Authentifizierungsmethoden
Informationen
Es gibt zwei Authentifizierungsmethoden, die beide gleichzeitig aktiviert sein können.
Sind beide Methoden aktiviert, kann ein Teil der Benutzer beispielsweise über das Active Directory und der andere nur von der Applikation verwaltet werden.
Lokale Benutzer
Informationen
In docker-compose.yml die Authentifizierungsmethode "userpw" aktivieren:
'METEOR_SETTINGS={..., "userAuth":{ "userpw": true, ...Benutzer werden ausschließlich in der Datenbank verwaltet.
Über den Parameter Selbstregistrierung deaktivieren kann die Registrierung ausgeschaltet werden.
Benutzer können eingeladen werden über
das Panel Administration
SAML
Informationen
Konfiguration des IdP in PLANTA pulse im docker-compose.yml:
Die Schlüssel/Wert-Paare müssen im
docker-compose.ymlkommagetrennt in'METEOR_SETTINGS={ "saml":[{...}]eingefügt werden.Weiterhin im
docker-compose.ymldie Authentifizierungsmethode "saml" aktivieren:'METEOR_SETTINGS={..., "userAuth":{ "saml": true, ...
Schlüssel | Beschreibung | Pflichtfeld | Beispiel-Wert | Bemerkung |
|---|---|---|---|---|
| Identity Provider | Ja | "azure" | Aktuell wird nur "azure" unterstützt |
| SAML Endpunkt | Ja | "https://login.microsoftonline.com/c6c70-f7f7f-9bhh.../saml2" | (Verzeichnis-)Mandanten-ID |
| URL zur Applikation | Ja | "796732dd-5ff6-2d78-90bc-49ded..." | Anwendungs-ID |
| URL zu den Metadaten des IdP, v.a. Azure, ADFS | Ja | "https://login.microsoftonline.com/c6c70-f7f7f-9bhh.../federationmetadata/2007-06/federationmetadata.xml" | (Verzeichnis-)Mandanten-ID |
| Single Logout URL auf dem IdP | Nein | "https://planta.plantapulse.de/" | |
| Datei mit dem Applikations-Schlüssel, Base64-enkodiert | Nein | "certs/myPrivateKey.pem" | |
| Datei mit dem Applikations-Zertifikat, Base64-enkodiert | Nein | "certs/myPublicCert.pem" | |
| RequestedAuthnContext Wert | Nein | “urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport” | Verfügbar ab Release 44.5.1 Leer lassen für höhere Kompatibilität |
| Vergleichsmodus | Nein | “exact” | Verfügbar ab Release 44.5.1 Mögliche Werte: “exact”, ”minimum”, ”maximum”, ”better“ |
Benutzer werden beim Login automatisch in PLANTA pulse angelegt, wenn noch kein entsprechender Benutzer existiert (Kriterium ist die E-Mail-Adresse).
Verwendete Attribute des Providers für die Benutzer-Erstellung:
Attribut des IdP | Verwendung in pulse | Bemerkung |
|---|---|---|
Benutzer-E-Mail | Muss eindeutig sein | |
nameID | Benutzername | Muss eindeutig sein. PLANTA Azure nameID = E-Mail-Adresse |
Änderung: RequestedAuthnContext (pulse-Release 44.5.1)
Informationen
Mit dem pulse-Release 44.5.1 wurde das Verhalten des RequestedAuthnContext geändert.
Es stehen zwei neue Felder zur Verfügung:
authnContextundauthnContextComparison.
Details
Der RequestedAuthnContext ist nun optional.
Wird
authnContextnicht gesetzt, wird kein RequestedAuthnContext-Block mehr gesendet, was die Kompatibilität mit verschiedenen Identity Providern erhöht.Falls bestimmte Authentifizierungsmethoden erzwungen werden sollen, muss
authnContextbewusst gesetzt werden.
Nach einem Upgrade sollte geprüft werden, ob SSO weiterhin funktioniert und ob IdP-seitig ein bestimmter AuthnContext erwartet wird.