AD-FS-Authentifizierung

Neben der Windows-Authentifizierung über NTLM ist es ebenfalls möglich, dass sich Benutzer von Zeta Uploader über die Active Directory Federation Services (kurz AD FS) am System anmelden.

Ebenso ist ein gemischter Modus möglich, d.h. manche Benutzer sind direkt in der Zeta-Uploader-Datenbank authentifiziert und manche über AD FS.

Voraussetzungen

Um eine Authentifizierung via AD FS zu realisieren, sind folgende Rahmenbedingungen einzuhalten:

  • Sie betreiben eine AD-FS-Umgebung, die analog zu der hier beschriebenen Architektur aufgebaut ist.
  • Eine Zeta-Uploader-Instanz ist installiert und konfiguriert für die Authentifizierung über eine externe Anwendung.
  • Die externe Anwendung (vom Zeta-Uploader-Hersteller zur Verfügung gestellt; ggf. auf Ihre Umgebung speziell angepasst) läuft unter einer eigenen URL, z.B. einer Subdomain.

Ablauf

Der Ablauf einer Benutzer-Anmeldung an Zeta Uploader via AD FS ist schematisch so aufgebaut:

Funktionsweise

Ein Benutzer hat zwei Möglichkeiten, die AD-FS-Anmeldung zu starten:

  • Direkter Aufruf der Anmelde-Anwendung über die eigene URL (z.B. als Subdomain)
  • Auf der normalen Zeta-Uploader-Anmeldeseite via Klick auf die entsprechende Schaltfläche zur AD-FS-Anmeldung. Dies startet eine Umleitung auf die URL der Anmelde-Anwendung.

Ablauf

Der eigentliche Ablauf der Anmeldung ist dann so gestaltet, dass die Anmelde-Anwendung sich um den Handshake mit dem AD-FS-Server kümmert und bei erfolgreicher Anmeldung die Kontextinformationen des Benutzers liest, ein die zentrale Zeta-Uploader-Datenbank schreibt.

Gleichzeitig wird ein temporär gültiges Token generiert und ebenfalls in der Datenbank abgelegt.

Es erfolgt anschließend eine clientseitige Weiterleitung an die Zeta-Uploader-Hauptanwendung mit dem Token in der URL.

Die Hauptanwendung nimmt das Token entgegen, prüft den Datensatz in der Datenbank auf Gültigkeit (z.B. Token-Gültigkeitsdauer, Verweis, IP-Adresse). Ist diese Prüfung erfolgreich, wird der Benutzer aus dem Datenbank-Datensatz des Tokens gelesen und entsprechend an der Hauptanwendung angemeldet.

Noch nicht im System vorhandene Benutzer werden neu angelegt.