|
|
|
|
|
Wenn MOVEit Transfer für die externe Authentifizierung aktiviert wurde, ist die Integration in eine CAC-Umgebung (Common Access Card) möglich, damit Benutzer ohne Eingabe eines Benutzernamens und eines Kennworts auf MOVEit Transfer zugreifen können. Das von der CAC-Smartcard bereitgestellte Hardwarezertifikat kann zur Identifizierung und Authentifizierung des Benutzers verwendet werden. Auf dieser Seite wird im Detail erläutert, wie Sie MOVEit Transfer ordnungsgemäß für eine CAC-Umgebung konfigurieren.
In CAC-Umgebungen, insbesondere in den vom US-Verteidigungsministerium (Department of Defense, DoD) genutzten, werden zur Identifizierung und Authentifizierung in der Regel Smartcards mit hardwarebasierten SSL-Clientzertifikaten verwendet. Die Benutzerdaten werden in einem Verzeichnis gespeichert, in der Regel im Microsoft Active Directory. Wenn Benutzer ihre Smartcard in ein Lesegerät an einer Workstation einstecken und den richtigen PIN-Code eingeben, werden sie anhand des Hardwarezertifikats identifiziert und authentifiziert.
MOVEit Transfer kann dasselbe Hardwareclientzertifikat verwenden, um den Benutzer zu identifizieren, der auf die Website zugreifen möchte. Das Zertifikat wird mit der Kopie im Active Directory-Konto des Benutzers verglichen, um dessen Identität zu verifizieren.
Zum Integrieren von MOVEit Transfer in eine CAC-Umgebung sind mehrere Schritte erforderlich. Zunächst muss das CAC-Zertifizierungsstellenzertifikat sowohl auf dem MOVEit Transfer-Server als auch in MOVEit Transfer an sich als gültiges, vertrauenswürdiges Signaturzertifikat anerkannt werden. Anschließend muss für das Verzeichnis eine externe Authentifizierungsquelle für MOVEit Transfer konfiguriert werden, damit das Verzeichnis die Benutzerdaten und die Authentifizierung kontrollieren kann. Als Nächstes muss die Option „Allow Username from Client Certificate“ (Benutzername aus Clientzertifikat zulassen) auf der Seite mit den HTTP-Richtlinieneinstellungen der Organisation aktiviert werden. MOVEit Transfer Kann Benutzer auf diese Weise alleine an ihrem Clientzertifikat identifizieren. Schließlich muss die externe Authentifizierungsquelle konfiguriert werden, um einen Wert aus dem bereitgestellten Clientzertifikat zu lesen und diesen mit einem Wert im Benutzerverzeichnis abzugleichen. MOVEit Transfer Kann auf diese Weise die Benutzerdaten im Verzeichnis identifizieren.
Das Zertifizierungsstellenzertifikat, mit dem die Clientzertifikate der Benutzer signiert sind, muss vom Windows-Server, auf dem MOVEit Transfer ausgeführt wird, als vertrauenswürdig anerkannt werden. Zu diesem Zweck erfolgt eine Verkettung mit einem Zertifikat im Microsoft Trusted Root Certificate Store. Benutzer erhalten nur dann Zugriff auf die MOVEit Transfer-Anwendung, wenn das signierende Zertifizierungsstellenzertifikat als vertrauenswürdig anerkannt wird.
Das Zertifizierungsstellenzertifikat muss auch in der MOVEit Transfer-Anwendung selbst als vertrauenswürdige Zertifizierungsstelle gekennzeichnet sein. Wenn MOVEit Transfer das Zertifizierungsstellenzertifikat nicht als vertrauenswürdig anerkennt, können sich Benutzer nicht mit ihrem Clientzertifikat anmelden. Weitere Informationen zur Anerkennung eines Zertifizierungsstellenzertifikats durch MOVEit Transfer als vertrauenswürdig finden Sie unter Systemkonfiguration – SSL und SSH – SSL – Clientzertifikate – Vertrauenswürdige Zertifizierungsstellen.
Die anfängliche Konfiguration der externen Authentifizierungsquelle ähnelt dem Einrichten herkömmlicher LDAP-Quellen. Für die CAC-Integration ist eine LDAP-Such- und Authentifizierungsquelle erforderlich, da zahlreiche Benutzereigenschaften vom LDAP-Server abgefragt werden. Weitere Informationen zum Konfigurieren einer solchen Quelle finden Sie unter Sicherheitsrichtlinien – Externe Authentifizierung – LDAP-Suche.
Neben den herkömmlichen Parametern muss für die CAC-Integration zudem der Wert im Feld „Client Cert“ (Client-Zert.) ordnungsgemäß konfiguriert werden. Dies ist der Name des Feldes im LDAP-Verzeichnis, das die Clientzertifikatdaten des Benutzers enthält. Bei Active Directory-Servern wird dieser Wert userCertificate genannt. Ohne diesen Wert kann MOVEit Transfer das Clientzertifikat des Benutzers nicht mit dem Zertifikat im Verzeichnis abgleichen und den Benutzer somit nicht authentifizieren.
Sie finden die Option Allow Username from Client Certificate (Benutzername aus Clientzertifikat zulassen) auf der MOVEit Transfer-Webschnittstelle unter Settings – Security – Policies – Interface – HTTP (Einstellungen – Sicherheit – Richtlinien – Benutzeroberfläche – HTTP). Mit dieser Option kann MOVEit Transfer Benutzer anhand ihres Clientzertifikats identifizieren. Weitere Informationen zu dieser Einstellung erhalten Sie unter Sicherheitsrichtlinien – Schnittstelle.
Normalerweise kann MOVEit Transfer die Identität des Benutzers durch Überprüfung des lokal zwischengespeicherten Zertifikats ermitteln. Wenn dies erfolglos ist, weil der Benutzer beispielsweise neu im System ist oder das Clientzertifikat kürzlich geändert wurde, sucht MOVEit Transfer auf dem in der externen Authentifizierungsquelle konfigurierten Verzeichnisserver nach einem übereinstimmenden Benutzerdatensatz. Hier treten die folgenden Einstellungen in Kraft.
Wenn MOVEit Transfer die Identität des Benutzers auf dem Verzeichnisserver ermitteln muss, können die Einstellungen Client Certificate Value (Clientzertifikatwert) und Matching LDAP Field (Übereinstimmendes LDAP-Feld) die Suche nach dem Verzeichniseintrag des Benutzers anhand der Informationen im bereitgestellten Clientzertifikat erleichtern. Diese Optionen werden in der externen Authentifizierungsquelle verfügbar, sobald die Option Allow Username from Client Certificate (Benutzername aus Clientzertifikat zulassen) auf Organisationsebene aktiviert ist. Weitere Informationen zu diesen Einstellungen finden Sie unter Sicherheitsrichtlinien – Externe Authentifizierung – LDAP-Suche.
Bei CAC-Umgebungen wird in der Regel der Wert des Prinzipalnamens in der SAN-Erweiterung (Subject Alternative Name, Alternativer Antragstellername) des Zertifikats als Bezeichner verwendet, um das Zertifikat mit einem Benutzereintrag auf dem Verzeichnisserver abzugleichen. Bei Active Directory-Servern wird dieser Wert mit dem Feld userPrincipalName abgeglichen.
Nachdem die CAC-Integration konfiguriert wurde, können Benutzer ohne Eingabe eines Benutzernamens oder eines Kennworts auf MOVEit Transfer zugreifen, sofern ihr Hardwareclientzertifikat verfügbar ist. Beim erstmaligen Zugriff auf die MOVEit Transfer-Website wird dennoch die Anmeldeseite angezeigt. Wenn die Option „Allow Username from Client Certificate“ (Benutzername aus Clientzertifikat zulassen) jedoch aktiviert ist, wird ein Link angegeben, über den sich Benutzer mit einem Clientzertifikat automatisch anmelden können. Wenn dieser Prozess erfolgreich ist, wird im Browser des Benutzers ein Langzeit-Cookie gesetzt, das MOVEit Transfer anweist, den Benutzer zukünftig automatisch zur Clientzertifikatidentifizierung weiterzuleiten. Die Anmeldeseite sollte in Zukunft nicht mehr angezeigt werden, es sei denn, das Cookie wird entfernt oder der Benutzer ruft die Website von einem anderen Computer auf.
HINWEIS: MOVEit Transfer kann so konfiguriert werden, dass bei der Authentifizierung von Benutzern mit Clientzertifikaten ein Kennwort erforderlich ist. Wenn diese Option auf der Organisationsebene oder für jeden Benutzer einzeln aktiviert ist, müssen Benutzer für den Zugriff auf die MOVEit Transfer-Website möglicherweise einen Benutzernamen und ein Kennwort eingeben. Benutzer, die zu ihrem Clientzertifikat ein Kennwort eingeben müssen, werden zur Anmeldeseite zurückgeleitet, wenn sie versuchen, sich automatisch anzumelden. Dabei wird eine Meldung angezeigt, dass weitere Anmeldeinformationen erforderlich sind.
MOVEit Transfer Bei der CAC-Authentifizierung wird davon ausgegangen, dass entweder:
oder
So funktioniert die browserbasierte CAC-Authentifizierung mit MOVEit Transfer:
