Schritt 2: RSTS konfigurieren
Um Webauthn am RSTS zu konfigurieren
-
Nehmen Sie eine der folgenden Aktionen vor:
-
Wenn Sie den RSTS installieren: Bei der Installation des RSTS wählen Sie das vorherig erstellte OAuth-Signatur-Zertifikat, damit der entsprechende Eintrag am Identitätsanbieter im One Identity Manager entsprechend gesetzt wird.
-
Wenn der RSTS bereits installiert ist: Beenden Sie den entsprechenden Dienst und tauschen Sie die Datei RSTS.exe durch die aktuelle Version aus und starten Sie den RSTS neu.
Die aktuelle Version der Datei RSTS.exe finden Sie im Installationsmedium im Verzeichnis Modules\QBM\dvd\AddOn\Redistributable STS.
-
In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS' auf: https://<Webanwendung>/RSTS/admin.
-
Auf der Startseite klicken Sie Applications.
-
Auf der Seite Applications klicken sie Add Application.
-
Auf der Seite Edit vervollständigen Sie die Angaben in den verschiedenen Tabreitern.
HINWEIS: Die Weiterleitungs-URLs (Redirect Url) im Tabreiter General Settings werden nach folgenden Formaten gebildet:
-
Wechseln Sie zum Tabreiter Two Factor Authentication.
-
Im Tabreiter Two Factor Authentication im Bereich Required By in der Liste klicken Sie auf:
-
All Users: Alle Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden.
-
Specific Users/Groups: Bestimmte Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden. Diese können Sie hinzufügen, indem Sie Add klicken.
-
Not Required: Der Anwendungsserver entscheidet, welche Benutzer sich per Zwei-Faktor-Authentifizierung anmelden müssen.
-
In der Navigation klicken Sie Home.
-
Auf der Startseite klicken Sie Authentication Providers.
-
Auf der Seite Authentication Providers bearbeiten Sie den Eintrag in der Liste.
-
Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.
-
Im Bereich Two Factor Authentication Settings klicken Sie FIDO2/WebAuthn.
-
Bearbeiten Sie die folgenden Eingabefelder:
-
Relying Party Name: Geben Sie einen beliebigen Namen ein.
-
Domain Suffix: Geben Sie das Suffix Ihrer Active Directory-Domäne ein, auf welcher der RSTS gehostet wird.
-
API URL Format: Geben Sie die URL des Anwendungsservers ein. Die eingegebene URL muss einen Platzhalter in der Form {0} enthalten, der die eindeutige Kennung des Benutzers angibt.
Das API URL Format wird vom RSTS genutzt, um die Liste der Webauthn-Sicherheitsschlüssel eines bestimmten Benutzers abzurufen. Geben Sie die URL in folgendem Format an:
https://<Server-Name>/<Anwendungsserver-Pfad>/appServer/webauthn/<Identitätsanbieter>/Users/{0}
-
<Server-Name> – Vollqualifizierter Host-Name des Webservers, der den Anwendungsserver hostet
-
<Anwendungsserver-Pfad> – Pfad zur Webanwendung des Anwendungsserver (Standard: AppServer)
-
<Identitätsanbieter> – Name des Identitätsanbieters
TIPP: Den Namen des Identitätsanbieters können Sie im ermitteln:
Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenId Connect Konfiguration
Beispiel:
https://www.example.com/AppServer/appServer/webauthn/OneIdentity/Users/{0}
-
Klicken Sie Finish.
Verwandte Themen
Schritt 3: Anwendungsserver konfigurieren
Der RSTS ruft die Webauthn-Sicherheitsschlüssel für Active Directory-Benutzer über eine Schnittstelle ab. Da diese Informationen sensibel sind und nicht von Unbefugten abgerufen werden dürfen, muss der Zugriff über eine Client-Zertifikat-Anmeldung abgesichert werden.
Damit dies funktionieren kann, müssen die Zertifikate gültig sein und die Client-Zertifikat-Anmeldung am IIS aktiv sein.
Der Anwendungsserver prüft bei der Anmeldung den Fingerabdruck des Zertifikats, mit dem sich der Client angemeldet hat. Nur wenn der Fingerabdruck mit dem hinterlegten Fingerabdruck übereinstimmt, werden die Informationen geliefert.
Falls Sie den Anwendungsserver auch als Backend für Webanwendungen verwenden, vergeben Sie für den Anwendungspool-Benutzer Zugriffsberechtigungen auf den privaten Schlüssel des OAuth-Signatur-Zertifikat.
Um die Client-Zertifikat-Anmeldung am IIS zu aktivieren
-
Starten Sie den Internet Information Services Manager.
-
Öffnen Sie für den entsprechenden Anwendungsserver das Menü SSL Settings.
-
Ändern den Wert der Option Client certificates auf Accept.
Verwandte Themen
Schritt 4: Webanwendung konfigurieren
HINWEIS: Die Webanwendung, die Webauthn verwenden soll, muss das sichere Kommunikationsprotokoll HTTPS verwenden (siehe HTTPS verwenden).
Um Webauthn in der Webanwendung zu konfigurieren
-
Starten Sie den Web Designer.
-
In der Menüleiste klicken Sie Ansicht > Startseite.
-
Auf der Startseite klicken Sie Webanwendung auswählen und wählen Sie die gewünschte Webanwendung aus.
-
Klicken Sie 
Einstellungen der Webanwendung bearbeiten.
- Im Dialogfenster Einstellungen der Webanwendung bearbeiten in der Auswahlliste Authentifizierungsmodul klicken Sie OAuth 2.0/OpenID Connect.
- Im Bereich OAuth in der Auswahlliste OAuth 2.0/OpenID Connect Konfiguration klicken Sie den entsprechenden Identitätsanbieter.
- Klicken Sie OK.
-
In der Menüleiste klicken Sie Bearbeiten > Projekt konfigurieren > Webprojekt.
-
Im Fenster Projekt konfigurieren konfigurieren Sie die folgenden Konfigurationsschlüssel:
-
VI_Common_RequiresAccessControl: Aktivieren Sie diesen Parameter, um die Zwei-Faktor-Authentifizierung zu aktivieren.
-
VI_Common_AccessControl_Webauthn_2FA: Legen Sie fest, ob Sie die Webauthn-Zwei-Faktor-Authentifizierung für die Webanwendung aktivieren möchten.
Sie können die Webauthn-Zwei-Faktor-Authentifizierung und die Verwaltung der Sicherheitsschlüssel voneinander getrennt konfigurieren. Wenn Sie beispielsweise nur die Verwaltung der Sicherheitsschlüssel, nicht aber die Zwei-Faktor-Authentifizierung mithilfe der Sicherheitsschlüssel in der Webanwendung aktivieren möchten, deaktivieren Sie diesen Konfigurationsschlüssel und aktivieren Sie den nachfolgend beschriebenen Konfigurationsschlüssel VI_Common_AccessControl_Webauthn_2FA_VisibleControls.
-
VI_Common_AccessControl_Webauthn_2FA_VisibleControls: Legen Sie fest, ob Benutzer in der Webanwendung Sicherheitsschlüssel verwalten können.
-
VI_Employee_QERWebAuthnKey_Filter: Legen Sie fest, welche Mitarbeiter Sicherheitsschlüssel in der Webanwendung verwalten können. Wenn Sie hier nichts angeben, können alle Benutzer der Webanwendung Sicherheitsschlüssel verwalten (vorausgesetzt der Konfigurationsschlüssel VI_Common_AccessControl_Webauthn_2FA_VisibleControls ist aktiviert).
-
VI_Common_AccessControl_Webauthn_2FAID: Geben Sie die eindeutige Kennung des sekundären Authentifizierungsanbieters für die Webauthn-Zwei-Faktor-Authentifizierung ein. Diese Kennung finden Sie in Ihrer RSTS-Konfiguration:
-
In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS auf: https://<Webanwendung>/RSTS/admin
-
Auf der Hauptseite klicken Sie Authentication Providers.
-
Auf der Seite Authentication Providers klicken Sie den entsprechenden Eintrag.
-
Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.
-
Entnehmen Sie dem Feld Provider ID die entsprechende Kennung.
Verwandte Themen
Starling Two-Factor Authentication
Starling Two-Factor Authentication
Eine höhere Sicherheit beim Anmelden an einer Webanwendung gewährleistet die Multifaktor-Authentifizierung. Für die Multifaktor-Authentifizierung nutzen die Werkzeuge des One Identity Manager die Starling Two-Factor Authentication.
Zur Nutzung der Starling Two-Factor Authentication müssen folgende Voraussetzungen erfüllt sein:
- Benutzer müssen über ein registriertes Starling 2FA Token verfügen.
- Verwendung eines personenbezogenes Authentifizierungsmodul, zum Beispiel "Person (rollenbasiert)".
Die Starling Two-Factor Authentication erfolgt nach der primären Anmeldung an der Datenbank und ist von dieser unabhängig. Auf Ebene der Webanwendung wird jeder Zugriff auf andere Seiten verhindert, solange keine Starling Two-Factor Authentication durchgeführt wurde.
