|
|
|
|
|
Wenn MOVEit Transfer für die externe Authentifizierung aktiviert ist, kann die Anwendung eine Verbindung mit dem Zertifizierungsstellenprodukt eTrust SiteMinder herstellen, um auf einem MOVEit Transfer-Server in einer SiteMinder-Umgebung die einmalige Anmeldung (Single Sign-On, SSO) zu ermöglichen. Benutzer können sich auf diese Weise ohne Eingabe ihrer Anmeldeinformationen bei MOVEit Transfer anmelden, wenn sie bereits für die SiteMinder-Umgebung authentifiziert wurden.
In diesem Thema wird die Konfiguration von MOVEit Transfer und SiteMinder erläutert, damit MOVEit Transfer in einer SiteMinder-integrierten Umgebung ordnungsgemäß funktioniert. Weitere Details zum Konfigurieren des SiteMinder-Richtlinienservers und der Web-Agents finden Sie in der Dokumentation dieser Produkte.
Hinweis: Die SiteMinder-Integrationsfunktion und diese Anweisungen wurden für SiteMinder Version 6.0 SP5 entwickelt.
Befolgen Sie die Schritte im Installationshandbuch des SiteMinder-Web-Agents. Geben Sie gültige Administrator-Anmeldeinformationen für den Zugriff auf den SiteMinder-Richtlinienserver ein. Geben Sie in die Felder Trusted Host Name (Vertrauenswürdiger Hostname) und Host Configuration Object (Hostkonfigurationsobjekt) gültige Namen ein (müssen bereits auf dem Richtlinienserver definiert sein). Geben Sie im Feld Policy Server (Richtlinienserver) die IP-Adresse ein. Wenn Sie aufgefordert werden, eine zu konfigurierende Virtual Site (Virtuelle Website) auszuwählen, wählen Sie die Website, auf der MOVEit Transfer installiert wurde. Geben Sie schließlich einen gültigen Namen für Agent Configuration Object (Agentkonfigurationsobjekt) ein (muss bereits auf dem Richtlinienserver definiert sein), und aktivieren Sie den Web-Agent.
Um MOVEit Transfer für die Integration in SiteMinder zu konfigurieren, aktivieren Sie einfach die SiteMinder-Integrationsoption über die Webschnittstelle. Diese Option ist verfügbar, wenn Sie sich bei MOVEit Transfer als SysAdmin anmelden. Sie finden sie auf der Einstellungsseite von SiteMinder unter Settings | System | User Authentication (Einstellungen | System | Benutzerauthentifizierung). Details zur Einstellung finden Sie unter System – Benutzerauthentifizierung.
Notieren Sie nach der Aktivierung dieser Einstellung den SiteMinder-Wert für Shared Secret (Geheimer Schlüssel). SiteMinder muss so konfiguriert sein, dass er diesen Wert im Rahmen eines Antwortobjekts an MOVEit Transfer zurückgibt, bevor MOVEit Transfer beginnt, die vom Web-Agent in eine authentifizierte und autorisierte Anforderung injizierten SiteMinder-HTTP-Header als vertrauenswürdig anzuerkennen.
Best Practice: Da für MOVEit Transfer in SiteMinder verschiedene Zulassungen erforderlich sind, erstellen Sie auf dem SiteMinder-Richtlinienserver ein separates Agentkonfigurationsobjekt und einen separaten Bereich oder Unterbereich, um den MOVEit Transfer-Server zu schützen. Auf diese Weise sind die folgenden erforderlichen Änderungen möglich, ohne dass sich diese auf andere geschützte Server auswirken.
Bei verschiedenen MOVEit Transfer-Dateiübertragungsmechanismen muss der lokale Server Anforderungen an sich selbst stellen. Damit diese Funktion ordnungsgemäß ausgeführt wird, muss der SiteMinder-Web-Agent so konfiguriert sein, dass Anforderungen an den lokalen Computer ignoriert werden. Je nach Serverkonfiguration sind zwei verschiedene Wege möglich:
Nachdem Sie den Alias eingerichtet und SiteMinder so konfiguriert haben, dass er ignoriert wird, ändern Sie im MOVEit Transfer-Konfigurationsprogramm auf der Registerkarte Paths (Pfade) die URL-Einstellung des Computers, um den Alias zu verwenden, sodass SiteMinder die Verbindungseinstellungen des Computers ignoriert.
Hinweis: Bei Verwendung der letzteren Methode ist zu berücksichtigen, dass das MOVEit Transfer-Überprüfungsprogramm nur funktioniert, wenn es zum Testen der Alias-URL konfiguriert wurde. Sie können die Einstellungen für Checker (Überprüfungsprogramm) ändern, indem Sie auf Options | Configure (Optionen | Konfigurieren) klicken.
Weder die ActiveX-Clients noch die Java-basierten MOVEit Wizard-Clients können die für den Betrieb einer mit SiteMinder geschützten Website erforderlichen SiteMinder-Identifizierungscookies aufrufen oder übermitteln. Daher muss das MOVEitISAPI-Modul, das beide für Dateiübertragungen verwenden, vom Schutz durch SiteMinder ausgenommen werden, damit browserbasierte Dateiübertragungen mit den MOVEit Wizard-Clients ordnungsgemäß funktionieren. Da diese Dateiübertragungen nur in Verbindung mit einer MOVEit Transfer-Sitzung möglich sind, sollten Sie kein Sicherheitsrisiko für den Server darstellen.
Um das MOVEitISAPI-Modul vom SiteMinder-Schutz auszunehmen, erstellen Sie unter dem Schutzbereich für den MOVEit Transfer-Server einen Unterbereich. Dieser Unterbereich sollte als Ressourcenfilter moveitisapi/moveitisapi.dll verwenden und als „Unprotected“ (Ungeschützt) markiert werden.
Damit MOVEit Transfer die vom SiteMinder-Web-Agent bereitgestellten HTTP-Header als vertrauenswürdig anerkannt werden, ist ein spezieller Statistikheader erforderlich, der den geheimen Schlüssel enthält, der bei aktivierter SiteMinder-Integration automatisch von MOVEit Transfer generiert wird. Sie können diesen Header hinzufügen, indem Sie unter der zum Schutz des MOVEit Transfer-Servers verwendeten Richtliniendomäne ein neues Antwortobjekt erstellen. Das neue Antwortobjekt muss das statische Attribut „WebAgent-HTTP-Header-Variable“ mit dem Variablennamen SM_MOVEITDMZ_SHAREDSECRET enthalten (sodass der vollständige HTTP-Headername HTTP_SM_MOVEITDMZ_SHAREDSECRET lautet) sowie einen variablen Wert, der der Zeichenfolge des geheimen MOVEit Transfer-Schlüssels entspricht. Fügen Sie das erstellte Antwortobjekt der Regel, die den MOVEit Transfer-Server im entsprechenden Domänenrichtlinienobjekt abdeckt, als Antwort hinzu.
Wenn MOVEit Transfer für die Verwendung eines installierten und funktionierenden SiteMinder-Web-Agents konfiguriert wurde, werden Benutzer beim Aufrufen der MOVEit Transfer-Webbrowser-Benutzeroberfläche nicht mehr nach ihren Anmeldeinformationen gefragt. Der Benutzername des bei SiteMinder angemeldeten Benutzers wird auch für das MOVEit Transfer-Konto verwendet.
Es gibt keinen direkten Weg, sich bei MOVEit Transfer mit einem anderen Benutzernamen als dem zur Authentifizierung für SiteMinder anzumelden. Melden Sie sich bei Bedarf (z. B. für die Anmeldung als Administrator mit einem anderen Benutzernamen) wie gewohnt bei MOVEit Transfer an (mit SiteMinder), und wenden Sie die folgende Abfragezeichenfolge auf die URL im Webbrowser an:
?transaction=signoff&arg12=signon
Die Parameter dieser Abfragezeichenfolge weisen MOVEit Transfer an, das aktuelle Benutzerkonto abzumelden und zum Anmeldebildschirm des Browsers zurückzukehren. Sie können jetzt im Anmeldebildschirm einen anderen Benutzernamen und ein anderes Kennwort eingeben. MOVEit Transfer verwendet für die Authentifizierung des Benutzers den bereitgestellten Benutzernamen und das Kennwort anstelle der aktuellen SiteMinder-Informationen.