Ansichten:
Wichtiger Hinweis:
Das Senden von Windows-Zugangsdaten über das Netzwerk kann potenziell von dritten ausgelesen werden, wenn das Netzwerk nicht ausreichend geschützt wurde. Aus diesem Grund sollten alle Teile dieses Artikels, die nicht Teil einer DocuWare-Konfigurationsdatei sind, immer von Ihrer Sicherheitsabteilung genehmigt und sorgfältig angepasst werden.

Problem:
Als Single-Sign-On Verbindung wurde der Indentity Provider Windows NTLM konfiguriert.
Dennoch erscheint immer das Windows Anmeldefenster. Was muss getan werden um einen Benutzer über NTLM zu authentifizieren?
 


Antwort:
Die Windows-Anmeldung erfolgt über das NTLM-Protokoll und wird zwischen dem Client (DocuWare-Benutzer-PC) und dem Host (Server, auf dem DocuWare gehostet wird) ausgehandelt. Siehe Screenshot des Challenge Response Mechanismus.

DocuWare selbst wartet während dieses Prozesses auf die Freigabe des Hosts, ob der Client die Ressource sehen darf oder nicht.
NTLM funktioniert standardmäßig nur für Intranetseiten, aber HTTPS wird erfahrungsgemäß nicht als Intranetseite erkannt.
 
Für die Verwendung von NTLM müssen die folgenden Voraussetzungen erfüllt sein.
  1.  Browser
    Der Browser darf den Windows-Benutzernamen an den Host übertragen: 
    Standort: Computer des Kunden

    Edge, Chrome: (Internetoptionen > Sicherheit > Lokales Intranet > Stufe anpassen: Benutzerauthentifizierung - Automatische Anmeldung mit Benutzernamen und Passwort. Außerdem sollte die DocuWare-Website (a*) zur lokalen Intranetzone hinzugefügt werden.
    Siehe Screenshot


    Edge extra: Standardmäßig verwendet Microsoft Edge die Intranetzone als Zulassungsliste für die integrierte Windows-Authentifizierung (WIA). Alternativ können Sie die Liste der Server, die für die integrierte Authentifizierung aktiviert sind, mithilfe der Richtlinie AuthServerAllowlist anpassen. 
    https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-identity

    Firefox: about:config > network.automatic-ntlm-auth.trusted-uris > Hier wird die DocWare-Webseite (a*) eingetragen.
    Siehe Screenshot

    a* Bei allen Browsern: Hier wird die URL mit Protokoll eingetragen. Wenn DocuWare über https://docuware.de/DocuWare aufgerufen wird, lautet der Wert https://docuware.de.
     
  2.  Client
    Der Client darf die Windows-ID an den Host übertragen
    Ort: Client-Computer
    Windows verhindert standardmäßig Reflection Attacks
    (b*) In der Registry muss ein Schlüssel eingetragen werden. Dieser definiert, an welchen Host die Windows-ID übertragen werden darf.
    Registry-Pfad auf dem Client: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
    Schlüsseltyp: Wert der mehrzeiligen Zeichenfolge
    Schlüsselname: BackConnectionHostNames
    Inhalt des Schlüssels: Host (ohne https-Protokoll und ohne Pfad). Wenn DocuWare über https://docuware.de/DocuWare aufgerufen wird, lautet der Wert docuware.de
    Siehe Screenshot
  3. Network ID
    Der DocuWare-Benutzer hat die richtige Netzwerkkennung (Windows User ID)
    Ort: /DocuWare/Settings/
     
  4. Identity Provider
    NTLM wird als SSO-Anmeldemethode gewählt.
    Ort: /DocuWare/Einstellungen/

    b* Wir empfehlen, zuerst mit Ihrer IT-Sicherheit zu sprechen, da Sie Windows-Anmeldedaten über das Netzwerk senden, was unsicher sein kann.
     
  5. WIA-basiertes SSO mit ADFS
    Um WIA-basiertes SSO auf Microsoft Edge (Version 77 und höher) zu unterstützen, müssen Sie möglicherweise auch einige serverseitige Konfigurationen vornehmen.
    Wahrscheinlich müssen Sie die Active Directory Federation Services (AD FS)-Eigenschaft WiaSupportedUserAgents konfigurieren, um Unterstützung für die neue Microsoft Edge-Benutzeragentenzeichenfolge hinzuzufügen
Screenshots:

Screenshot: NTLM Challenge Response Mechanism

Screenshot Intranetzone:

Screenshot Firefox:

Screenshot Registry Key:

 

 

Dieser Artikel ist gültig für die DocuWare Versionen: ALL Version | NTLM Login