Hjälpwebb SiteVision 4

Lägg till filter

Filter används för att få tag i inloggningsinformation från HTTP-förfrågan. Det kan exempelvis vara frågan om att hämta parametrar eller värden från en cookie.

Denna information kommer sedan att användas  av modulerna för att utföra inloggningen mot exempelvis en katalogtjänst via LDAP.

Lägg till filter

Formulärfilter

Detta filter använder parametrar för att få tag i användarnamn och lösenord. Antingen via POST eller GET, vilket innebär att följande adress kan användas för att identifiera användaren:

http(s)://www.xxx.xx/index.html?name=<uname>&pwd=<pwd>

Formulärfilter

BASIC

BASIC Authentication bygger på att webbläsaren skickar en HTTP-header som innehåller användarnamn och lösenord till servern.
Detta filter ska som standard vara med pga. exempelvis webdavklienter som endast kan hantera detta sätt att logga in. Här kan du läsa mer utförlig beskrivning om hur BASIC fungerar.

Basic

CAS/CAS2

CAS är en open source mjukvara för single sign-on (SSO) för webbapplikationer. Istället för att SiteVision hanterar inloggningen så görs Här kan du läsa mer om CAS Länk till annan webbplats, öppnas i nytt fönster..

CAS2

Enkel konfiguration

  • CAS login URL - måste anges (https://<cas-server>/cas/login)
  • CAS service URL eller Client server name - måste anges, detta är adressen som ska användas vid redirect efter lyckad inloggning.
  • CAS ticket validation URL - måste anges (https://<cas-server>/cas/serviceValidate)

Utvecklare kan skapa egna filter och använda dessa i SiteVision. Mer information om detta hittar du på sidan Custom JAAS modules (endast tillgänglig på engelska)

CAS 3

CAS är en open source mjukvara för single sign-on (SSO) för webbapplikationer. Istället för att SiteVision hanterar inloggningen så görs Här kan du läsa mer om CAS Länk till annan webbplats, öppnas i nytt fönster..

CAS3 använder sig av SAML1.1 protokollet för att autentisera användare. Där ingår stöd för "attributes release".

CAS3

Utförlig beskrivning av konfigurationsparametrarna Länk till annan webbplats, öppnas i nytt fönster.

CAS3

  • Tolerance - Ange hur stor tidskillnad/drift som tillåts mellan SiteVision och CAS servern.
  • CAS server login URL - Måste anges (https://<cas-server>/cas/login)
  • Renew ticket on login - Ange om du vill att CAS-servern ska kräva ny autentisering även om användaren redan har en session med CAS-servern
  • CAS server URL - CAS-serverns URL (https://<cas-server>/cas), måste anges
  • Client service URL - URL:en som användaren ska omdirigeras till efter godkänd autentisering. Denna eller "Klientens servernamn" måste anges.
  • Client server name - Ange servernamnet om du vill att användaren, efter godkänd autentisering, ska omdirigeras till den sida som användaren anropade. Denna eller "Klientens service URL" måste anges.
  • Ignore certificate - Anges vid exempelvis testning om du vill slippa att installera CAS-serverns certifikat i SiteVision eftersom kommunikationen mellan SiteVision och CAS-server måste ske med https.
  • Use SAML 1.1 - Ange om du vill använda SAML1.1 protokollet för kommunikation mellan SiteVision och CAS-server. I annat fall används CAS2.0.
  • Populate shared password - (Ej obligatoriskt). Användare som autenticierats via CAS3 modulen populeras med detta lösenord för att ett eventuellt integrerat bakomliggande system ska kunna verifiera att användaren blivit inloggad.
  • Auth-metod attribut - Vilket underliggande protokoll som används vid autentisering exempelvis SAML.

Klientadress

Klientadressfiltret används för att få tag i kilentens ip-adress som sedan kan användas för att tilldela läsrättigheter baserat på ip-adresser.

Klientadress
  1. Använd X-Forwared-For-Header - För att identifiera original ip-adressen om du går via en brandvägg.

Konfigurerbart filter

Det konfigurerbara filtret kan användas exempelvis om du har en egen säkerhetslösning som det inte finns något färdigt filter för. Här kan du välja hur användarnamn, lösenord och authtype hämtas från http-requesten.

Följande typer är möjliga:

  • none
  • header
  • parameter
  • cookie
  • konstant
Konfigurerbart filter

MobilityGuard

Specialicerat filter för att hantera headers som kommer från säkerhetslösningen MobilityGuard Länk till annan webbplats, öppnas i nytt fönster..

Det spelar ingen roll i vilken ordning detta filter kommer i filterkedjan.

MobilityGuard

Portwise

Specialiserat filter för att hantera cookies från säkerhetslösningen PortWise.

Portwise
  1. Använd Portwise cookie för klientadress - Bockar du i denna ruta så skickas IP-adressen från klientadressen till SiteVision istället för att skicka Portwise IP-adress. Använder du denna så kan man exempelvis nyttja IP-inloggning, logga vilken IP-adress som användare kommer ifrån.

OpenId

OpenId är en standard som möjliggör en federerad inloggning*. Används ofta för att ge användarna enkel inloggning till en community eller blogg. Används bland annat av Google, Facebook och Yahoo. Läs mer på http://openid.net/ Länk till annan webbplats, öppnas i nytt fönster.

OpenId

* Federerad inloggning= en användare kan logga in hos en organisation/tjänst med en identitet från en annan organisation eller identitetsutgivare.

Svensk e-identitet

I SiteVision finns en koppling till Svensk e-identitets ”molnbaserade” inloggningstjänster. När inloggningsmodulen i SiteVision används anropas Svensk e-identitets inloggningstjänst som utför inloggningen av användare enligt de regler som definierats. Läs mer om Svensk e-identitet.

Filter svensk e-identitet

Kerberos

Microsoft har gjort ett protokoll SPNEGO som möjliggör automatisk inloggning över Kerberos.

Kerberos
  1. Debug - Aktivera för att underlätta vid felsökning.
  2. Allowed addresses - Vilka ip-adresser som ska få automatisk inloggning. Har du flera ip-adressområden så lägger du till dem med ett kommatecken mellan varje område.
  3. Service principal - SPN, det tjänstekonto som används.
  4. KDC - Står för Key Distribution Center, vanligtvis domänkontrollant.
  5. Realm - Måste matcha domännamn på webbplatsen
  6. User-Agent filter (regexp) - Här kan du ställa in ett filter om du exempelvis vill kräva att en viss webbläsare ska användas. Typ *firefox.*
  7. Service password - Lösenordet för AD-konto som angivit för Kerberos.
  8. Domain - Domännamn på webbplatsen.

 Ställ in AD korrekt och läs på om Kerberos innan ni gör inställningar här.

Läs mer om inloggning med Kerberos hos Apache Tomcat på deras sida om Windows Authentication How-To Länk till annan webbplats, öppnas i nytt fönster..

NTLM

Detta är en föråldrad teknik. Vi rekommenderar SAML istället.

NTLM är en proprietär inloggningsmetod som används framförallt av Internet Explorer. Denna inloggningsmetod möjliggör automatisk inloggning mot SiteVision.

Det finns vissa begränsningar:

  • NTLM fungerar inte om det finns en webbproxy mellan användaren och SiteVision-servern
  • Den fungerar endast om "Integrerad Windows-autentisering" är aktiverad i Internet Explorer.
  • Adressen som används för att nå SiteVision-servern måste finnas med i zonen "Lokalt intranät" i Internet Explorer. Annars öppnas en windows-inloggningsruta där man måste logga in manuellt.
  • Cachning av lösenord i lokal profil gör att lösenordsbyte i vissa miljöer inte slår igenom i NTLM-inloggningen.
  • Användarna som loggar in via denna inloggningsmetod måste finnas i den första katalogtjänsten om det finns flera katalogtjänster.
NTLM
  1. Använd domännamn för kataloguppslag - Bocka i denna om du vill använda domännamnet.
  2. CIFS-server - SiteVision autentiserar användaren mot denna server via CIFS-protokollet. Oftast är detta samma server som katalogtjänsten finns på.
  3. Tillåtna adresser - Här anger du de ip-adresser som ska beröras av denna inloggningsmetod. I bilden ovan visas ett exempel på hur ett ip-range specificeras korrekt. Har du flera ip-range så ska de separeras med kommatecken. (OBS! Inga mellanslag någonstans). Om fältet lämnas tomt räknas alla ip-adresser som tillåtna.

Mer information om NTLM

Secure cookie

Filtret hanterar redirects för automatisk inloggning via säker cookie (se secure cookie-modul)

Detta filter måste finnas konfigurerat om Secure cookie inloggningen ska fungera.

Secure cookie

Social Autentisering

Social Autenciering

SAML 2

SAML står för Security Assertion Markup Language och är en XML-baserad öppen standard för att utbyta autentisering och behörigheter.

SAML är en federerad inloggningsmetod som ordnar egen inloggning mot AD utan att behöva direkt kontakt med AD. Lägg till ett SAML-filter för att göra inställningar:

För att få hjälp med att skapa ett SAML-filter kan du använda guiden för SAML-konfiguration.

SAML 2
  1. ConsumerService(Binding): HTTP-POST
  2. Standard felmeddelande - Om du vill ha eget felmeddelande istället för systemets felmeddelande.
  3. Inloggningsadress IDP - Fyll i denna om du använder IDP-initierad inloggning så redirectad användaren till IDP:n innan inloggning i SiteVision.
  4. Assurance level: 0
  5. Domännamn: För att kunna ha flera olika SAML konfigurationer på samma site så behöver du fylla i domännamn för att koppla konfigurationen mot ett domännamn.
  6. Keystore för certifikat: Bläddra fram keystore-filen som du laddat upp i filarkivet i SiteVision. Keystore-filen finns i zip-filen (som laddas hem via <adress>/saml/download).
  7. Lägg till NameID Policy i authenticeringsanropet - Om IDP:n kräver NameID policy behöver du bocka i denna ruta exempelvis Apache Shibboleth
  8. Ignorera certifikat - Om det går bra med självsignerade certifikat så bocka i denna ruta.
  9. Lösenord för certifikat: Keystore password som angavs i konfigurationen. <adress>/saml/configure
  10. Använd SHA256 för certifikat - Bocka i denna för att använda SHA 256-kryptering av keystoren i SAML-ticketen. Om du inte bockar i denna används den äldre metoden SHA 1 för kryptering.
  11. Adress till felsida - Om du vill ha en egen felsida istället för felmeddelande.
  12. Provider-metadata - Klistra in innehållet från SP-metadatafilen här.
  13. IDP-metadata (URL) - Om du hellre vill ange en adress till IDP-metadata. Fördelen med detta är att informationen uppdateras varje natt kl 05.
  14. IDP-metadata: Om du inte använder en adress till IDP-metadatat så klistrar du in innehållet från IDP-metadatafilen här.

Denna funktion kräver att du har licens för SAML.

SAML 2 ska ligga längst ner i filterlistan, eftersom filtren läses nedifrån och upp.

Denna sida publicerades:

Missa inga nya rön, tips och tricks! Prenumerera på insite!