Die Konfiguration von Webauthn für eine Webanwendung führen Sie in vier Schritten durch:
Konfigurieren Sie das OAuth-Zertifikat, um die sichere Kommunikation zwischen dem RSTS und One Identity Manager zu ermöglichen.
Konfigurieren Sie den RSTS.
Konfigurieren Sie den Anwendungsserver.
Konfigurieren Sie die Webanwendung.
Die Kommunikation zwischen dem RSTS und One Identity Manager findet mithilfe von Tokens statt, die mit dem privaten Schlüssel eines Zertifikats signiert werden. Dieses Zertifikat muss gültig und vertrauenswürdig sein, da der RSTS dieses Zertifikat auch zur Client-Zertifikatsanmeldung am Anwendungsserver verwendet. One Identity empfiehlt Ihnen, entweder eine bereits existierende Public-Key-Infrastruktur (PKI) oder eine neue Zertifizierungskette aus Root-Zertifikat und damit signiertem OAuth-Signatur-Zertifikat zu verwenden.
Um das OAuth-Signatur-Zertifikat zu konfigurieren
Erstellen Sie ein neues gültiges und vertrauenswürdiges OAuth-Signatur-Zertifikat.
Stellen Sie Folgendes sicher:
Der RSTS muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.
Der Anwendungsserver, von dem der RSTS die Webauthn-Sicherheitsschlüssel abfragt, muss der Zertifizierungskette des OAuth-Signatur-Zertifikats vertrauen.
Die Webanwendung, die eine Anmeldung per RSTS erlaubt, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.
Die Webanwendung, über welche die Webauthn-Sicherheitsschlüssel verwaltet werden sollen, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.
HINWEIS: Bevor Sie den RSTS konfigurieren können, müssen Sie das OAuth-Signatur-Zertifikat konfigurieren. Weitere Informationen finden Sie unter Schritt 1: OAuth-Zertifikat konfigurieren.
Um Webauthn am RSTS zu konfigurieren
Nehmen Sie eine der folgenden Aktionen vor:
Wenn Sie den RSTS installieren: Bei der Installation des RSTS wählen Sie das vorherig erstellte OAuth-Signatur-Zertifikat, damit der entsprechende Eintrag am Identitätsanbieter im One Identity Manager entsprechend gesetzt wird.
Wenn der RSTS bereits installiert ist: Beenden Sie den entsprechenden Dienst und tauschen Sie die Datei RSTS.exe durch die aktuelle Version aus und starten Sie den RSTS neu.
Die aktuelle Version der Datei RSTS.exe finden Sie im Installationsmedium im Verzeichnis Modules\QBM\dvd\AddOn\Redistributable STS.
In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS' auf: https://<Webanwendung>/RSTS/admin.
Auf der Startseite klicken Sie Applications.
Auf der Seite Applications klicken sie Add Application.
Auf der Seite Edit vervollständigen Sie die Angaben in den verschiedenen Tabreitern.
HINWEIS: Die Weiterleitungs-URLs (Redirect Url) im Tabreiter General Settings werden nach folgenden Formaten gebildet:
Für den API Server:
https://<Server-Name>/<Anwendungsserver-Pfad>/html/<Webanwendung>/?Module=OAuthRoleBased
Für das Web Portal:
https://<Server-Name>/<Webanwendung>/
Wechseln Sie zum Tabreiter Two Factor Authentication.
Im Tabreiter Two Factor Authentication im Bereich Required By in der Liste klicken Sie auf:
All Users: Alle Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden.
Specific Users/Groups: Bestimmte Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden. Diese können Sie hinzufügen, indem Sie Add klicken.
Not Required: Der Anwendungsserver entscheidet, welche Benutzer sich per Zwei-Faktor-Authentifizierung anmelden müssen.
In der Navigation klicken Sie Home.
Auf der Startseite klicken Sie Authentication Providers.
Auf der Seite Authentication Providers bearbeiten Sie den Eintrag in der Liste.
Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.
Im Bereich Two Factor Authentication Settings klicken Sie FIDO2/WebAuthn.
Bearbeiten Sie die folgenden Eingabefelder:
Relying Party Name: Geben Sie einen beliebigen Namen ein.
Domain Suffix: Geben Sie das Suffix Ihrer Active Directory-Domäne ein, auf welcher der RSTS gehostet wird.
API URL Format: Geben Sie die URL des Anwendungsservers ein. Die eingegebene URL muss einen Platzhalter in der Form {0} enthalten, der die eindeutige Kennung des Benutzers angibt.
Das API URL Format wird vom RSTS genutzt, um die Liste der Webauthn-Sicherheitsschlüssel eines bestimmten Benutzers abzurufen. Geben Sie die URL in folgendem Format an:
https://<Server-Name>/<Anwendungsserver-Pfad>/appServer/webauthn/<Identitätsanbieter>/Users/{0}
<Server-Name> – Vollqualifizierter Host-Name des Webservers, der den Anwendungsserver hostet
<Anwendungsserver-Pfad> – Pfad zur Webanwendung des Anwendungsserver (Standard: AppServer)
<Identitätsanbieter> – Name des Identitätsanbieters
TIPP: Den Namen des Identitätsanbieters können Sie im ermitteln:
Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenId Connect Konfiguration
Beispiel:
https://www.example.com/AppServer/appServer/webauthn/OneIdentity/Users/{0}
Klicken Sie Finish.
Der RSTS ruft die Webauthn-Sicherheitsschlüssel für Active Directory-Benutzer über eine Schnittstelle ab. Da diese Informationen sensibel sind und nicht von Unbefugten abgerufen werden dürfen, muss der Zugriff über eine Client-Zertifikat-Anmeldung abgesichert werden.
Damit dies funktionieren kann, müssen die Zertifikate gültig sein und die Client-Zertifikat-Anmeldung am IIS aktiv sein.
Der Anwendungsserver prüft bei der Anmeldung den Fingerabdruck des Zertifikats, mit dem sich der Client angemeldet hat. Nur wenn der Fingerabdruck mit dem hinterlegten Fingerabdruck übereinstimmt, werden die Informationen geliefert.
Falls Sie den Anwendungsserver auch als Backend für Webanwendungen verwenden, vergeben Sie für den Anwendungspool-Benutzer Zugriffsberechtigungen auf den privaten Schlüssel des OAuth-Signatur-Zertifikat.
Um die Client-Zertifikat-Anmeldung am IIS zu aktivieren
Starten Sie den Internet Information Services Manager.
Öffnen Sie für den entsprechenden Anwendungsserver das Menü SSL Settings.
Ändern den Wert der Option Client certificates auf Accept.
© ALL RIGHTS RESERVED. Feedback Nutzungsbedingungen Datenschutz Cookie Preference Center
