Aktivieren externer Authentifizierung von Benutzern

Dieser Artikel enthält die folgenden Themen:
casm173
Dieser Artikel enthält die folgenden Themen:
Standardmäßig verwendet CA Service Catalog CA EEM, um Anwender zu authentifizieren. Sie können CA Service Catalog zum Authentifizieren von Benutzern mit externen Anwendungen wie z. B. CA SiteMinder, IBM Tivoli und andere konfigurieren. Der Prozess umfasst die folgenden Aufgaben:
  1. Installieren und Implementieren der Anwendung für die externe Authentifizierung entsprechend der zugehörigen Dokumentation.
  2. Überprüfen Sie die folgenden Beispiele und verstehen Sie, wie diese Anwendungen in der Regel die Benutzerauthentifizierung an CA Service Catalog senden. Passen Sie gegebenenfalls Ihre Einstellungen an, um diesen Beispielen zu entsprechen.
    • CA SiteMinder sendet Anwenderidentitätsinformationen (authentifizierte Anwender) mit sm Artefakt-Anwendernamen in der Header-Anforderung.
    • IBM Tivoli sendet die Informationen zu Benutzeridentitäten mit Iv_user Artefaktnamen in der Header-Anforderung.
    • Microsoft Internet Information Server (IIS) sendet die Informationen zu Benutzeridentitäten mit Anfrage, wenn dies für die Windows-NTLM konfiguriert wurde.
    • Apache sendet die Informationen zu Benutzeridentitäten mit Anfrage, wenn dies für Windows-NTLM konfiguriert wurde.
  3. Testen Sie die Konfiguration unter CA Service Catalog und in der externen Authentifizierungs-Anwendung.
  4. Stellen Sie sicher, dass CA Service Catalog erfolgreich die authentifizierten Anwender empfängt und verarbeitet , die die externe Authentifizierungs-Anwendung übergibt. Gegebenenfalls passen Sie die Parameter auf beiden Systemen entsprechend an.
  5. Konfigurieren Sie optional Single Sign-On für die Authentifizierungsmethode, die Sie verwenden:
Konfigurieren von Single Sign-On mithilfe von Windows NTLM-Authentifizierung
Wenn Sie Windows-NTLM-Authentifizierung verwenden, können Sie diesen Vorgang ausführen, um Single Sign-On für CA Service Catalog zu aktivieren. Anwender die sich in die Windows-Domäne anmelden, können auf CA Service Catalog zugreifen, ohne sich darin anzumelden.
Gehen Sie folgendermaßen vor:
  1. Stellen Sie sicher, dass Sie
    nicht
    vorhaben Clustering zu verwenden. Bei der Verwendung von Clustering, statt das Ausführen dieser Prozedur, richten Sie NTLM-Authentifizierung für jeden Cluster ein.
  2. Stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt:
    • Sie verwenden die Windows-Domänenauthentifizierung.
    • CA Service Catalog und CA EEM werden in derselben Windows-Domäne installiert.
    • Sie haben CA EEM zur Verwendung von Active Directory konfiguriert.
      Sie verwenden eine HTTP-Version
      größer
      als 1.0.
    • Bei der Verwendung von Windows Server führen Sie eine der folgenden Aufgaben zur Nutzung von Single-Sign-on mithilfe von NTLM durch:
      • Verwenden Sie HTTP anstatt HTTPS.
      • Deinstallieren Sie die Internet Explorer Enhanced Security Configuration Windows-Komponente.
    • Wenn beide der folgenden Bedingungen vorhanden sind, können Sie Single-Sign-on mithilfe von NTLM mit HTTPS nicht nutzen:
      • Das Betriebssystem des Client-Computers ist Windows Server.
      • Die Internet Explorer Enhanced Security Configuration Windows-Komponente ist installiert.
  3. Führen Sie Folgendes durch:
    1. Klicken Sie auf "
      Administration
      ", "
      Konfiguration
      ", "
      Single Sign-On Authentifizierung
      ".
    2. Suchen Sie
      Single Sign On Type
      und klicken Sie auf das Symbol "Bearbeiten".
    3. Wählen Sie die Option
      NTLM (NT LAN Manager)
      und klicken Sie auf "
      Aktualisierung der Konfiguration
      ".
      Das Dialogfeld wird geschlossen und Sie kehren zurück zur Seite "Single Sign On-Authentifizierung".
  4. Stellen Sie sicher, dass alle betroffenen Anwender Single-Sign-on für den Zugriff auf CA Service Catalog auf diesem Computer verwenden können.
Sie haben die NTLM-Authentifizierung konfiguriert.
Implementieren von Single Sign-on für "Eine Gruppe von Benutzern" und "Manuelle Anmeldung" für eine "Andere Gruppe".
In diesem Anwendungsfall möchten Sie Single Sign-On für eine Gruppe von Benutzern aktivieren. Zum Beispiel für interne Anwender (Gruppe 1) möchten Sie auch die manuelle Anmeldung für eine andere Gruppe von Anwendern übernehmen. Beispielsweise für externe Anwender wie z. B. Auftragnehmer, Lieferanten und Kunden (Gruppe 2).
Gehen Sie folgendermaßen vor:
  1. Stellen Sie sicher, dass zwei CA Service Catalog-Computer über die gleichen Instanzen der MDB und CA EEM verfügen. Diese Prozedur ruft die CA Service Catalog-Computer,
    Server 1
    und
    Server 2
    an.
  2. Überprüfen Sie die folgenden Anforderungen:
    • Gruppe 1-Anwender melden Sie sich
      nur
      auf Server 1 an.
    • Gruppe 2-Anwender melden Sie sich
      nur
      auf Server 2 an.
    • Wenn nötig, benachrichtigen Sie Anwender in jeder Gruppe dieser Anforderung.
  3. Bearbeiten Sie auf Server 2 die Datei "USM_HOME\webapps\usm\WEB-INF\web.xml". Kommentieren Sie die folgenden Zeilen:
    <!-- <filter> <filter-name>NtlmAuthFilter</filter-name> <filter-class>com.ca.usm.httpfilter.NtlmAuthenticationFilter</filter-class> <init-param> <param-name>debug</param-name> <param-value>false</param-value> </init-param> </filter> --> <!-- <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>*.rpc</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/wpf/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/uslm/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/assure/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/documents/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/FileStore/*</url-pattern> </filter-mapping> -->
    Das Kommentieren dieser Zeilen deaktiviert die SSO-Funktion von diesem CA Service Catalog-Computer.
  4. Starten Sie CA Service Catalog neu.
Konfigurieren der externen Authentifizierung von Single Sign-On
Wenn Sie die externe Authentifizierung verwenden, können Sie dieses Verfahren ausführen, um Single Sign-On für CA Service Catalog zu aktivieren. Anwender die in Ihrem System für die externe Authentifizierung eingerichtet sind, können auf CA Service Catalog zugreifen, ohne sich darin anmelden zu müssen.
Gehen Sie folgendermaßen vor:
  1. Stellen Sie sicher, dass CA Service Catalog und CA EEM in derselben Windows-Domäne installiert werden.
  2. Melden Sie sich bei CA Service Catalog auf diesem Computer an.
  3. Führen Sie Folgendes durch:
    1. Klicken Sie auf "
      Administration
      ", "
      Konfiguration
      ", "
      Single Sign-On Authentifizierung
      ".
    2. Suchen Sie die Eigenschaft
      Single Sign On Type
      aus und klicken Sie auf das Symbol "Bearbeiten".
    3. Wählen Sie die Option
      Artefaktbasierter Single Sign-On
      aus und klicken Sie auf
      Konfiguration aktualisieren
      .
      Das Dialogfeld wird geschlossen und Sie kehren zurück zur Seite "Single Sign On-Authentifizierung".
  4. Stellen Sie sicher, dass alle betroffenen Anwender Single-Sign-on für den Zugriff auf CA Service Catalog auf diesem Computer verwenden können.
Sie haben eine andere externe Authentifizierung als Windows-NTLM konfiguriert.