Externe Authentifizierung – WS-Trust (nur Authentifizierung)

Mit der Quelle „WS-Trust (Authentication Only)“ (WS-Trust (nur Authentifizierung)) können Sie einen externen Identitätsanbieter (Microsoft Active Directory Federated Services (ADFS)) zum Authentifizieren von Benutzern verwenden. Eingehende Benutzernamen und Kennwörter werden über den Identitätsanbieter geprüft. Der Identitätsanbieter muss das WS-Trust-Protokoll unterstützen (siehe Anforderungen unten).

Mit der von Single Sign-On bereitgestellten SAML-2.0-Unterstützung (siehe Funktionsumfang – Single Sign-On) können sich Benutzer über einen externen Identitätsanbieter authentifizieren, wenn sie die Web-Benutzeroberfläche von MOVEit verwenden. Das Modell, das auf der Authentifizierung von Clients beim Identitätsanbieter basiert, um eine SAML-Assertion zu erstellen, die von MOVEit „verbraucht“ werden soll, ist für Nicht-HTTP-Schnittstellen nicht verfügbar. Durch die zusätzliche Unterstützung des WS-Trust-Protokolls kann MOVEit ein sicheres Token in Form eines SAML-2.0-Assertionsdokuments direkt anfordern, indem der Benutzername und das Kennwort des Benutzers in der Anforderung angegeben werden. Wenn ein Identitätsanbieter-Server sowohl die SAML- als auch die WS-Trust-Authentifizierung unterstützt, können Benutzer dieselben Anmeldedaten sowohl für ein Single Sign-On über die Web-Benutzeroberfläche als auch eine Authentifizierung mit Benutzername/Kennwort über FTP- und SSH-Clients oder über Windows-Clients vornehmen, z. B. mit dem Ad Hoc Transfer-Plug-in für Outlook und MOVEit Sync.

Anforderungen

Zum Einrichten einer externen Authentifizierungsquelle mit WS-Trust benötigen Sie Folgendes:

• Einen Identity Provider. MOVEit unterstützt entweder:
  • Microsoft Active Directory-Verbunddienste (ADFS)
  • Active Directory-Verbunddienste (AD FS) von Windows Server (2016, 2019)
• Der Identitätsanbieter muss das WS-Trust-Protokoll, Version 1.3, unterstützen und mindestens eine Bindung zwischen einem Benutzernamen und einem Kennwort bereitstellen (Bindung, die ein UsernameToken oder eine HTTP BASIC- oder HTTP DIGEST-Authentifizierung akzeptiert).
• Der Identitätsanbieter muss sich auf einem Host befinden, zu dem der MOVEit-Server eine Verbindung über HTTPS herstellen kann.
• Der Sicherheitstoken-Service für die Kommunikation zwischen dem MOVEit- und dem WS-Trust-Server muss konfiguriert werden, bevor Sie die WS-Trust-Quelle einrichten. Für die WS-Trust-Quelle muss ein bestehender Identitätsanbieter auf der Seite mit den MOVEit Single Sign-On-Einstellungen konfiguriert sein. Die Authentifizierungsquelle wird mit dem Identitätsanbieter verknüpft. Wenn kein Identitätsanbieter konfiguriert ist, müssen Sie einen Identitätsanbieter hinzufügen und konfigurieren, bevor Sie die WS-Trust-Authentifizierungsquelle hinzufügen können.

  Hinweis: Wenn Sie einen Identitätsanbieter hinzufügen müssen, lesen Sie den Abschnitt zum Identitätsanbieter im Thema Benutzerauthentifizierung – Single Sign-On.

Einrichten der WS-Trust-Quelle

1. Prüfen Sie, ob die Anforderungen des vorhergehenden Abschnitts erfüllt sind.
2. Fügen Sie WS-Trust als Authentifizierungsquelle hinzu (siehe Thema Externe Authentifizierung – Überblick).
3. Konfigurieren Sie diese Authentifizierungsmethode so, dass der Sicherheitstoken-Service verwendet wird.
   1. Identity Provider, die WS-Trust unterstützen, erstellen eine Metadatendatei oder eine URL, die zum Konfigurieren des Sicherheitstoken-Service verwendet wird.
      • Klicken Sie auf Browse (Durchsuchen), um die Metadatendatei für den Provider zu suchen und hochzuladen. Klicken Sie anschließend auf Upload Metadata File (Metadatendatei hochladen).

      oder

      • Geben Sie eine URL für die Metadaten des Providers ein und klicken Sie auf Download Metadata File (Metadatendatei herunterladen).
   2. Klicken Sie auf Add New Source (Neue Quelle hinzufügen), um die Authentifizierungsquelle hinzuzufügen.

      Der Eintrag für die WS-Trust-Authentifizierungsquelle wird erstellt und zur Liste mit den Quellen auf der Seite „Settings (Security)“ (Einstellungen (Sicherheit)) hinzugefügt.

4. Um die Einrichtung abzuschließen, klicken Sie in der Liste mit den Authentifizierungsquellen neben Ihrer WS-Trust-Quelle auf Edit (Bearbeiten). Die Seite „Edit Authentication Source“ (Authentifizierungsquelle bearbeiten) wird geöffnet.
5. Stellen Sie sicher, dass Enabled (Aktiviert) auf Yes (Ja) festgelegt ist.
6. Stellen Sie sicher, dass der Endpunkt des Sicherheitstoken-Service auf den entsprechenden Standort festgelegt ist.
7. Bearbeiten Sie ggf. Benutzer- und Gruppeneinstellungen.

   Diese Einstellungen legen fest, wie die Benutzerinformationen innerhalb von MOVEit hinzugefügt werden. Die Authentifizierungsquelle ist standardmäßig auf die automatische Erstellung eines Benutzers bei der Anmeldung festgelegt. Um eine der Einstellungen zu ändern, klicken Sie auf Edit Identity Provider Settings (Identitätsanbieter-Einstellungen bearbeiten).

   Hinweis: Die WS-Trust-Authentifizierungsquelle verwendet ihre Benutzer- und Gruppeneinstellungen gemeinsam mit dem verknüpften Identitätsanbieter.

   • Die Vorlageneinstellungen Full Name Attribute (Attribut für vollständigen Namen) und Email Attribute (E-Mail-Attribut) legen die Werte für den vollständigen Namen der neuen Benutzer und die E-Mail-Adressfelder fest, wenn sie zum MOVEit-Benutzerkonto hinzugefügt werden.
   • Auto Create User on Signon (Benutzer bei Anmeldung automatisch erstellen): Standardmäßig wird bei erfolgreicher Anmeldung eines neuen Benutzers ein Konto in MOVEit erstellt. Wenn Sie dies deaktivieren möchten, klicken Sie auf False (Falsch).
   • Group membership behavior (Verhalten der Gruppenmitgliedschaft): Diese Einstellung legt fest, wie Gruppenmitgliedschaften verarbeitet werden. Wenn die Einstellung auf Ignore Differences (Unterschiede ignorieren) festgelegt ist, werden Identity Provider-Gruppenmitgliedschaften ignoriert. Bei Auswahl von Report Differences (Unterschiede melden) werden die Unterschiede zwischen MOVEit-Gruppenmitgliedschaften und Identitätsanbieter-Gruppenmitgliedschaften im Protokoll aufgezeichnet. Bei Auswahl von Correct Differences (Unterschiede korrigieren) werden die Unterschiede zwischen MOVEit-Gruppenmitgliedschaften und Identitätsanbieter-Gruppenmitgliedschaften korrigiert (sofern möglich). MOVEit-Gruppen werden NICHT automatisch hinzugefügt, nur Gruppenmitgliedschaften. Gruppen, die auf dem Identitätsanbieter, aber nicht auf dem MOVEit-Server vorhanden sind, werden als Fehler gemeldet.
   • Group membership attribute (Attribut der Gruppenmitgliedschaft): Wählen Sie aus der Liste mit den Objekteigenschaften einen Namen für die Gruppe aus, wenn eine Gruppe auf dem Identitätsanbieter vorhanden ist.
8. Speichern Sie die Änderungen.

   Sie können nun die WS-Trust-Authentifizierung verwenden.