umantis.com
Subject = C=CH, ST=SG, L=St. Gallen, O=umantis AG, OU=Development, CN=Manuel Muster, emailAddress=manuel.must@umantis.com
Gültig ab = 01.05.2010
Gültig bis = 31.12.2010
Sie können die Informationen auch per Import in die Lösung einspielen. Zu beachten ist zudem, dass die Gültigkeitsdaten jeweils einen Tag unter dem eingetragenen Datum des Zertifikats liegen.
Bsp: Gültig ab Zertifikat = 02.05.2010 entspricht Gültig ab Mitarbeiter = 01.05.2010
Importieren des Zertifikates in den Browser
Firefox: Extras => Einstellungen => Erweitert => Zertifikate anzeigen => Importieren
Internet Explorer: Extras => Internetoptionen => Zertifikate => Importieren
Variablen für PKI
[User.PKIIssuer]
[User.PKISubject]
[User.PKINotBefore]
[User.PKINotAfter]