Einmalige Anmeldung (SSO) mit SAML

Dank der Unterstützung von SAML 2.0 kann MOVEit so angepasst werden, dass Benutzer mithilfe eines externen „Identitätsanbieters“ authentifiziert werden. Ein Identitätsanbieter ist eine Anwendung, die bei Authentifizierungsanforderungen eines Dienstanbieters Identitätsassertionen über SAML bereitstellt. MOVEit dient als Dienstanbieter. In diesem Bereitstellungsmuster ist MOVEit der „SAML-Kunde“.

Security Assertion Markup Language (SAML) 2.0 bietet einen Mechanismus zum Austauschen von Authentifizierungsdaten zwischen sicheren Webdomänen. SAML 2.0 ist ein XML-basiertes Protokoll und ein OASIS-Standard. Weitere Informationen zu SAML finden Sie in der SAML-Übersicht von OASIS.

Mit dem SAML-Single Sign-On-Dienst können sich Benutzer über einen externen Identitätsanbieter beim MOVEit-Server anmelden. Dadurch können Benutzer, die bei ihrem Netzwerk- oder Unternehmenskonto angemeldet sind, ohne Eingabe zusätzlicher Anmeldeinformationen auf MOVEit zugreifen.

MOVEit unterstützt die Authentifizierung durch folgende Identitätsanbieter:

• Shibboleth
• OneLogin
• Windows Server Active Directory-Verbunddienste (AD FS). (Hinweis: Bei Microsoft werden frühe Versionen „ADFS“ genannt)

Wir haben Windows Server 2019 AD FS (manchmal als „ADFS 5.0“ bezeichnet) und Windows Server 2016 AD FS (manchmal als „ADFS 4.0“ bezeichnet) mit MOVEit Transfer getestet.

Die Authentifizierung mit diesen Identitätsanbietern wurde getestet und wird unterstützt. Andere Identitätsanbieter, die hier nicht aufgeführt sind und das SAML 2.0-Protokoll unterstützen, sollten ebenfalls mit MOVEit kompatibel sein.

SSO für MOVEit Desktop, Mobile Client, MOVEit-Web-Benutzeroberfläche

Wenn SSO verfügbar ist, laufen Benutzersitzungen wie folgt ab:

1. Der Benutzer ruft die MOVEit-Server-URL über einen Browser auf.

   Wenn der Benutzer noch nicht angemeldet ist, wird eine Anmeldeseite mit der SSO-Option angezeigt.

   

2. Der Benutzer klickt auf den Link zur SSO-Anmeldung.
   • Ein Identitätsanbieter. Die Anmeldeseite des Identitätsanbieters wird angezeigt.
   • Mehrere Identitätsanbieter. Die Seite des aktuellen Identitätsanbieters oder eine Liste der Identitätsanbieter wird angezeigt.

     

3. Der Benutzer wählt einen Identitätsanbieter aus (z. B. Active Directory-Verbunddienste), der den Benutzer authentifiziert.

   Der Identitätsanbieter leitet den Browser mit einer Authentifizierungsassertion an den MOVEit-Server weiter.

   MOVEit validiert die Assertion und meldet den Benutzer an.

4. Wenn der Single-Logout-Dienst konfiguriert ist, werden Benutzer, die sich bei ihrem Netzwerkkonto (Identitätsanbieter) abmelden, auch von MOVEit abgemeldet.

So richten Sie SSO für Benutzer ein, die sich auf der Web-Benutzeroberfläche von MOVEit Transfer anmelden:

• Wichtig ist, dass die Anforderungen des Identitätsanbieters bekannt sind und erfüllt werden. Die erforderlichen Konfigurationseinstellungen finden Sie in der Dokumentation Ihres Identitätsanbieters.

  Hinweis: Wenn Sie Active Directory als Benutzerspeicher verwenden, indem Sie unter „User Authentication“ (Benutzerauthentifizierung) die Option „External Only“ (Nur extern) konfigurieren, können Sie diesen Benutzerspeicher auch für den Identitätsanbieter verwenden. Damit Active als Identitätsanbieter agieren kann, ist die Installation und Konfiguration von ADFS erforderlich.

• Configure Service Provider/Relying Party Settings (Einstellungen für Dienstanbieter/vertrauende Seite konfigurieren) Details zum Einrichten des MOVEit-Servers als SAML-Dienstanbieter finden Sie unter Einstellungen – Benutzerauthentifizierung – Single Sign-on.
• Einstellungen für Verbundidentitätsanbieter konfigurieren: Details zum Hinzufügen eines oder mehrerer Identitätsanbieter finden Sie unter Einstellungen – Benutzerauthentifizierung – Single Sign-on.

Single Sign-On für die Outlook- und Sync-Clients von MOVEit Transfer

Wenn für das Outlook-Plug-in und MOVEit-Synchronisierungsclients Single Sign-On konfiguriert wurde, laufen Benutzersitzungen wie folgt ab:

1. Benutzer senden mithilfe des Ad Hoc Transfer-Clients (Outlook-Plug-in) eine Datei, oder es wird ein Synchronisierungsprozess initiiert.
2. MOVEit Connector (auf dem Clientcomputer) fordert SAML-Informationen vom MOVEit-Server an.
3. Der MOVEit-Server gibt SAML-Informationen wie die Dienstanbieter-URL und eine Identitätsanbieter-URL zurück.
4. MOVEit Connector ruft anhand der SAML-Informationen ein SAML-Token vom Identitätsanbieter ab.
5. MOVEit Connector sendet eine Anmeldeanforderung (einschließlich des SAML-Tokens) an den MOVEit-Server.
6. Der MOVEit-Server meldet den Benutzer an.

Um Single Sign-On für Benutzer zu testen, die sich über das Outlook-Plug-in und MOVEit-Synchronisierungsclients bei MOVEit Transfer anmelden, müssen Sie ADFS als Identitätsanbieter verwenden. Beide Clients können sich mit den MOVEit Transfer Single Sign-On-Diensten über ein Windows-Domänenkonto anmelden. Aktuell unterstützt nur ADFS die Verwendung der Windows-Authentifizierung.

Wenn die Einstellungen für den Dienstanbieter und den Identitätsanbieter konfiguriert wurden (siehe „Single Sign-On für die Webschnittstelle des MOVEit-Servers“), können Benutzer des Outlook-Plug-ins und der MOVEit-Synchronisierung die Konfiguration wie folgt abschließen.

• Single Sign-On mittels Windows-Authentifizierung über MOVEit Transfer-Clients

Wenn MOVEit für Single Sign-On durch einen Identitätsanbieter konfiguriert ist, der für die Windows-Authentifizierung denselben Domänencontroller wie Ihre Benutzer verwendet, können Sie das Outlook-Plug-in und die MOVEit-Synchronisierungsclients konfigurieren, um diese Benutzer automatisch ohne Anmeldeinformationen anzumelden. Führen Sie zu diesem Zweck die folgenden Schritte aus:

Hinweis: Dieses Verfahren muss auf dem Computer der Endbenutzer ausgeführt werden.

1. Melden Sie sich bei Windows auf dem Domänencontroller an, den der MOVEit-Identitätsanbieter für die Authentifizierung verwendet.

   Hinweis: Wenn der Client automatisch im Hintergrund installiert wurde und die Eigenschaften Windows Authentication (Windows-Authentifizierung) und Organization ID (Organisations-ID) bereits festgelegt sind, müssen sich die Benutzer nicht anmelden. Dies erfolgt automatisch durch die Anmeldung bei ihrem Windows-Konto.

2. Klicken Sie in der Taskleiste mit der rechten Maustaste auf MOVEit Connector, und wählen Sie die Option Configuration (Konfiguration) aus.
3. Wählen Sie auf der Registerkarte „MOVEit Send“ (MOVEit senden) oder „MOVEit Sync“ (MOVEit synchronisieren) die Option Use Windows Authentication (Windows-Authentifizierung verwenden) aus. Anstatt den in diesem Dialogfeld angegebenen Benutzernamen und das Kennwort zu verwenden, initiiert MOVEit Connector eine SAML-Anmeldung, indem er die SAML-Informationen von MOVEit anfordert. Die Eingabe des Benutzernamens und des Kennworts durch die Benutzer ist hier nicht erforderlich.
4. Bei Auswahl von Use Windows Authentication (Windows-Authentifizierung verwenden) werden die Felder „Username“ (Benutzername) und „Password“ (Kennwort) ausgeblendet. Stattdessen wird das Feld Organization ID (Organisations-ID) angezeigt. Die Benutzer sollten den von Ihnen als Organisationsadministrator bereitgestellten MOVEit-Organisationsnamen eingeben. Wenn die Benutzer die MOVEit-Standardorganisation verwenden, können sie diese Option leer lassen.

Hinweis: Sie können die MOVEit Transfer-Clients (Sync, MOVEit Ad Hoc usw.) auch für die WS-Trust-Authentifizierung konfigurieren. Benutzer haben in diesem Fall die Möglichkeit, sich über die Windows-Authentifizierung anzumelden, wenn ADFS nicht verfügbar ist (z. B. wenn sich Benutzer über ein Heimnetzwerk anmelden). Informationen zum Einrichten der WS-Trust-Authentifizierung finden Sie im Abschnitt „Single Sign-On für FTP- und SSH-Clients“.

Single Sign-On für FTP- und SSH-Clients

Mittels WS-Trust-Authentifizierung kann MOVEit Benutzer direkt über denselben Identitätsanbieter wie für Single Sign-On mit SAML authentifizieren. Für Kunden, die für MOVEit einen FTP- und SSH-Zugriff konfigurieren möchten, bei dem Benutzer dieselben Anmeldeinformationen wie für ihren Identitätsanbieter verwenden, wird neben den SAML-Single Sign-On-Diensten zusätzlich die Konfiguration einer WS-Trust-Authentifizierungsquelle empfohlen.

WS-Trust wird derzeit nur vom ADFS-Identitätsanbieter unterstützt.

Wenn Sie WS-Trust benötigen, können Sie die folgenden Komponenten einrichten:

Hinweis: Wenn Sie den Dienstanbieter bereits konfiguriert und ADFS als Identitätsanbieter hinzugefügt haben, müssen Sie diese Einrichtung nicht wiederholen.

• Configure Service Provider/Relying Party Settings (Einstellungen für Dienstanbieter/vertrauende Seite konfigurieren) Details zum Einrichten des MOVEit-Servers als SAML-Dienstanbieter finden Sie unter Einstellungen – Benutzerauthentifizierung – Single Sign-on.
• Configure Federated Identity Provider (Verbundidentitätsanbieter konfigurieren): Details zum Hinzufügen eines oder mehrerer Identitätsanbieter finden Sie unter Einstellungen – Benutzerauthentifizierung – Single Sign-on.
• Configure External authentication - WS-Trust (Externe Authentifizierung konfigurieren – WS-Trust): Details zum Einrichten der externen Authentifizierungsmethode finden Sie unter „Einstellungen – Dienstintegration – WS-Trust“.

Anmeldedaten und ‑einstellungen für Endbenutzer

Nachdem Sie die Single Sign-On-Komponenten konfiguriert haben, stellen Sie die folgenden Informationen für Ihre Endbenutzer bereit.

• Anmeldung im Webbrowser. Stellen Sie die URL für die direkte Anmeldung auf der Seite „Single Sign-on“ bereit.
• Outlook-Plug-in oder Anmeldung beim Synchronisierungsclient. Weisen Sie die Benutzer an, in den Konfigurationsoptionen „Windows Authentication“ (Windows-Authentifizierung) auszuwählen – indem sie auf dem Clientcomputer in der Taskleiste mit der rechten Maustaste auf MOVEit Connector klicken und „Configuration“ (Konfiguration) auswählen. Wählen Sie auf der Registerkarte „MOVEit Send“ (MOVEit senden) oder „MOVEit Sync“ (MOVEit synchronisieren) die Option „Windows Authentication“ (Windows-Authentifizierung) aus. Anstatt den in diesem Dialogfeld angegebenen Benutzernamen und das Kennwort zu verwenden, initiiert MOVEit Connector eine SAML-Anmeldung, indem er die SAML-Informationen von MOVEit anfordert.
• Single Logout Service (Single-Logout-Dienst). Wenn dieser Dienst aktiviert ist, werden Benutzer, die sich bei ihrem Identitätsanbieterkonto abmelden, auch von allen MOVEit-Sitzungen abgemeldet.

Handhabung von Sitzungsbeendigungen und Timeouts

• MOVEit Server session termination (MOVEit-Serversitzung beenden): Mit SAML authentifizierte Benutzer werden gekennzeichnet, wenn ihre MOVEit-Serversitzung manuell von einem Administrator beendet wird. Wenn die Benutzer zu einer Seite auf dem MOVEit-Server navigieren, für die eine aktive Sitzung erforderlich ist, werden sie zur Anmeldeseite des MOVEit-Servers weitergeleitet. Zudem wird eine Benachrichtigung angezeigt, dass die Sitzung beendet wurde.
• Wenn die MOVEit-Serversitzung aufgrund eines Timeouts oder der Identitätsanbieter aufgrund eines Sitzungs-Timeouts, einer Benutzerabmeldung oder einer Beendigung der Sitzung durch den Administrator beendet wird, kann der Browser die nachfolgende Sequenz für die erneute Authentifizierung durchführen. In einigen Browsern werden Benutzer erneut für dieselbe Browsersitzung authentifiziert, ohne ihre Anmeldedaten erneut eingeben zu müssen. Um diese automatisch im Hintergrund ausgeführte erneute Authentifizierung durch den Browser zu vermeiden, sollten Benutzer den Browser nach der Abmeldung vom MOVEit-Server schließen.

  Hinweis: Wenn Sie den ADFS-Identitätsanbieter verwenden und eine vom Browser automatisch im Hintergrund ausgeführte erneute Authentifizierung vermeiden möchten, können Sie eine HTML-basierte Anmeldung konfigurieren. Weitere Informationen erhalten Sie im nachfolgend erläuterten Verfahren.

• Anmeldung bei den Microsoft Active Directory-Verbunddiensten über HTML-Formular

Je nach Konfiguration des Identitätsanbieters führen zahlreiche Browser beim nächsten Sitzungsstart automatisch im Hintergrund eine erneute Authentifizierung aus, was erwünscht sein kann. Wenn Sie jedoch möchten, dass Benutzer nach einer vollständigen SAML-Abmeldung erneut ihr Kennwort eingeben müssen, können Sie eine HTML-formularbasierte Anmeldung konfigurieren. In diesem Verfahren wird erläutert, wie Sie eine formularbasierte Anmeldung für ADFS konfigurieren.

1. Öffnen Sie die Datei „web.config“ der ADFS-Webanwendung (standardmäßig C:\inetpub\adfs\ls\web.config) in einem Text-Editor.
2. Suchen Sie das Element microsoft.identityServer.web localAuthenticationTypes.
3. Verschieben Sie das untergeordnete Element des Elements „localAuthenticationTypes“ mit dem Namen „Forms“ an den Anfang der Liste mit untergeordneten Elementen.
4. Speichern Sie die Datei „web.config“, und starten Sie den ADFS-Dienst neu.