Martin Raepple. Programmierhandbuch SAP NetWeaver. Sicherheit. Bonn Boston
|
|
- Adolph Melsbach
- vor 8 Jahren
- Abrufe
Transkript
1 Martin Raepple Programmierhandbuch SAP NetWeaver Sicherheit Bonn Boston
2 Auf einen Blick Vorwort Einleitung Grundlagen der IT-Sicherheit Authentifizierung und Autorisierung im SAP NetWeaver Application Server Java Single Sign-on Identity Provisioning Sichere Webservices A Aufbau der Zertifizierungsstelle und Schlüsselmanagement im Unternehmensszenario B Literaturverzeichnis C Der Autor
3 Inhalt Vorwort Einleitung Grundlagen der IT-Sicherheit Sicherheit und serviceorientierte Architekturen Sicherheitsziele der Informationssicherheit Serviceorientierte Architekturen und Enterprise SOA Funktionale Sicherheitsanforderung in einer serviceorientierten Architektur Entwicklung von Sicherheitskonzepten Risikoanalyse Auswahl von Sicherheitsmaßnahmen Grundlegende Sicherheitsmaßnahmen Kryptografie Hash-Funktionen Message Authentication Code Digitale Signaturen Digitale Zertifikate Public-Key-Infrastruktur Zusammenfassung Authentifizierung und Autorisierung im SAP NetWeaver Application Server Java J2EE-Anwendungssicherheit Authentifizierung Autorisierung J2EE-Security in der Praxis Einführung in das Unternehmensszenario Projekt OrderManager Funktionale Anforderungen Rollenmodell und Berechtigungen Architektur Ableitung der Berechtigungen auf Komponentenebene
4 Inhalt Übung 1: Absicherung der OrderManager- Anwendung mit J2EE-Security Anwendungssicherheit in J2EE-Anwendungen mit der SAP-User-Management-Engine-API Rollen und Berechtigungsmodell Programmiermodell Authentifizierung Autorisierung Identity-Management-API Übung 2: Umsetzung des erweiterten Berechtigungskonzepts mit der UME API Java Authentication and Authorization Service JAAS API Login-Module und Login-Modul-Stacks Callbacks und Callback Handler Autorisierung mit JAAS JAAS im SAP NetWeaver Application Server Java Zusammenfassung Single Sign-on Grundlagen Vor- und Nachteile Lösungsansätze Portale Single Sign-on im Intranet SAP Logon Ticket Verifikation von SAP Logon Tickets in Fremdsoftware Unternehmensszenario: SSO-Integration einer externen Anwendung in das Mitarbeiterportal Übung 3: SSO-Integration von AddressBook in das Mitarbeiterportal Unternehmensübergreifendes Single Sign-on Technische und organisatorische Anforderungen Rollen Identity Federation Security Assertion Markup Language Unterstützung von SAML in SAP NetWeaver
5 Inhalt Unternehmensszenario: Unternehmensübergreifendes Single Sign-on zwischen Händler und Großhändler Übung 4: Umsetzung von unternehmensübergreifendem Single Sign-on Zusammenfassung Identity Provisioning Grundlagen Ziele Lebenszyklus digitaler Identitäten Vorteile Identity-Management-Systeme Service Provisioning Markup Language Provisioning-Modell Operationen Protokoll und Bindings Provisioning-Schema Implementierungen Erweiterungen in SPML Unterstützung von SPML in SAP NetWeaver UME-Provisioning-Schema Anwendungsfälle Federated Identity Provisioning Unternehmensszenario: Federated Identity Provisioning zwischen Groß- und Einzelhändler Übung 5: Umsetzung des Federated Identity Provisionings Zusammenfassung Sichere Webservices Architektur Webservice-Basisstandards Extensible Markup Language SOAP Web Services Description Language Bedrohungen Sicherheitsstandards
6 Inhalt Secure Sockets Layer und Transport Layer Security Web Services Security Web Services Trust Web Services Secure Conversation Web Services Security Policy Interoperabilität WS-I Basic Security Profile WS-I BSP Sample Application WS-I Testing Tools Unterstützung für sichere Webservices in SAP NetWeaver WS-Security-Entwicklungsmodell Unterstützung im SAP NetWeaver Application Server Java Unterstützung im SAP NetWeaver Application Server ABAP Zusammenfassung Ausblick Testen und Fehleranalyse Durchführung von Verbindungstests Aufzeichnung und Visualisierung des Nachrichtenflusses Behebung von Synchronisationsproblemen Unternehmensszenario: Prozessautomatisierung mit Webservices Systemarchitektur Technische und organisatorische Rahmenbedingungen Risikoanalyse Sicherheitsanforderungen Übung 6: Realisierung der Teilszenarien mit WS-Security Implementierung des PurchaseOrder-Service Implementierung des Shipping-Service Implementierung des CreditRating-Service Implementierung des PurchaseOrder-Proxys Implementierung des ShippingService-Proxys Implementierung des CreditRating-Proxys Testen des Szenarios Zusammenfassung
7 Inhalt Anhang A Aufbau der Zertifizierungsstelle und Schlüsselmanagement im Unternehmensszenario A.1 Installation der Zertifizierungsstelle A.2 Erstellen des SecureSale-SSL-Schlüsselpaars für den Apache Tomcat A.3 Einrichten des SSL-Servers für SecureSale im SAP NetWeaver Application Server Java A.4 Einrichten des SSL-Servers für SecureShipping im SAP NetWeaver Application Server ABAP A.5 Erstellen des CompSOA-SSL-Schlüsselpaars A.6 Erstellen der SecureSale-Webservice-Schlüsselpaare für Signaturen und Verschlüsselung im SAP NetWeaver Application Server Java A.7 Erstellen des CompSOA-Webservices-Keystore A.8 Erstellen des SecureShipping-Webservice-Schlüsselpaars für Signaturen A.9 Erstellen des TrustedBank-Webservice- Signaturschlüsselpaars B Literaturverzeichnis C Der Autor Index
8 Jeder hat sie und verlieren wir sie, ist der Ärger groß: Ohne unsere persönliche Kennwortliste sind wir inzwischen machtlos. Single Sign-on verspricht ein Ende der Passwortinflation, muss sich aber zugleich immer vielschichtigeren Anforderungen der unternehmerischen Praxis stellen. Erfahren Sie in diesem Kapitel, wie Sie mit SAP NetWeaver in heterogenen Systemlandschaften und über Unternehmensgrenzen hinweg das Konzept der einmaligen Anmeldung erfolgreich umsetzen. 4 Single Sign-on Nahezu alle IT-gestützten Unternehmensprozesse setzen bestimmte Berechtigungen voraus, um Arbeitsabläufe zu kontrollieren und nachvollziehbar zu machen. Gerade in historisch gewachsenen IT- Infrastrukturen findet man daher eine Vielzahl von individuellen Ansätzen der Zugriffsregelungen, was dazu führt, dass die Anzahl der Benutzerkonten je Mitarbeiter durchschnittlich im zweistelligen Bereich liegt und stetig wächst. Verstärkt wird dieser Trend durch die zunehmende Integration von Anwendungen und Systemen bei Partnern, Lieferanten und Kunden. Motivation Der beträchtliche Aufwand, der für die Verwaltung der Benutzerprofile notwendig ist, belastet nicht nur das IT-Budget, sondern bedeutet vor allem auch ein Sicherheitsrisiko im Unternehmen, das oftmals unterschätzt wird. Schnell stellen Anwenderschaft und Management die vielbeschworenen Vorteile einer engen Verzahnung zwischen der IT und Geschäftsprozessen wie Kosteneinsparung und Effizienzsteigerung in Frage, wenn die Sicherheitsmechanismen die Abläufe komplizierter machen, ohne dass eine Steigerung des Sicherheitsniveaus nachweisbar ist. Anwender entwickeln dann schnell Strategien, wie sie die störenden Schutzvorkehrungen umgehen können. Im schlimmsten Fall gefährden sie dabei die Systemsicherheit durch unachtsamen Umgang mit Benutzernamen und Passwörtern und machen sich so ungewollt zum engsten Verbündeten des Angreifers. 163
9 4 Single Sign-on 4.1 Grundlagen Einen Ausweg aus diesem Dilemma versprechen Konzepte, die die Komplexität einer Sicherheitsinfrastruktur aus Sicht des Anwenders und Administrators reduzieren, während sie das Sicherheitsniveau aufrechterhalten oder gar verbessern. Ein prominenter Vertreter dieser Kategorie ist das sogenannte Single Sign-on (SSO). Das Konzept des Single Sign-on beruht auf der Idee, dem Benutzer über eine einmalige Anmeldung den Zugriff auf alle Anwendungen zu ermöglichen, für die er eine Berechtigung besitzt. Die Authentifizierungsdaten aus der Erstanmeldung werden dazu genutzt, ihn ohne erneute Interaktion bei den anderen Anwendungen anzumelden Vor- und Nachteile Arbeitserleichterung und Sicherheitsgewinn Risiken Vergegenwärtigt man sich in diesem Zusammenhang die Ergebnisse der von der Fachzeitschrift InformationWeek durchgeführten Studie IT-Security 2006 (siehe liegen die Vorteile von Single Sign-on klar auf der Hand: Nach Aussage von insgesamt 827 befragten Sicherheitsverantwortlichen verdoppelte sich die Zahl der Fälle von Passwortmissbrauch in den Unternehmen auf 6,8 Prozent gegenüber dem Vorjahr. Der Einsatz von Single Sign-on wirkt dieser Entwicklung entgegen, da sich Benutzer hier nur noch ein Passwort merken müssen, was die tägliche Arbeit mit den Anwendungen im Unternehmen deutlich erleichtert. Die Notwendigkeit zur Pflege der berüchtigten Passwortlisten wird ebenso überflüssig wie die Vergabe identischer Kennworte in allen Systemen eine Maßnahme, die oftmals der letzte Rettungsanker der Anwender im immer dichter werdenden Passwortdschungel ist. Neben der Zeitersparnis durch die einmaligen Authentifizierung ergibt sich noch ein weiterer Sicherheitsgewinn: Das Passwort (oder jede andere Form von geheimer Sicherheitsinformation) wird nur einmal pro Sitzung, nämlich bei der Erstanmeldung übertragen, was das Risiko des Ausspionierens der geheimen Daten erheblich verringert. SSO-Verfahren bergen allerdings auch Risiken: Sollte es einem Angreifer gelingen, in den Besitz der SSO-Authentifizierungsdaten zu gelangen, so erhält er den vollen Zugriff auf alle damit abgesicherten Ressourcen. Die Übertragung der Authentifizierungsdaten sollte daher ausschließlich über verschlüsselte Verbindungen erfolgen. 164
10 Grundlagen 4.1 Auch muss gewährleistet sein, dass die verwendete Methode für die Einmalanmeldung in keinem Fall schwächer ist als die existierenden Mechanismen ohne Single Sign-on. Darüber hinaus entsteht durch die Einführung einer zentralen Authentifizierungskomponente eine kritische IT-Ressource, deren Verfügbarkeit höchste Priorität gewinnt, und die auch unter starker Last nicht selbst zum Sicherheitsrisiko werden darf Lösungsansätze Ein typischer Lösungsansatz für den Aufbau einer SSO-Infrastruktur besteht darin, ein Netz aus vertrauenswürdigen Anwendungen und Diensten zu bilden, die über gemeinsame Authentifizierungsdaten für die Benutzer verfügen. Grundlage dafür ist in der Regel eine Public Key Infrastruktur (PKI, siehe Abschnitt 2.4,»Public-Key-Infrastruktur«), in der sich die Anwendungen über X.509-Zertifikate gegenseitig authentifizieren. Prinzipiell könnte man auch die Benutzer mit Zertifikaten ausstatten, damit diese sich gegenüber den Anwendungen ausweisen. Dagegen sprechen allerdings in den meisten Fällen praktische Erwägungen, da die Verwaltung individueller Benutzerzertifikate in erster Linie einen hohen administrativen Aufwand bedeutet und zudem mit erheblichen Kosten für den Betreiber der PKI verbunden ist. Als leichtgewichtigere Alternative zu Zertifikaten kommen bei den meisten Ansätzen im SSO-Umfeld sogenannte Anmeldecookies zum Einsatz. Ein solches Anmeldecookie wird dem Benutzer nur nach einer zuvor erfolgreich durchgeführten Anmeldung über herkömmliche Mechanismen wie Benutzername und Passwort durch eine zentrale Komponente im Netzwerk ausgestellt, die eine unternehmensweite Sicht über die Identitäten und die ihnen zugeordneten Benutzerkennungen liefert (siehe Abschnitt 5.1.4,»Identity-Management-Systeme«). PKI Anmeldecookies Einmal im Besitz eines gültigen Anmeldecookies, wird es vom Client (z.b. dem Browser des Benutzers) automatisch an die Zielanwendungen übermittelt. Diesen bleibt es nun überlassen, eine Authentifizierungsentscheidung auf der Grundlage der empfangenen Informationen zu fällen. Vertraut die jeweilige Anwendung der durch das Anmeldecookie getroffenen Aussage, dass sich sein Besitzer zuvor erfolgreich an dem zentralen Identity Provider (IdP) angemeldet hat, 165
11 4 Single Sign-on wird dem Benutzer der Zugriff gewährt. Grundsätzliche Voraussetzung dafür ist ein Vertrauensverhältnis zwischen dem Identity Provider und den Anwendungen, das mittels einer PKI und des Austauschs von Zertifikaten außerhalb des eigentlichen Single-Sign-on- Prozesses etabliert werden kann. Ob über den Besitz des Anmeldecookies hinaus noch weitere Informationen vom Benutzer für eine erneute Authentifizierung notwendig sind, bleibt den jeweiligen Anwendungen überlassen. Selbstverständlich muss auch das Anmeldecookie selbst gegen unberechtigten Zugriff und Veränderungen geschützt werden. Gelangt es in die Hände eines Dritten, so darf es diesem nicht möglich sein, sich mit dem Anmeldecookie im Namen seines rechtmäßigen Besitzers bei den für ihn freigegebenen Anwendungen anzumelden. Um dies zu garantieren, werden bei den meisten Verfahren folgende Sicherheitsvorkehrungen getroffen: Dem Anmeldecookie darf wie einem X.509-Zertifikat in der Regel nur eine zeitlich begrenzte Gültigkeit vom Identity Provider bescheinigt werden. Der Identity Provider signiert das Anmeldecookie mit seinem privaten Schlüssel und schützt es so gegen unberechtigte Manipulation. Das Anmeldecookie enthält keine geheimen Anmeldeinformation, wie z.b. das bei der Erstanmeldung verwendete Passwort des Benutzers. Das Anmeldecookie enthält nur die für den Empfänger absolut notwendigen Identitätsinformationen über den Benutzer. Sicherheitskritische Informationen wie Kreditkarten- oder Sozialversicherungsnummern sollten nicht über das Netzwerk übertragen werden. Die Übermittlung des Anmeldecookies zwischen Identity Provider, Benutzer und Zielanwendung erfolgt über eine sichere Verbindung Portale Dem Wunsch der Anwender nach vereinfachten Abläufen wird man jedoch nicht alleine durch eine einmalige Anmeldung gerecht. Vielmehr nimmt der Benutzer eine verbesserte Integration der bestehen- 166
12 Single Sign-on im Intranet 4.2 den Anwendungen durch die Zusammenführung der Benutzungsoberflächen unter einem zentralen Zugriffspunkt wahr. So dienen die Investitionen in eine SSO-Infrastruktur häufig als idealer Wegbereiter für eine weiterführende Konsolidierung der heterogenen Anwendungslandschaft unter einer homogenen Benutzungsoberfläche, die dem Benutzer eine rollenbasierte und personalisierbare Sicht auf alle für ihn relevante Informationen erlaubt. Diese Portale zu den Unternehmensdaten und Applikationen organisieren die einzelnen Anwendungen unter einer einheitlichen Oberfläche und gemeinsamen Navigation in speziellen Unterfenstern, in denen entweder das komplette User Interface oder nur der für den jeweiligen Benutzer wichtige Ausschnitt auf die Funktionalität der Anwendungen angezeigt wird. Im SAP NetWeaver Portal heißen diese Komponenten iviews. Ihr Einsatzgebiet reicht von der einfachen Darstellung einer statischen Webseite bis zur Integration von Anwendungen im Backend. Alle Anwendungen können über die von der Portalsoftware bereitgestellten Basisdienste Daten miteinander austauschen und tragen auf diese Weise zu einer verbesserten Prozessorientierung bei. Selbstverständlich lässt sich über eine manuelle Anmeldung an allen Anwendungen im Portal nicht die Illusion des transparenten Zugriffs auf die heterogene Systemlandschaft im Hintergrund aufrechterhalten. Single Sign-on nimmt daher in Portalen eine zentrale Funktion ein, die sich aber nicht nur auf die einmalige Anmeldung der eigenen Mitarbeiter an den internen Unternehmensanwendungen beschränkt. Neben den klassischen Mitarbeiterportalen haben sich sogenannte Geschäftskunden- und Lieferantenportale etabliert, die sich auf die zwischenbetrieblichen Prozesse im B2B-Sektor (Business-to-Business) konzentrieren. Hier werden über die Infrastruktur des Portals speziell auf die Zielgruppe ausgerichtete Anwendungen, wie beispielsweise Produktkataloge und Trackingsysteme zur Statusverfolgung von Dokumenten oder Gütern, zur Verfügung gestellt, um darüber die Marketing-, Vertriebs- und Serviceprozesse zu optimieren. iviews Portaltypen 4.2 Single Sign-on im Intranet Bei der Einführung von Single Sign-on für die einmalige Anmeldung an Anwendungen im internen Unternehmensnetzwerk (Intranet) 167
13 4 Single Sign-on besteht in der Regel der Vorteil, dass durch existierende Sicherheitsrichtlinien in der Organisation von bestimmten Annahmen bezüglich der Infrastruktur auf den Desktops der Anwender sowie der Serverlandschaft ausgegangen werden kann. So ist beispielsweise unternehmensweit nur ein bestimmter Browser mit einheitlichen Sicherheitseinstellungen im Einsatz. Außerdem sind keine Firewalls zwischen den Desktops und Applikationsservern zu überwinden, die den Einsatz bestimmter Protokolle verbieten und somit die Auswahl der verfügbaren Technologien für Single Sign-on einschränken würden. Darüber hinaus können einheitliche Namenskonventionen dafür sorgen, dass selbst bei Existenz mehrerer Benutzerdatenbanken oder Verzeichnisdienste die Anmeldenamen gleich lauten oder zumindest einem bestimmten Schema folgen, das ein aufwendiges Mapping zwischen den Systemen vereinfacht oder sogar unnötig macht. Auch die Einrichtung von Vertrauensbeziehungen für das Single Sign-on zwischen den Systemen in einem gemeinsamen Verbund macht in Intranet-Szenarien häufig weniger Kopfzerbrechen, da die administrative Hoheit in den Händen einer Organisation liegt. Im Idealfall gehören alle für das Single Sign-on vorgesehenen Systeme einer gemeinsamen technischen Domäne an. Laufen die Anwendungen dann sogar noch auf dem gleichen Server, kann die Bereitstellung von SSO-Funktionalität so einfach funktionieren wie in Abschnitt im Zusammenhang mit J2EE Security Policy Domains beschrieben. Im Zuge der Weiterentwicklung des Unternehmensszenarios wird im Folgenden das SAP Logon Ticket beschrieben, das ursprünglich mit der Entwicklung des mysap.com Workplace eingeführt wurde und ein genau auf die oben beschriebenen Rahmenbedingungen zugeschnittenes SSO-Verfahren in SAP NetWeaver darstellt. Der Einsatz des SAP Logon Tickets in einer heterogenen Systemlandschaft wird im Rahmen des Unternehmensszenarios und der zugehörigen Übung 3 in Abschnitt (»SSO-Integration von AddressBook in das Mitarbeiterportal«) behandelt SAP Logon Ticket Cookies Beim SAP Logon Ticket handelt es sich um ein HTTP-Cookie, dessen Daten digital signiert sind. Neben dem üblichen Verwendungszweck 168
14 Single Sign-on im Intranet 4.2 von Cookies zur Verwaltung von Sitzungsinformationen und zur Überbrückung des zustandslosen Charakters von HTTP eignen sich die temporär im Browser gespeicherten Textdateien auch für die einmalige Anmeldung an mehreren Systemen in einer gemeinsamen Domäne, wie es beim SAP Logon Ticket der Fall ist. Bevor der Benutzer in den Besitz eines solchen Tickets kommt, muss er sich mittels eines der gängigen Authentifizierungsverfahren wie z.b. Benutzername und Passwort oder seinem persönlichen Zertifikat an einem SAP-System anmelden, das für die Ausgabe der Tickets konfiguriert ist. Mit dieser Anmeldeinformation generiert der Server das SAP Logon Ticket und sendet es mit der HTTP Response als Cookie an den Browser zurück. Sofern vom Benutzer keine Einschränkungen im Browser im Umgang mit Cookies in den Sicherheitseinstellungen konfiguriert wurden, wird das SAP Logon Ticket unter dem Namen MYSAPSSO2 im lokalen Cookie-Cache im Browser maximal für die Dauer seiner Gültigkeit gespeichert, die in der Regel auf acht Stunden begrenzt ist. Schließt der Benutzer den Browser vor Ablauf des Verfallsdatums, so wird das Ticket ebenfalls gelöscht. Abbildung 4.1 zeigt die Vergabe des SAP Logon Tickets im HTTP Header mit der Set-Cookie-Direktive nach erfolgreicher Authentifizierung an einem SAP NetWeaver Portal, das typischerweise in einer SAP-Systemlandschaft die Rolle des Ticketausstellers übernimmt. Der HTTP-Datenstrom zwischen Browser und Webserver wurde mithilfe des HTTP-Monitoring-Tools HttpWatch ( aufgezeichnet. Abbildung 4.1 Vergabe eines SAP Logon Tickets (MYSAPSSO2) mit der Angabe Set-Cookie im Header der HTTP Response 169
15 4 Single Sign-on Typisches Einsatzgebiet: Intranet Schutz vor Replay- Attacken Vergleich zu herkömmlichen Methoden Selbstverständlich unterliegt das SAP Logon Ticket wie jedes andere Cookie auch einigen technischen Restriktionen, die aus Gründen des Datenschutzes und der Sicherheit getroffen wurden. Neben der maximalen Größe von 4 KB zählt dazu vor allem, dass der Browser das Ticket nur an das ausstellende System (z.b. portal.mycompany.net) oder an ein benachbartes System in der gleichen DNS- Domäne 1 (z.b. ssologin.mycompany.net) mit jedem weiteren HTTP Request schicken darf. Die Angabe der zulässigen Domäne erfolgt bei der Vergabe des Tickets über das Cookie-Attribut Domain. Daher zählt das Intranet im Unternehmen zu den typischen Einsatzgebieten cookiebasierter SSO-Verfahren wie dem SAP Logon Ticket. Für die Umsetzung von unternehmensübergreifenden SSO-Szenarien bieten sich andere Alternativen an, auf die in Abschnitt 4.3,»Unternehmensübergreifendes Single Sign-on«, im Zusammenhang mit SAML eingegangen wird. Da es in der Natur des Cookies liegt, vom Browser wiederholt mit jedem Request an den Server geschickt zu werden, unterliegt dieser Mechanismus grundsätzlich dem Risiko der unerlaubten Aufzeichnung und Wiedereinspielung des Datentransfers durch Dritte. Konkret könnte eine Kopie des SAP Logon Tickets dafür genutzt werden, sich unberechtigten Zugang zu den geschützten Ressourcen zu verschaffen. Dieser auch als Replay-Attacke bezeichnete Angriff stellt beim Einsatz des SAP Logon Tickets eine ernstzunehmende Bedrohung dar, die nur durch eine Verschlüsselung auf der Transportschicht zwischen dem rechtmäßig autorisierten Client und dem Server verhindert werden kann und sollte. Herkömmliche Authentifizierungsverfahren wie die HTTP Basic Authentication sind jedoch den gleichen Risiken ausgesetzt: Benutzername und Passwort werden mit jedem Request als Base64-codierter String im HTTP-Header ungesichert über die Leitung geschickt. Hier stellt das SAP Logon Ticket im direkten Vergleich eindeutig die sicherere Variante dar, weil es keinerlei Anmeldedaten seines Besitzers enthält. Bewusst wird auch auf die Übermittlung von Passwörtern oder anderer geheimer Daten im Ticket verzichtet, da immer 1 Der Domain Name Service (DNS) ist ein Dienst in TCP/IP-Netzen, dessen Hauptaufgabe die Umsetzung von Host- und Domainnamen in die zugehörigen IP-Adressen ist. Im Internet basiert der DNS auf einer weltweit verteilten, hierarchisch organisierten Datenbank. 170
16 Single Sign-on im Intranet 4.2 von einem zuvor etablierten Vertrauensverhältnis zwischen dem ausstellenden und dem empfangenen System ausgegangen wird. Der Empfänger kann sich darauf verlassen, dass sich der Besitzer des Tickets zuvor ordnungsgemäß beim Herausgeber authentifiziert hat, was dieser durch seine digitale Unterschrift im Ticket beglaubigt. Das passende Zertifikat zum privaten Signaturschlüssel des Ausstellers muss vor dem ersten Anmeldevorgang allen Systemen, die sich mit dem Herausgeber in einem gemeinsamen SSO-Verbund befinden, über einen sicheren Weg zugestellt und installiert werden Verifikation von SAP Logon Tickets in Fremdsoftware Für externe, nicht auf einem SAP-Anwendungsserver betriebene Applikationen stellt SAP eine Verifikationsbibliothek (SAPSSOEXT) zur Verfügung. Die Software liegt als dynamisch ladbare Bibliothek für Windows, einige Unix-Derivate, OS/400 und z/os vor und kann vom SAP Service Marketplace im Software Distribution Center (http//service.sap.com/swdc) unter Download Support Packages and Patches Entry by Application Group Additional Components SAPSSOEXT heruntergeladen werden. Da für die Signatur des Tickets ein Public-Key-Verfahren verwendet wird, benötigt SAPSSOEXT selbst wiederum die SAP-Kryptobibliothek SAPSECULIB, die an gleicher Stelle zum Download zur Verfügung gestellt wird. SAPSSOEXT Mit SAPSSOEXT lässt sich die Gültigkeit eines in der Fremdsoftware empfangenen SAP Logon Tickets überprüfen, d.h. ob die im Ticket enthaltenen Daten als authentisch gelten können. Prinzipiell liefert die Hauptfunktion der Bibliothek daher auch nur eine Antwort mit zwei Optionen zurück: Ein Ticket ist gültig oder nicht. Ausschlaggebend dafür ist der unverfälschte Zustand der im Ticket enthaltenen Daten, der über die Signatur des Ausstellers überprüft wird, sowie ein noch nicht verstrichenes Ablaufdatum. Daraufhin kann das Zielsystem eine im Sinne von Single Sign-on automatisierte Authentifizierungsentscheidung treffen. Fällt die Prüfung negativ aus, liefert ein Fehlercode der Bibliotheksfunktion nähere Informationen zu den Ursachen. Wird das Ticket als gültig betrachtet, werden alle für die Weiterverarbeitung relevanten Daten im Ticket an den Aufrufer zurückgeliefert. Hierzu zählen: 171
17 4 Single Sign-on Benutzername im ausstellenden System Name des ausstellenden SAP-Systems (SID) Verwendetes Authentifizierungsschema (Authentication Schema) bei der Anmeldung am ausstellenden System Gültigkeitsdauer des Tickets in Sekunden Signatur des ausstellenden Systems Der Empfänger des Tickets wird diese Informationen in der Regel dazu nutzen, eine endgültige Authentifizierungsentscheidung noch zusätzlich davon abhängig zu machen, ob das Ticket von einem vertrauenswürdigen System ausgestellt wurde. Findet sich der Name des Ausstellers (Distinguished Name, DN) nicht in einer entsprechenden Zugriffskontrollliste (Access Control List, ACL), sollte dem Benutzer der Zugriff verweigert werden Unternehmensszenario: SSO-Integration einer externen Anwendung in das Mitarbeiterportal Dem Wunsch der Anwender, mithilfe von SAP NetWeaver ein internes Mitarbeiterportal für den zentralen Zugriff auf alle relevanten Anwendungen zu schaffen, leistet das Management von SecureSale Folge. Die mit dem Auftrag für das neue Projekt Mitarbeiterportal formulierten Ziele weisen klar auf, dass insbesondere von den neuen Möglichkeiten einer einmaligen Anmeldung über Single Sign-on Gebrauch gemacht werden soll. Bei einer regelmäßig durchgeführten, internen Umfrage steht der»passwortdschungel«immer wieder ganz oben auf der Liste der Probleme, die den Anwendern die tägliche Arbeit mit den IT-Systemen besonders erschweren. Geradezu explosionsartig hat sich in den vergangenen Jahren die Anzahl der dezentral verwalteten Anwendungen entwickelt. Nicht alle Projekte liefen unter der Leitung der zentralen IT-Abteilung bei SecureSale, was dazu führte, dass externe Berater und Architekten aus den Fachabteilungen die unternehmensweit gültigen Standards für die Benutzerverwaltung nicht immer einhielten. Viele Anwendungen besitzen daher ihre eigene Benutzerdatenbank oder replizieren bestenfalls die Stammdaten aus dem zentralen Benutzerverzeichnis, um sie lokal um eigenen Rollen und Berechtigungen zu ergänzen. Jede neue Anwendung dieser Kategorie bedeutete zugleich einen weiteren Eintrag auf den persönlichen 172
18 Single Sign-on im Intranet 4.2 Passwortlisten der Mitarbeiter. Dies wurde von niemandem begrüßt, bislang aber als notwendiges Übel akzeptiert. Das neue Projekt eröffnet Ihnen nun die Möglichkeit, hier endlich für Ordnung zu sorgen. Stellvertretend für viele dieser Insel-Lösungen steht die Anwendung AddressBook, mit der jeder Mitarbeiter nach den Kontaktdaten seiner Kollegen wie der -Adresse oder Telefonnummer suchen kann. AddressBook besteht aus einer einfachen Suchmaske, in der man entweder den Namen oder die Personalnummer der gesuchten Person einträgt, um deren vollständige Kontaktdaten zu erhalten. Da es sich hierbei aus Sicht des Unternehmens um schützenswerte Daten handelt, ist der Zugriff auf die Anwendung nur Mitarbeitern von SecureSale vorbehalten, die sich entsprechend vor der Nutzung mit einem Benutzername und Passwort über Basic Authentication anmelden müssen. AddressBook Technisch betrachtet ist AddressBook eine auf JSPs und Servlets basierte J2EE-Applikation, die auf dem weit verbreiteten Webcontainer Tomcat der Apache Software Foundation ( betrieben wird. Da noch viele andere innerbetriebliche Anwendungen bei SecureSale diese Ablaufumgebung nutzen, wäre eine Portierung aller Anwendungen auf den SAP NetWeaver Application Server Java trotz Konformität zum J2EE-Standard im ersten Schritt zu aufwendig und würde den sehr knappen Zeitrahmen für das Projekt sprengen. Stattdessen möchten Sie erreichen, dass Anwendungen wie Address- Book in ihrer existierenden Ablaufumgebung in die Lage versetzt werden, von der einmaligen Anmeldung im Mitarbeiterportal über das SAP Logon Ticket zu profitieren. Außerdem sollen keine Änderungen am Quellcode der existierenden Anwendung erforderlich werden, da der damit verbundene Aufwand ebenfalls die Einhaltung der Projektziele hinsichtlich Zeit und Kosten gefährden würde. Für die Integration des neuen, auf dem SAP Logon Ticket basierenden Anmeldeverfahrens entscheiden Sie sich für die Implementierung eines JAAS Login Modules (siehe Abschnitt 3.4.2,»Login- Module und Login-Modul-Stacks), das die externe Verifikationsbibliothek SAPSSOEXT verwendet, um damit die folgenden Aufgaben durchzuführen: Minimal-invasive Integration JAAS mit SAPSSOEXT 173
19 4 Single Sign-on Auslesen des Tickets aus dem Request des Benutzers Überprüfung der digitalen Signatur des Herausgebers Überprüfung der Gültigkeitsdauer des Tickets Moduloptionen Darüber hinaus soll das Login-Modul noch die folgenden Optionen bieten, um wichtige Laufzeitparameter zu konfigurieren sowie ergänzende Sicherheitsprüfungen bei der Authentifizierung vornehmen zu können: trustedissuer Listet vertrauenswürdige Herausgeber auf, deren eindeutiger Name mit dem überlieferten Distinguished Name (DN) im Zertifikat des Tickets verglichen wird. authscheme Legt das für die Anmeldung im Portal zu verwendende Authentication-Schema fest. pab Vollständiger Pfad und Dateiname für das Private Address Book (PAB) mit den öffentlichen Schlüsselzertifikaten der als vertrauenswürdig eingestuften Herausgeber von Tickets. Jedem unter trustedissuer aufgelisteten Herausgeber von Tickets sollte auch ein entsprechendes X.509-Zertifikat zugewiesen sein. Auf diese Weise erhalten Sie ein hochgradig anpassbares und wiederverwendbares Login-Modul, das auch für andere, noch nicht in das Portal integrierte Anwendungen eingesetzt werden kann, vorausgesetzt sie laufen auf einem JAAS-konformen Container. Anwendungsintegration über Filter Die Frage, wie das Login-Modul von den bestehenden Anwendungen möglichst ohne Änderungen aufgerufen und integriert werden kann, blieb bislang noch ungeklärt. Da der Quellcode der Servlets und JSPs nicht verändert werden darf, fällt Ihre Wahl schließlich auf die Erstellung eines Servlet-Filters (siehe Kasten Servlet-Filter), der den Anwendungen im Deployment Descriptor web.xml vorgeschaltet werden kann, um eine entsprechende Authentifizierung der eingehenden Requests vor dem eigentlichen Aufruf der Servlets oder JSPs durchzuführen. 174
20 Single Sign-on im Intranet 4.2 Servlet-Filter Ab der J2EE-Servlet-Spezifikation 2.3 besteht die Möglichkeit, mit den sogenannten Servlet-Filtern auf der konzeptionellen Grundlage des Entwurfsmusters J2EE Decorating Filter ( DecoratingFilter.html) anwendungsübergreifende und wiederverwendbare Prä- bzw. Postprozessoren für den HTTP Request bzw. die HTTP Response zu implementieren. Typische Anwendungsfälle für Servlet-Filter sind Querschnittsfunktionen (Crosscutting Concerns), die nicht die Kernfunktionalität von Anwendungen betreffen. Dazu zählen: Protokollierung (Logging) von bestimmten Zugriffen oder Ereignissen Komprimierung von Daten zur schnelleren Übertragung Aufzeichnung der Verarbeitungsdauer zwischen dem einkommenden Request und der ausgehenden Response zur Messung der Performance Authentifizierung von Requests und weitere Sicherheitsdienste (z.b. Verschlüsselung bzw. Entschlüsselung bestimmter Daten) Servlet-Filter lassen sich deklaratorisch über den web.xml-deployment Descriptor in die Verarbeitungskette des Requests einer Anwendung einbinden, um auf dieses Weise dessen Inhalt zu prüfen und eventuell Modifikationen im Sinne eines Präprozessors durchzuführen. Gleiches gilt für die Response, die ebenfalls vom Filter vor der Auslieferung an den Browser noch nachträglich manipuliert werden kann. Servlet-Filter haben den besonderen Vorteil, dass ihre zusätzliche Funktionalität außerhalb des Quellcodes der sie betreffenden Anwendungen implementiert wird. Sie lassen sich getrennt von den Anwendungen verwalten und dynamisch hinzufügen bzw. wieder entfernen. Jeder Servlet Filter muss dass Java Interface javax.servlet.filter implementieren, das mit drei Methoden den gesamten Lebenszyklus eines Filters definiert: init(filterconfig config) Nimmt die Initialisierung des Filters vor, mit deren Hilfe filterspezifische Konfigurationsparameter über das FilterConfig-Objekt gesetzt werden können. dofilter(servletrequest req, ServletResponse res, Filter- Chain chain) Hier findet die eigentliche Arbeit des Filters mit dem Request (req) bzw. der Response (res) statt. Nach Ausführung der Präprozessor- Tätigkeiten auf dem req-objekt muss mit chain.dofilter(req, res) die Weiterleitung des Requests in der Verarbeitungskette, die über das Interface FilterChain definiert und vom Webcontainer implementiert wird, durch eventuell noch folgende Filter sichergestellt werden. Wenn die Methode chain.dofilter zurückkehrt, kann der Filter bei Bedarf das Response-Objekt noch nachträglich modifizieren. 175
21 4 Single Sign-on destroy() Dient zur Erledigung von Aufräumarbeiten, wenn der Filter aus dem Webcontainer entfernt werden soll, und wird wie init nur einmal im Lebenszyklus aufgerufen. Mit der Integration von AddressBook in das neue Mitarbeiterportal soll der Anmeldeprozess zukünftig wie in Abbildung 4.2 dargestellt ablaufen: Abbildung 4.2 SSO-Integration von externen Anwendungen im Mitarbeiterportal über das SAP Logon Ticket Anmeldeprozess Schritt 1 Der Mitarbeiter meldet sich am Portal mit seinem Benutzernamen und Passwort an. Schritt 2 Nach erfolgreicher Authentifizierung wird dem Mitarbeiter vom Portal ein SAP Logon Ticket mit dem DNS-Domainnamen portal.securesale.com ausgestellt, das innerhalb der Intranet- Domäne securesale.com für die Dauer seiner Gültigkeit (standardmäßig acht Stunden) für den Single Sign-on verwendet werden kann. 176
22 Single Sign-on im Intranet 4.2 Schritt 3 Innerhalb der Portalseiten werden über URL-iViews die Anwendungen auf den entfernten Systemen eingebunden. Der Browser beim Mitarbeiter richtet also den HTTP Request zur Anzeige des Inhalts des iview nicht an den Portal-Server, sondern an andere Systeme im Intranet, im Falle der AddressBook-Anwendung an das System mit dem DNS-Domainnamen tomcat.securesale.com. Da sich tomcat.securesale.com in der gleichen Domäne wie portal.securesale.com befindet, schickt der Browser das in Schritt 2 erhaltene Ticket ebenfalls mit. Schritt 4 Der Servlet Filter SLTAuthenticationFilter ist über die Konfiguration im Deployment Descriptor web.xml der AddressBook- Anwendung in die Verarbeitungskette eingebunden. Listing 4.1 zeigt den entsprechenden Ausschnitt aus der Datei. <web-app>... <filter> <filter-name>sltauthenticationfilter</filter-name> <filter-class> com.securesale.slt.sltauthenticationfilter </filter-class> </filter> <filter-mapping> <filter-name>sltauthenticationfilter</filter-name> <url-pattern>/addressbooksearch</url-pattern> </filter-mapping> <filter-mapping> <filter-name>sltauthenticationfilter</filter-name> <url-pattern>/search.jsp</url-pattern> </filter-mapping>... </web-app> Listing 4.1 Konfiguration des Servlet-Filters SLTAuthenticationFilter im Deployment Descriptor web.xml der AddressBook-Anwendung Im Element <filter> wird unter <filter-class> der vollständige Paket- und Klassenname des Filters angegeben, der mit einem eindeutigen Konfigurationsnamen (SLTAuthenticationFilter) im Element <filter-name> verknüpft wird. Anschließend können über URL-Patterns in Form von <filter-mapping> Einträgen die Filter- Konfiguration 177
23 4 Single Sign-on Servlets oder JSPs angegeben werden, bei denen der Filter aktiviert werden soll. Für die AddressBook-Anwendung sind das die Suchseite (/search.jsp) sowie das durch sie aufgerufene Servlet (/AddressBookSearch), das die eigentliche Suche durchführt. Folglich können Requests diese beiden Komponenten nur dann ungehindert passieren, wenn sie ein gültiges Ticket mit sich führen. Die entsprechende Implementierung der dofilter-methode in der SLTAuthenticationFilter-Klasse finden Sie in Listing 4.2. public void dofilter(servletrequest request, ServletResponse response, FilterChain filterchain) throws IOException, ServletException {... if (request instanceof HttpServletRequest) { // search for the SAP Logon Ticket in the request HttpServletRequest req = (HttpServletRequest) request; HttpSession session = req.getsession(true); Subject subject = (Subject)session.getAttribute( "javax.security.auth.subject"); if (subject == null) { subject = new Subject(); } session.setattribute("javax.security.auth.subject", subject); // pass request with ticket to the SLT login module try { LoginContext lc = new LoginContext("addressBook", subject, new SLTCallbackHandler(req)); lc.login(); } catch (LoginException le) { // Access failed - return HTTP Status 403 HttpServletResponse res = (HttpServletResponse) response; res.senderror(httpservletresponse.sc_forbidden, "Unauthorized Access: No valid SSO Ticket found"); return; } } else logger.debug("sltauthenticationfilter only accepts HTTP Requests!"); 178
24 Single Sign-on im Intranet 4.2 } filterchain.dofilter(request, response); Listing 4.2 Implementierung der dofilter-methode im SLTAuthenticationFilter Um nicht mit jedem eingehenden Request auch ein neues Subject zu erzeugen, wird zunächst in der HTTP Session (session) unter dem Attributnamen javax.security.auth.subject nach einem bereits existierenden Objekt gesucht. Nur wenn dort noch nichts abgelegt ist, wird ein neues Subject erstellt und in die Session geschrieben. Caching des Subjects Die eigentliche Überprüfung delegiert der Filter anschließend an das JAAS Login Module SLTLoginModule, das er über die aus Abschnitt schon bekannte JAAS API mit new LoginContext("addressBook", subject, new SLTCallbackHandler(req)) initialisiert. Der erste Parameter ("addressbook") bezieht sich auf den Namen des Login-Modul-Stacks, dessen Konfiguration bei Tomcat in einer einfachen Textdatei ausgelagert und beim Start des Webcontainers über das Java-VM-Argument -Djava.security.auth.login.config=<Pfad und Dateinamen auf JAAS Konfigurationsdatei> angegeben wird. Listing 4.3 zeigt den Inhalt der Datei jaas.config, in der die Konfiguration zum Login-Modul-Stack addressbook enthalten ist. Dieser enthält in diesem Fall nur einen einzigen Eintrag, das SLTLoginModule, dem das Module Flag required zugewiesen ist. Auf die einzelnen Modul-Optionen wird im Folgenden Bezug genommen. addressbook { com.securesale.slt.sltloginmodule required authschema="basicauthentication" trustedissuer="cn=employee Portal, O=SecureSale Inc." pab="c:\\tmp\\tomcat.pse" pabpwd="secret"; }; Listing 4.3 Inhalt der Tomcat-JAAS-Konfigurationsdatei für das Unternehmensszenario Schritt 5 Das Login-Modul muss sich zunächst das Ticket aus dem Request besorgen. Dazu verwendet es den eigenen Callback Handler SLT- Callback Handler CallbackHandler, der ebenfalls beim Erzeugen des LoginContext im vorherigen Schritt übergeben wurde. STLCallbackHandler kann nur mit einem HTTPServletRequest-Objekt instanziert wer- 179
25 4 Single Sign-on den. Der Grund dafür liegt nahe: Der Callback Handler benötigt den aktuellen HTTP-Request, um dort nach dem Cookie mit dem Namen MYSAPSSO2 zu suchen. Listing 4.4 zeigt die Implementierung der Methode login() aus dem SLTLoginModule. Hier wird auf dem Callback Handler die Methode handle(new Callback[] {nc}) aufgerufen, über die das SAP Logon Ticket im Request gesucht wird. public boolean login() throws LoginException { // check if callback handler is available if (callbackhandler == null) { throw new LoginException(); } // retrieve SAP Logon Ticket from handler and verify it try { // use NameCallback to retrieve SLT value NameCallback nc = new NameCallback("ticket"); callbackhandler.handle(new Callback[] {nc}); if (nc.getname()!= null) this.authuser = verifyslt(nc.getname()); else throw new LoginException(); succeeded = true; } catch (Exception e) { throw new LoginException(); } return succeeded; } Listing 4.4 login-methode im SLTLoginModule NameCallback als Zwischenspeicher Mithilfe des zum Standardumfang der JAAS API gehörenden Callbacks javax.security.auth.callback.namecallback wird das Ticket vom Callback Handler in der NameCallback-Instanz nc zwischengespeichert. Verläuft die Suche erfolgreich, steht das Ticket über nc.getname() im Login-Modul für die eigentliche Überprüfung (Schritt 7) bereit. Doch lohnt sich vorab noch ein tieferer Blick in die Arbeitsweise des Callback Handlers. Schritt 6 Da der HTTP Request bei der Initialisierung des Callback Handlers übergeben und eine Callback-Instanz vom Typ NameCallback im Login-Modul erzeugt wurde, kann nun die vom SLTCallbackHand- 180
26 Single Sign-on im Intranet 4.2 ler implementierte handle()-methode des JAAS-Interface CallbackHandler ihre Arbeit aufnehmen (siehe Listing 4.5): public void handle(callback[] callbacks) throws IOException, UnsupportedCallbackException { NameCallback nc = null; for (int i = 0; i < callbacks.length; i++) { if (callbacks[i] instanceof NameCallback) { nc = (NameCallback) callbacks[i]; } else throw new UnsupportedCallbackException(callbacks[i], "SLTCallbackHandler"); } // extract SAP Logon Ticket from request Cookie[] cookies = request.getcookies(); if (cookies!= null) { String sltcookiename = "MYSAPSSO2"; Cookie slt = null; for (int i = 0; i < cookies.length; i++) { Cookie cookie = cookies[i]; if (sltcookiename.equals(cookie.getname()) && slt == null) slt = cookie; } if (slt!= null) { if (nc!= null) { nc.setname(slt.getvalue()); } } } } Listing 4.5 handle()-methode im SLTCallbackHandler Zunächst wird die vom Login-Modul übergebene NameCallback- Instanz (nc) aus dem callbacks-array gelesen. Die anschließende Suche nach dem SAP Logon Ticket erweist sich als unproblematisch: Mit request.getcookies() erhält man ein Array aller im Request enthaltenen Cookies, das anschließend Eintrag für Eintrag durchsucht wird, wobei der jeweilige Name (cookie.getname()) mit der Bezeichnung MYSAPSSO2 für das SAP Logon Ticket verglichen wird. Trifft der Callback Handler auf das gesuchte Cookie, so scheibt er dessen Wert im NameCallback-Objekt mit nc.set- Name(slt.getValue()) fest. 181
27 4 Single Sign-on Verwendung von SAPSSOEXT Schritt 7 Nun ist das SLTLoginModule in der Lage, das Ticket mit der externen Bibliothek SAPSSOEXT zu überprüfen. Sie verifiziert die Signatur des Tickets und liefert dessen Inhalt, beispielsweise den Benutzernamen, das verwendete Authentication Template bei der Portalanmeldung oder den Namen seines Herausgebers. Die verwendete Wrapper-Klasse SSO2Ticket für die Aufrufe der von SAPSSOEXT bereitgestellten Funktionen ist in Listing 4.6 dargestellt. package com.mysap.sso; public class SSO2Ticket { public static String SECLIBRARY; public static String SSO2TICKETLIBRARY = "sapssoext"; static { if (System.getProperty("os.name").startsWith("Win")){ SECLIBRARY = "sapsecu.dll"; } else { SECLIBRARY = "libsapsecu.so"; } try { System.loadLibrary(SSO2TICKETLIBRARY); } catch (Throwable e) { logger.error("error during initialization of SSO2Ticket: " + e.getmessage()); } } public static native synchronized boolean init(string seclib); public static native synchronized String getversion(); public static native synchronized Object[] evallogonticket(string ticket, String pab, String pab_password) throws Exception; public static native synchronized String parsecertificate(byte[] cert, int info_id); } Listing 4.6 Java-Wrapper-Klasse SSO2Ticket für die SAPSSOEXT-Bibliothek SSO2Ticket entspricht weitestgehend der Beispieldatei, die mit dem Download der SAPSSOEXT-Bibliothek vom SAP Service Marketplace ausgeliefert wird. Allerdings wurde der Wrapper-Klasse 182
28 Single Sign-on im Intranet 4.2 ihre Paket-Definition com.mysap.sso hinzugefügt, die mit der Bennungen der Funktionen in der Bibliothek übereinstimmt (siehe Kasten Java Native Interface und SAPSSOEXT). Java Native Interface und SAPSSOEXT Für die Einbindung von betriebssystemspezifischen Funktionen oder Methoden in Java, die in einer anderen Programmiersprache wie z.b. C oder C++ entwickelt wurden, stellt das Java Native Interface (JNI) eine standardisierte API zur Verfügung. Zunächst müssen alle Methoden der externen Bibliothek als betriebssystemspezifische Methoden über das Schlüsselwort native in einer Java- Klasse deklariert werden, die später als sogenanntes Wrapper-Objekt für die eigentliche Weiterleitung der Aufrufe an die nativen Bibliotheksfunktionen dient. Damit die Bibliothek auch zur Laufzeit in den Speicher der Java Virtual Machine (VM) geladen wird, empfiehlt sich im statischen Initialisierungsblock der Klasse der Aufruf von System.loadLibrary( "<Bibliotheksname>"). Da sich der static-block wie ein Konstruktor für die Klasse verhält, wird dieser Code auch nur einmal ausgeführt, und zwar beim Laden der Klasse durch den Classloader der VM. Die C/C++-Bibliothek muss sich an bestimmte Namenskonventionen halten, um über JNI einem Java-Programm ihre Dienste als dynamisch ladbare Bibliothek auf der jeweiligen Plattform (z.b. als Dynamic Link Library unter Windows) anbieten zu können. Die Methodennamen in der Bibliothek dürfen nicht einfach den Methodennamen aus der Java-Klasse übernehmen, sondern müssen das Präfix Java tragen, gefolgt von dem vollständigen Paket- und Klassennamen, schließlich dem Methodennamen selbst. Die einzelnen Paketglieder werden mit einem Unterstrich kenntlich gemacht, sodass z.b. aus der als nativ deklarierten Java-Methode invent() in der Klasse Inventor aus dem Paket org.genius die C/C++- Bibliotheksfunktion Java_org_genius_Inventor_invent wird. Die Funktionsnamen der SAPSSOEXT-Bibliothek sind ebenfalls an einen festen Paket- und Klassennamen gebunden. Die Methode evallogon- Ticket zur Überprüfung der Gültigkeit des Tickets ist beispielsweise unter dem Namen Java_com_mysap_sso_SSO2Ticket_evalLogonTicket registriert. Daraus lässt sich ableiten, dass der Klassenname des Wrapper- Objekts SSO2Ticket und der Name seines Pakets com.mysap.sso lauten muss. Befolgt man diese Vorgaben nicht, erhält man bei Aufruf der Bibliotheksfunktionen über die nativen Methoden der Java-Klasse eine Exception vom Typ java.lang.unsatisfiedlinkerror, die mitteilt, das die VM nicht in der Lage war, die gewünschte Methode in der Bibliothek ausfindig zu machen. 183
29 4 Single Sign-on Von zentralem Interesse in SSO2Ticket ist die Prüffunktion eval- LogonTicket, deren Verwendung Listing 4.7 am Beispiel der Methode verifyslt im SLTLoginModule zeigt. private User verifyslt(string ticketvalue) throws LoginException { try { // initialize library if (!SSO2Ticket.init(SSO2Ticket.SECLIBRARY)) { return null; } Object o[] = SSO2Ticket.evalLogonTicket(ticketValue, options.getproperty(option_param_pab), options.getproperty(option_param_pabpwd)); // check if the issuer is trused String ticketissuer = SSO2Ticket.parseCertificate( (byte[]) o[3], ISSUER_CERT_ISSUER); if (!ticketissuer.equals( options.getproperty(option_param_trustedissuer))) { throw new LoginException(); } else // create new user principal User user = new User(); user.setname((string) o[0]); return user; } catch (Exception e) { throw new LoginException("Could not verify the SAP Logon Ticket"); } } Listing 4.7 Methode verifyslt im Login-Modul zur Überprüfung des SAP Logon Tickets Vor der erstmaligen Überprüfung eines Tickets muss die Bibliothek zunächst über SSO2Ticket.init mit einem Verweis auf die zu verwendende Kryptobibliothek (SSO2Ticket.SECLIBRARY) initialisiert werden. Anschließend liefert SSO2Ticket.evalLogonTicket alle benötigten Daten aus dem in ticketvalue übergebenen Wert des MYSAPSSO2-Cookies zurück, sofern folgende Voraussetzungen erfüllt sind: Voraussetzungen Das zur Überprüfung der Signatur benötigte Zertifikat muss im Private Address Book (PAB) vorhanden sein, dessen vollständi- 184
30 Single Sign-on im Intranet 4.2 ger Pfad- und Dateiname als Option pab in der Konfiguration des Login-Moduls (siehe Listing 4.3) angegeben wird. Der Zugriff auf das PAB muss durch das ebenfalls in der Login- Module-Konfiguration angegebene Passwort (Option pabpwd) möglich sein. Das Ticket muss gültig sein, d.h., die im Ticket abgelegten Daten müssen authentisch sein und der im Ticket angegebene Gültigkeitszeitraum darf nicht überschritten worden sein. Das Array o[] beinhaltet bei erfolgreicher Rückkehr der Funktion den strukturierten Inhalt des Tickets. So enthält Index-Position Nummer drei (o[3]) das Zertifikat des Ausstellers als Byte-Array, das über SSO2Ticket.parseCertificate weiter in seine Einzelinformationen zerlegt werden kann. Auf diese Weise lässt sich z.b. der Distinguished Name (DN) des Herausgebers ermitteln und mit dem als vertrauenswürdig eingestuften Namen aus der Login- Modul-Konfigurationsdatei jaas.config (siehe Listing 4.3) vergleichen. Verlaufen auch die zusätzlichen Prüfungen ohne Beanstandungen, kann im letzten Schritt das Benutzerobjekt mit dem Namen des im Ticket übermittelten Subjects (user.setname((string)o[0])) erzeugt werden. Auf die Überprüfung der Existenz des Benutzers in einer lokalen Benutzerverwaltung wird verzichtet, da es jedem Mitarbeiter, der sich ordnungsgemäß über das Portal angemeldet hat, gestattet sein soll, auch das Adressbuch zu nutzen. Schritt 8 Fällt die Authentifizierungsentscheidung positiv aus, kehrt der Aufruf des Login-Modul-Stacks ohne eine LoginException zurück, und der Request wird an die Verarbeitungskette mit filter- Chain.doFilter(request, response) (siehe Listing 4.2) den weiteren Filtern übergeben Schritt 9 Nach Beendigung der Filter-Verarbeitungskette und Verarbeitung des Requests in der AddressBook-Anwendung liefert der SLT- AuthenticationFilter die Response unverändert an den Browser aus. Sie finden den vollständigen Quellcode zur AddressBook-Anwendung inklusive dem Servlet-Filter im Übungsverzeichnis /exercise3_ solution. 185
Programmierhandbuch SAP NetWeaver* Sicherheit
Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit
MehrInhalt. Vorwort 13. L.., ',...":%: " j.
Inhalt Vorwort 13 L.., ',...":%: " j. 1. '-.:. ' " '.!. \, : - '. - * T '. ; - J A '.. ' I '",. - ' :'. ",..! :'. " ','. '.. ' t i ' ~ J \ I -.. I. j ' - ' V "!» " J f i " 1 1 * V. " ^ ' ' ' -.» ; ' ',
Mehr4.1 Grundlagen. 4.1.1 Vor- und Nachteile
Jeder hat sie und verlieren wir sie, ist der Ärger groß: Ohne unsere persönliche Kennwortliste sind wir inzwischen machtlos. Single Sign-on verspricht ein Ende der Passwortinflation, muss sich aber zugleich
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrInfrastruktur: Vertrauen herstellen, Zertifikate finden
TeleTrusT Bundesverband IT-Sicherheit e.v. Infrastruktur: Vertrauen herstellen, Zertifikate finden Allgemeines zur TeleTrusT EBCA Seit 2001 Zusammenschluss einzelner, gleichberechtigter n zu -Verbund einfacher,
MehrAdminer: Installationsanleitung
Adminer: Installationsanleitung phpmyadmin ist bei uns mit dem Kundenmenüpasswort geschützt. Wer einer dritten Person Zugriff auf die Datenbankverwaltung, aber nicht auf das Kundenmenü geben möchte, kann
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrEinrichtung des Cisco VPN Clients (IPSEC) in Windows7
Einrichtung des Cisco VPN Clients (IPSEC) in Windows7 Diese Verbindung muss einmalig eingerichtet werden und wird benötigt, um den Zugriff vom privaten Rechner oder der Workstation im Home Office über
MehrStep by Step Webserver unter Windows Server 2003. von Christian Bartl
Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrFTP-Leitfaden RZ. Benutzerleitfaden
FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...
MehrKURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE
KURZANLEITUNG CYBERDUCK MIT CLOUD OBJECT STORAGE Version 1.12 01.07.2014 SEITE _ 2 INHALTSVERZEICHNIS 1. Einleitung...Seite 03 2. Zugriff auf Cloud Object Storage mit Cyberduck...Seite 04 3. Neuen Container
MehrE-Mail-Verschlüsselung mit Geschäftspartnern
E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3
MehrBenutzerkonto unter Windows 2000
Jeder Benutzer, der an einem Windows 2000 PC arbeiten möchte, braucht dazu ein Benutzerkonto. Je nach Organisation des Netzwerkes, existiert dieses Benutzerkonto auf der lokalen Workstation oder im Active
MehrAnleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH
Amt für Informatik Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Anleitung vom 12. September 2009 Version: 1.0 Ersteller: Ressort Sicherheit Zielgruppe: Benutzer von SSLVPN.TG.CH Kurzbeschreib:
MehrLizenzen auschecken. Was ist zu tun?
Use case Lizenzen auschecken Ihr Unternehmen hat eine Netzwerk-Commuterlizenz mit beispielsweise 4 Lizenzen. Am Freitag wollen Sie Ihren Laptop mit nach Hause nehmen, um dort am Wochenende weiter zu arbeiten.
MehrSichere E-Mail für Rechtsanwälte & Notare
Die Technik verwendet die schon vorhandene Technik. Sie als Administrator müssen in der Regel keine neue Software und auch keine zusätzliche Hardware implementieren. Das bedeutet für Sie als Administrator
MehrBenutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.
Benutzerhandbuch Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer. 1 Startseite Wenn Sie die Anwendung starten, können Sie zwischen zwei Möglichkeiten wählen 1) Sie können eine Datei für
MehrANYWHERE Zugriff von externen Arbeitsplätzen
ANYWHERE Zugriff von externen Arbeitsplätzen Inhaltsverzeichnis 1 Leistungsbeschreibung... 3 2 Integration Agenda ANYWHERE... 4 3 Highlights... 5 3.1 Sofort einsatzbereit ohne Installationsaufwand... 5
MehrICS-Addin. Benutzerhandbuch. Version: 1.0
ICS-Addin Benutzerhandbuch Version: 1.0 SecureGUARD GmbH, 2011 Inhalt: 1. Was ist ICS?... 3 2. ICS-Addin im Dashboard... 3 3. ICS einrichten... 4 4. ICS deaktivieren... 5 5. Adapter-Details am Server speichern...
MehrSchritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten
1 von 5 12.01.2013 17:59 SharePoint 2013 Veröffentlicht: 16.10.12 Zusammenfassung: Informationen zur Verwendung von Excel zum Erstellen und Freigeben von Verbindungen mit SQL Server-Daten, mit deren Hilfe
Mehr2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein
Einrichtung von orgamax-mobil Um die App orgamax Heute auf Ihrem Smartphone nutzen zu können, ist eine einmalige Einrichtung auf Ihrem orgamax Rechner (bei Einzelplatz) oder Ihrem orgamax Server (Mehrplatz)
MehrAnleitung zur Installation von VSP-Client- Zertifikaten in Browsern
Informationssysteme für Versorgungsunternehmen Rathausallee 33 22846 Norderstedt Anleitung zur Installation von VSP-Client- Zertifikaten in Browsern V.0.5 Seite 1 Alle Rechte vorbehalten, IVU Informationssysteme
MehrAnleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2
Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2 DynDNS-Accounts sollten in regelmäßigen Abständen mit der vom Internet-Provider vergebenen IP- Adresse (z.b. 215.613.123.456)
MehrBlogbeitrag: Installation eines SAP CRM-Systems
Blogbeitrag: Installation eines SAP CRM-Systems Die Installation und Einrichtung eines SAP-Systems ist immer wieder eine Achterbahnfahrt. Am Beispiel der Installation eines SAP CRM Systems möchte ich einmal
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
MehrRegistrierung am Elterninformationssysytem: ClaXss Infoline
elektronisches ElternInformationsSystem (EIS) Klicken Sie auf das Logo oder geben Sie in Ihrem Browser folgende Adresse ein: https://kommunalersprien.schule-eltern.info/infoline/claxss Diese Anleitung
MehrFolgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:
Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal
Mehrmeine-homematic.de Benutzerhandbuch
meine-homematic.de Benutzerhandbuch Version 3.0 Inhalt Installation des meine-homematic.de Zugangs... 2 Installation für HomeMatic CCU vor Version 1.502... 2 Installation für HomeMatic CCU ab Version 1.502...
MehrNetzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk 20.01.2009
Netzsicherheit I, WS 2008/2009 Übung 12 Prof. Dr. Jörg Schwenk 20.01.2009 Aufgabe 1 1 Zertifikate im Allgemeinen a) Was versteht man unter folgenden Begriffen? i. X.509 X.509 ist ein Standard (Zertifikatsstandard)
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrBeschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.
www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Beschreibung und Bedienungsanleitung Werkzeug für verschlüsselte bpks
MehrSynchronisations- Assistent
TimePunch Synchronisations- Assistent Benutzerhandbuch Gerhard Stephan Softwareentwicklung -und Vertrieb 25.08.2011 Dokumenten Information: Dokumenten-Name Benutzerhandbuch, Synchronisations-Assistent
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Freyung-Grafenau ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen
MehrAnleitung öffentlicher Zugang einrichten
TRK-DashBoard Anleitung öffentlicher Zugang einrichten Manual für Kunden VERSION DATUM AUTOR DATEINAME 1.0 8. SEPTEMBER 2011 HRR ANLEITUNG_OEFFENTLICHER_ZUGANG_DASHBOARD_V10 INHALT 1 ALLGEMEINE INFORMATIONEN...
MehrWhite Paper. Installation und Konfiguration der PVP Integration
Copyright Fabasoft R&D GmbH, A-4020 Linz, 2010. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller. Diese Unterlagen sind streng
MehrFTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox
FTP-Server einrichten mit automatischem Datenupload für SolarView@Fritzbox Bitte beachten: Der im folgenden beschriebene Provider "www.cwcity.de" dient lediglich als Beispiel. Cwcity.de blendet recht häufig
MehrGuide DynDNS und Portforwarding
Guide DynDNS und Portforwarding Allgemein Um Geräte im lokalen Netzwerk von überall aus über das Internet erreichen zu können, kommt man um die Themen Dynamik DNS (kurz DynDNS) und Portweiterleitung(auch
MehrInstallationsdokumentation BKW E-Commerce Zertifikate. b2b-energy client Zertifikat 3 Jahre Kunde installiert das Zertifikat
Installationsdokumentation BKW E-Commerce Zertifikate b2b-energy client Zertifikat 3 Jahre Kunde installiert das Zertifikat selbst 2 / 12 Inhaltsverzeichnis 1. Einführung... 3 1.1. Voraussetzungen... 3
MehrMusterlösung für Schulen in Baden-Württemberg. Windows 2003. Basiskurs Windows-Musterlösung. Version 3. Stand: 19.12.06
Musterlösung für Schulen in Baden-Württemberg Windows 2003 Basiskurs Windows-Musterlösung Version 3 Stand: 19.12.06 Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg
MehrWarenwirtschaft Handbuch - Administration. 2013 www.addware.de
Warenwirtschaft Handbuch - Administration 2 Warenwirtschaft Inhaltsverzeichnis Vorwort 0 Teil I Administration 3 1 Datei... 4 2 Datenbank... 6 3 Warenwirtschaft... 12 Erste Schritte... 13 Benutzerverwaltung...
MehrImport des persönlichen Zertifikats in Outlook Express
Import des persönlichen Zertifikats in Outlook Express 1.Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihrem PC installieren können, benötigen
MehrPatch Management mit
Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch
MehrKonfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung
Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung Inhalt 1. Einleitung:... 2 2. Igel ThinClient Linux OS und Zugriff aus dem LAN... 3
MehrUniversal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.
ewon - Technical Note Nr. 003 Version 1.2 Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. Übersicht 1. Thema 2. Benötigte Komponenten 3. Downloaden der Seiten und aufspielen auf
MehrErste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?
Erste Hilfe «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet? Cache Einstellungen Im Internet Explorer von Microsoft wie auch in anderen Browsern (zum Beispiel Firefox) gibt
MehrÜbung: Verwendung von Java-Threads
Übung: Verwendung von Java-Threads Ziel der Übung: Diese Übung dient dazu, den Umgang mit Threads in der Programmiersprache Java kennenzulernen. Ein einfaches Java-Programm, das Threads nutzt, soll zum
Mehr2. Installation unter Windows 8.1 mit Internetexplorer 11.0
1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer
MehrAvira Management Console 2.6.1 Optimierung für großes Netzwerk. Kurzanleitung
Avira Management Console 2.6.1 Optimierung für großes Netzwerk Kurzanleitung Inhaltsverzeichnis 1. Einleitung... 3 2. Aktivieren des Pull-Modus für den AMC Agent... 3 3. Ereignisse des AMC Agent festlegen...
MehrInfinigate (Schweiz) AG. Secure Guest Access. - Handout -
Infinigate (Schweiz) AG Secure Guest Access - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Secure Guest Access... 2 2.1 Gäste Accounts
MehrEinleitung: Frontend Backend
Die Internetseite des LSW Deutschland e.v. hat ein neues Gesicht bekommen. Ab dem 01.01.2012 ist sie in Form eines Content Management Systems (CMS) im Netz. Einleitung: Die Grundlage für die Neuprogrammierung
MehrCOMPUTER MULTIMEDIA SERVICE
Umgang mit Web-Zertifikaten Was ist ein Web-Zertifikat? Alle Webseiten, welche mit https (statt http) beginnen, benötigen zwingend ein Zertifikat, welches vom Internet-Browser eingelesen wird. Ein Web
MehrAutorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente
Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung
MehrTreckerverein Monschauer Land e.v.
Der Mitgliederbereich Der Mitgliederbereich (TV-MON Intern) ist ein Teil der Webseiten des Treckervereins, der nicht öffentlich und für jedermann zugängig ist. Dieser Bereich steht ausschließlich Mitgliedern
MehrDieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.
CLIENT INSTALLATION DES ENIQ ACCESSMANAGEMENTS Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren. Ein Client kann in drei
MehrSenden von strukturierten Berichten über das SFTP Häufig gestellte Fragen
Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.
MehrBusinessMail X.400 Webinterface Gruppenadministrator V2.6
V2.6 Benutzerinformation (1) In der Vergangenheit konnten Sie X.400 Mailboxen, die Ihnen als Gruppenadministrator zugeordnet sind, nur mittels strukturierten Mitteilungen verwalten. Diese Mitteilungen
Mehricloud nicht neu, aber doch irgendwie anders
Kapitel 6 In diesem Kapitel zeigen wir Ihnen, welche Dienste die icloud beim Abgleich von Dateien und Informationen anbietet. Sie lernen icloud Drive kennen, den Fotostream, den icloud-schlüsselbund und
MehrInformatik für Ökonomen II HS 09
Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und
MehrMicrosoft SharePoint 2013 Designer
Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste
Mehr2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)
1. Einführung: Über den ODBC-Zugriff können Sie bestimmte Daten aus Ihren orgamax-mandanten in anderen Anwendungen (beispielsweise Microsoft Excel oder Microsoft Access) einlesen. Dies bietet sich beispielsweise
MehrAlle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.
Der Admin-Bereich im Backend Achtung: Diese Anleitung gibt nur einen groben Überblick über die häufigsten Aufgaben im Backend-Bereich. Sollten Sie sich nicht sicher sein, was genau Sie gerade tun, dann
MehrImport des persönlichen Zertifikats in Outlook 2003
Import des persönlichen Zertifikats in Outlook 2003 1. Installation des persönlichen Zertifikats 1.1 Voraussetzungen Damit Sie das persönliche Zertifikat auf Ihren PC installieren können, benötigen Sie:
MehrAnleitung BFV-Widget-Generator
Anleitung BFV-Widget-Generator Seite 1 von 6 Seit dem 1. Oktober 2014 hat der Bayerische Fußball-Verband e.v. neue Widgets und einen neuen Baukasten zur Erstellung dieser Widgets veröffentlicht. Im Folgenden
MehrKurzanleitung GigaMove
Kurzanleitung GigaMove Dezember 2014 Inhalt Kurzerklärung... 1 Erstellen eines neuen Benutzerkontos... 2 Login... 5 Datei bereitstellen... 6 Bereitgestellte Datei herunterladen... 6 Datei anfordern...
MehrKurzanleitung zum Einrichten des fmail Outlook 2007 - Addin
Kurzanleitung zum Einrichten des fmail Outlook 2007 - Addin Um sicher und bequem Nachrichten mit Outlook zu verwalten, muss der E-Mail Client passend zu unseren E-Mail Einstellungen konfiguriert sein.
MehrEinrichtung Ihres Exchange-Kontos in Outlook 2010/2013
Einrichtung Ihres Exchange-Kontos in Outlook 2010/2013 Mit Microsoft Exchange können Sie u.a. Ihre Termine im Ihrem Kalender einpflegen, Besprechungsanfragen verschicken, Aufgaben verwalten und Ressourcen
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrGmail in Thunderbird mit IMAP einrichten
Gmail in mit IMAP einrichten Der E-Mail-Dienst Gmail (Google Mail) erfreut sich bei vielen Anwendern großer Beliebtheit, doch nicht alle greifen auf Ihre E-Mails ausschließlich über die Web-Oberfläche
MehrEinrichten eines POP-Mailkontos unter Thunderbird Mail DE:
Einrichten eines POP-Mailkontos unter Thunderbird Mail DE: Ein E-Mail-Konto können Sie am einfachsten über den integrierten Assistenten einrichten. Dieser führt Sie Schritt für Schritt durch alle Einstellungsmöglichkeiten
MehrOutlook Web App 2010 Kurzanleitung
Seite 1 von 6 Outlook Web App 2010 Einleitung Der Zugriff über Outlook Web App ist von jedem Computer der weltweit mit dem Internet verbunden ist möglich. Die Benutzeroberfläche ist ähnlich zum Microsoft
MehrCollax E-Mail-Archivierung
Collax E-Mail-Archivierung Howto Diese Howto beschreibt wie die E-Mail-Archivierung auf einem Collax Server installiert und auf die Daten im Archiv zugegriffen wird. Voraussetzungen Collax Business Server
MehrDatenübertragungsportal
Datenübertragungsportal seite zwei Inhalt Inhalt seite zwei Datenübertragungsportal seite drei Erreichte Schutzziele seite acht seite drei Datenübertragungsportal Die Firmengruppe Melter stellt Ihren Kunden
MehrNovell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar 2015. ZID Dezentrale Systeme
Novell Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Februar 2015 Seite 2 von 8 Mit der Einführung von Windows 7 hat sich die Novell-Anmeldung sehr stark verändert. Der Novell Client
MehrVerwendung des IDS Backup Systems unter Windows 2000
Verwendung des IDS Backup Systems unter Windows 2000 1. Download der Software Netbackup2000 Unter der Adresse http://www.ids-mannheim.de/zdv/lokal/dienste/backup finden Sie die Software Netbackup2000.
MehrBAYERISCHES STAATSMINISTERIUM DES INNERN
BAYERISCHES STAATSMINISTERIUM DES INNERN Bayer. Staatsministerium des Innern 80524 München Einsatznachbearbeitung und vermeintlicher Zertifikatfehler unter Internet Explorer bzw. Mozilla Firefox Bei sicheren
MehrBüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen
BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1
MehrZur Bestätigung wird je nach Anmeldung (Benutzer oder Administrator) eine Meldung angezeigt:
K U R Z A N L E I T U N G D A S R Z L WE B - P O R T A L D E R R Z L N E W S L E T T E R ( I N F O - M A I L ) RZL Software GmbH Riedauer Straße 15 4910 Ried im Innkreis Version: 11. Juni 2012 / mw Bitte
MehrAnmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC
Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC Starten Sie in den Browsern Chrome oder Safari die Seite: www.mymeep.de Erstellen Sie Ihren persönlichen Account unter Eltern Login neu,
MehrMCRServlet Table of contents
Table of contents 1 Das Zusammenspiel der Servlets mit dem MCRServlet... 2 1 Das Zusammenspiel der Servlets mit dem MCRServlet Als übergeordnetes Servlet mit einigen grundlegenden Funktionalitäten dient
MehrCollax E-Mail Archive Howto
Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrSichere E-Mail Kommunikation mit Ihrer Sparkasse
Ein zentrales Anliegen der Sparkasse Rottal-Inn ist die Sicherheit der Bankgeschäfte unserer Kunden. Vor dem Hintergrund zunehmender Wirtschaftskriminalität im Internet und aktueller Anforderungen des
MehrLeitfaden zur Nutzung von binder CryptShare
Leitfaden zur Nutzung von binder CryptShare Franz Binder GmbH & Co. Elektrische Bauelemente KG Rötelstraße 27 74172 Neckarsulm Telefon +49 (0) 71 32-325-0 Telefax +49 (0) 71 32-325-150 Email info@binder-connector
Mehr2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften
1. Digital signierte Rechnungen Nach 11 Abs. 2 zweiter Unterabsatz UStG 1994 gilt eine auf elektronischem Weg übermittelte Rechnung nur dann als Rechnung im Sinne des 11 UStG 1994, wenn die Echtheit der
MehrUmgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.
ewon - Technical Note Nr. 001 Version 1.3 Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten. 19.10.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten
MehrAnleitungen zum KMG-Email-Konto
In dieser Anleitung erfahren Sie, wie Sie mit einem Browser (Firefox etc.) auf das Email-Konto zugreifen; Ihr Kennwort ändern; eine Weiterleitung zu einer privaten Email-Adresse einrichten; Ihr Email-Konto
MehrWeb Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen
9 3 Web Services 3.1 Überblick Web Services stellen eine Integrationsarchitektur dar, die die Kommunikation zwischen verschiedenen Anwendungen mit Hilfe von XML über das Internet ermöglicht (siehe Abb.
MehrFolgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
5. HTTP Proxy (Auth User / URL Liste / Datei Filter) 5.1 Einleitung Sie konfigurieren den HTTP Proxy, um die Webzugriffe ins Internet zu kontrollieren. Das Aufrufen von Webseiten ist nur authentifizierten
MehrSeite 1 von 14. Cookie-Einstellungen verschiedener Browser
Seite 1 von 14 Cookie-Einstellungen verschiedener Browser Cookie-Einstellungen verschiedener Browser, 7. Dezember 2015 Inhaltsverzeichnis 1.Aktivierung von Cookies... 3 2.Cookies... 3 2.1.Wofu r braucht
MehrArtikel Schnittstelle über CSV
Artikel Schnittstelle über CSV Sie können Artikeldaten aus Ihrem EDV System in das NCFOX importieren, dies geschieht durch eine CSV Schnittstelle. Dies hat mehrere Vorteile: Zeitersparnis, die Karteikarte
MehrAdministrator Handbuch
SPTools Extension Keys: sptools_fal_base sptools_fal_driver SPTools Version: 1 Extension Version: 1.0.2 Inhaltsverzeichnis... 1 1. Einleitung... 2 2. Systemanforderungen... 3 3. SPTools FAL Installation...
MehrGEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY
GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY Vorteile der Verwendung eines ACTIVE-DIRECTORY Automatische GEORG Anmeldung über bereits erfolgte Anmeldung am Betriebssystem o Sie können sich jederzeit als
MehrEinleitung Allgemeine Beschreibung Einfachste Bedienung Einen Internetanschluss, sonst nichts Login Anmelden
Anleitung Webmail Internetgalerie AG Aarestrasse 32 Postfach 3601 Thun Tel. +41 33 225 70 70 Fax 033 225 70 90 mail@internetgalerie.ch www.internetgalerie.ch 1 Einleitung Allgemeine Beschreibung Viel unterwegs?
MehrIhre Interessentendatensätze bei inobroker. 1. Interessentendatensätze
Ihre Interessentendatensätze bei inobroker Wenn Sie oder Ihre Kunden die Prozesse von inobroker nutzen, werden Interessentendatensätze erzeugt. Diese können Sie direkt über inobroker bearbeiten oder mit
MehrEinrichtung Ihres Exchange-Kontos in Outlook 2010
Einrichtung Ihres Exchange-Kontos in Outlook 2010 Mit Microsoft Exchange können Sie u.a. Ihre Termine in Ihrem Kalender einpflegen, Besprechungsanfragen verschicken, Aufgaben verwalten und Ressourcen buchen.
Mehr