{"id":193,"date":"2011-01-13T09:35:40","date_gmt":"2011-01-13T08:35:40","guid":{"rendered":"http:\/\/www.capri-soft.de\/blog\/?p=193"},"modified":"2011-04-12T09:17:30","modified_gmt":"2011-04-12T07:17:30","slug":"fluorinefx-single-sign-on-per-windows-authentifizierung","status":"publish","type":"post","link":"https:\/\/www.capri-soft.de\/blog\/?p=193","title":{"rendered":"FluorineFX: Single-Sign-On per Windows Authentifizierung"},"content":{"rendered":"

Aufgabenstellung<\/h1>\n

In einem Windows Netzwerk mit Windows Servern sollen beim Aufruf einer Intranet-Web-Anwendung der angemeldete Benutzer automatisch ermittelt werden, so dass keine Benutzername\/Kennwort-Maske zus\u00e4tzlich erforderlich ist. Anhand des Benutzernamens k\u00f6nnen Berechtigungen festgemacht werden, die z.B. \u00fcber ein Benutzerrollen-Konzept zugewiesen werden k\u00f6nnen.<\/p>\n

Ansatz<\/h1>\n

Es wird die FluorineFX-API verwendet um den Windows User zu ermitteln. Dies kann im Preloader der Flex\/Flash-Anwendung geschehen. Die Masken werden nachtr\u00e4glich anhand der Rolle aufgebaut bzw. angepasst.<\/p>\n

Definition des Benutzerrollenkonzeptes<\/h2>\n

Eine Rolle ist eine Aufgabe, die eine Person in einem Unternehmen hat. In der Datenbank w\u00fcrde man auf relationaler Ebene 3 Tabellen ben\u00f6tigen, um ein Benutzerrollen-Konzept zu realisieren. Ein Benutzer hat keine, eine oder mehrere Rollen, wobei eine Rolle keinem, einem oder mehreren Benutzern zugewiesen werden kann. Man ben\u00f6tigt also eine Tabelle USER <\/strong>und eine Tabelle ROLE<\/strong>. Da es sich hierbei um eine M:N-Beziehung handelt, ensteht eine Zusatztabelle USERROLE, die die Foreign Keys der Tabelle USER und ROLE speichert.<\/p>\n

Vorraussetzungen<\/h1>\n

In der Firma wird vorzugsweise der Internet-Explorer verwendet. Die Verwendung von Firefox ist m\u00f6glich, ben\u00f6tigt aber eine Spezialkonfiguration f\u00fcr Windows-Authentifizierung.<\/p>\n

Im IE:<\/p>\n

Unter Extras \/ Internetoptionen \/ Erweitert \/ Integrierte Windows Authentifzierung aktivieren<\/p>\n

Im Firefox:<\/p>\n

    \n
  • in der Adressleiste „about:config“ eingeben<\/li>\n
  • im Fenster rechte Maustaste, dann Neu -> String<\/li>\n
  • Eigenschaftsnamen „network.automatic-ntlm-auth.trusted-uris“ eingeben<\/li>\n
  • String-Wert: Name des Portalrechners. Wenn auf das Portal beispielsweise<\/li>\n<\/ul>\n

    \u00fcber http:\/\/musterfirma\/teamworks zugegriffen wird ist der korrekte Wert „musterfirma“ eingetragen<\/p>\n

    Im IIS Manager sollte mit der rechten Maustaste auf der Web-Anwendung \/ Eigenschaften der Haken „Windows Authentication“ gesetzt sein, sonst liefert der IIS nichts zur\u00fcck. <\/p>\n

    L\u00f6sung<\/h1>\n

    1.) Anlegen der 3 Tabellen USER, USERROLE und ROLE.
    \n2.) Der Windows-User kann in einem ordin\u00e4ren Backendservice mit folgendem Code ermittelt werden:<\/p>\n

    \r\nSystem.Security.Principal.WindowsPrincipal p =\r\nSystem.Threading.Thread.CurrentPrincipal as System.Security.Principal.WindowsPrincipal;\r\nstring strName = p.Identity.Name;\r\nstring userWithDeletedDomainPrefix = strName.Substring(strName.IndexOf("\\\\") + 1).Trim();\r\n<\/pre>\n
    3.) Reaktion in der Flex-Anwendung auf die zugewiesenen Rollen (Maskenaufbau)
    \n4.) Sch\u00fctzen der Backendservices anhand der zugewiesenen Rollen (Auch ohne Flex keine sicherheitskritischen Daten aufrufbar)<\/p>\n