Authentisierung via LDAP Server

Bearbeiter in Vertec mit Usern in einem LDAP Server (z.B. Active Directory) koppeln.

Produktlinie

Standard

|

Expert

Betriebsart

CLOUD ABO

|

ON-PREMISES

Module

Leistung & CRM

Budget & Teilprojekt

Fremdkosten

Ressourcenplanung

Business Intelligence

Erstellt: 14.11.2016
Aktualisiert: 09.09.2024 | Abschnitt über 2FA eingefügt.

Eine Übersicht über alle Authentisierungsmöglichkeiten finden Sie im Artikel Übersicht Authentisierung .

Bearbeiter in Vertec können mit Usern in einem LDAP Server (z.B. Active Directory) gekoppelt werden. Voraussetzung dafür ist ein korrekt konfigurierter LDAP Server. Die Verantwortung hierfür liegt beim Kunden. Beim Login in Vertec kann sich der Bearbeiter dann mit seinem Login Namen und Passwort aus LDAP anmelden. Dafür gibt es in den Systemeinstellungen Authentisierung eine Reihe von Properties:

LDAP Administrator

Hier muss ein Vertec Bearbeiter als LDAP Administrator hinterlegt werden. Zur Auswahl stehen alle Vertec Administratoren. Dieser User wird immer direkt über sein Vertec Login authentisiert. Ein Zugriff auf Vertec ist für den Admin somit auch ohne verfügbaren LDAP Server möglich.

LDAP Authentisierung über Domain

Der Domain Name, über welchen die User sich authentisieren können.

LDAP Server Adresse

Die Server Adresse des LDAP Servers ohne Port.

LDAP Server Port

Der Port auf welchem der LDAP Server zu erreichen ist. Falls leer, wird der Default Port 636 genommen.

LDAPS Zertifikat-Fingerabdruck

Der Fingerabdruck des LDAP Server Zertifikats.

Verfügt der LDAP Server über ein trusted Zertifikat, wird ab Vertec 6.5.0.16 auf die Prüfung des Fingerabdrucks verzichtet, wenn das Betriebssystem das Zertifikat als gültig akzeptiert. In diesem Fall muss in dieses Feld ab Vertec 6.5.0.16 irgendein Zeichen eingefügt werden (das Feld darf nicht leer sein). Ab Vertec 6.7.0.1 kann das Feld auch ganz leer gelassen werden.

Verfügt der LDAP Server nicht über ein trusted Zertifikat und stimmt der hier eingegebene Fingerabdruck nicht mit dem Fingerabdruck beim Verbinden mit dem LDAP Server überein, wird die Verbindung verweigert. Bitte beachten Sie: Auch wenn das Zertifikat vom LDAP-Server automatisch erneuert wird, ändert sich damit der Fingerprint und muss neu eingegeben werden. Ansonsten schlägt die Anmeldung an Vertec fehl.

Um den Fingerabdruck des Zertifikats in Vertec einzutragen, klicken Sie doppelt auf das Zertifikat (.cer File), Reiter Details, Feld Fingerabdruck. Wenn Sie den Eintrag selektieren, wird im unteren Bereich der Wert zum Kopieren dargestellt. Hinweis: Selektiert man den ganzen String im unteren Bereich, kommen unsichtbare Unicode Charaktere mit - siehe https://support.microsoft.com/en-us/help/2023835. Wird dieser String ins Vertec kopiert, kommt zu Beginn des Strings ein Fragezeichen. Dieses muss gelöscht werden, sonst schlägt der Fingerabdruckvergleich fehl.

Es handelt sich um eine reine Sequenz von Hexadezimalzahlen. Es dürfen zwischen den Zeichen weder Sonderzeichen noch Doppelpunkte vorkommen. Einzig Leerzeichen als Zeichentrenner sind erlaubt.

Weiteres Know-how zu Zertifizierungen finden Sie im Artikel über den Cloud Server .

Änderungen an den Systemeinstellungen werden in der Cloud App und der Web App erst nach dem Neustart des Cloud Servers aktiv. Die Desktop App muss ebenfalls neu gestartet werden (Abmelden reicht nicht). Cloud Abo Kunden können den Neustart via Kundenportal auslösen.

Es gelten folgende Richtlinien:

  • Die Kopplung an den Vertec User geschieht über das Member loginName auf dem Projektbearbeiter. Dieser muss dem Domain Usernamen entsprechen.
  • Damit die Authentisierung an den LDAP Server delegiert werden kann, müssen diese vier Systemeinstellungen gesetzt sein:
    • LDAP Administrator
    • LDAP Server Adresse
    • LDAP Authentisierung über Domain
    • LDAPS Zertifikat-Fingerabdruck, falls der LDAP Server nicht über ein trusted Zertifikat verfügt, siehe Beschreibung .

    Ist eine dieser Einstellungen nicht gesetzt, geschieht die Authentisierung über das Vertec via Login Name und Passwort .

    Ausnahme ist der als LDAP Administrator hinterlegte User - dieser wird immer über das Vertec Login authentisiert. Das geschieht wie folgt: Desktop App bzw. Cloud Server suchen sich den Loginnamen des hinterlegten LDAPAdmin Users. Möchte sich ein User mit diesem Loginnamen einloggen, werden Username und Passwort direkt mit der Vertec Datenbank abgeglichen.

  • Es sind nur sichere Verbindungen über SSL/TLS zugelassen.

Steigt der Host oder der LDAP Server während des Betriebs des Cloud Servers aus, wird den Usern bei einem Authentisierungsversuch angezeigt, dass der Authentisierungsserver nicht erreichbar ist. Wird der LDAP Server wieder erreichbar, verbindet sich der Cloud Server transparent wieder. In diesem Fall besteht keine Notwendigkeit, den Cloud Server neu zu starten.

Es gibt Fälle, wo die Verbindung zum LDAP Server nach längerer Inaktivität unterbrochen wird. Bei Verwendung von Azure Active Directory ist dies zum Beispiel nach 4 Minuten der Fall (siehe https://azure.microsoft.com/de-de/blog/new-configurable-idle-timeout-for-azure-load-balancer/). In solchen Fällen sollte auf Netzwerk-Ebene sichergestellt werden, dass dies nicht geschieht, zum Beispiel durch Konfigurieren eines TCP Keep alive Timeouts, der weniger als 4 Minuten beträgt.

Mit der Vertec Version 6.1.0.11 wurde die stehende Verbindung des Cloud Servers zum LDAP Server aufgehoben. Der Cloud Server baut danach (analog zur Desktop App) für jeden Authentisierungsversuch eine neue Verbindung zum LDAP Server auf.

Angemeldet bleiben

Die Funktion Angemeldet bleiben funktioniert auch via LDAP. Sind lokal Anmeldedaten hinterlegt, so haben diese Vorrang vor der Anmeldung via LDAP Server (da gar kein Login kommt).

2 Faktor Authentisierung (2FA)

Vertec unterstützt für das Login in Cloud Clients (Cloud App, Web App, Phone App) einen 2. Faktor via Authenticator App, z.B. Google Authenticator. Diese kann auch im Zusammenspiel mit einem Login via LDAP aktiviert werden.

Insbesondere wenn die Vertec Instanz über das Internet verfügbar ist, empfehlen wir die Anforderung an ein komplexes Passwort in Kombination mit 2FA dringend.

Detaillierte Informationen finden Sie im Artikel 2 Faktor Authentisierung.

Authentisierung über ein externes Tool

Setzen Sie bereits LDAP ein und möchten die übliche 2-Faktor-Authentisierung eines externen Tools auch für Vertec Logins verwenden, dann ist dies möglich, sofern das Tool dies mit LDAP zulässt.

Bisher ist eine Anwendung z.B. mit Duo bekannt, dessen Authentication Proxy beim Loginversuch eines Benutzers in Vertec über LDAP auf der Duo App eine Push-Nachricht anzeigt, wo der Benutzer seinen Loginversuch bestätigen kann.

Die Anwendung erfolgt dabei rein im externen Tool, welches mit LDAP kompatibel ist, und hat mit Vertec selbst grundsätzlich nichts zu tun. Deshalb funktionieren nur die Pushmeldungen für das Login bei Vertec, keine direkte Eingaben von Codes etc.

Logging

Die Logeinträge betreffend LDAP befinden sind bei Verwendung eines Cloud Clients im Vertec.CloudServer.log. bzw. bei Verwendung der Desktop App im Vertec.Deskop.log.

Der Verbindungsaufbau zum LDAP Server beim Start des Cloud Servers bzw. der Desktop App wird durch Info Messages angezeigt (Connecting to the LDAP authenticationserver, Connected to the LDAP authentication server). Diese erscheinen immer im Log, wenn LDAP konfiguriert ist.

Logeinträge zur LDAP Konfiguration und zu Fehlern bei den Bind-Aufrufen erscheinen als Debug Messages im Logfile, wenn die entsprechende DebugCategory namens VertecLib.LdapPasswordAuthenticationProvider angegeben ist. Wenden Sie sich dafür an Ihren Vertec Betreuer.

Bitte wählen Sie Ihren Standort