11.02.2016
Author: Gabriele Maas

Single Sign-on und so funktioniert es mit Liferay

In den meisten Fällen ist Liferay selbst kein Authentifizierungsprovider, sondern arbeitet mit einer Benutzerverwaltung, auch Identitätsmanagementsystem genannt, zusammen. Die Verbindung zwischen Liferay und der Benutzerverwaltung wird oft durch einen Authentifizierungsserver z.B. CAS hergestellt. Dadurch ist es möglich ganz verschiedene Benutzerverwaltungen, wie Active Directory, LDAP Systeme oder Datenbanken mit Liferay zu verbinden. Ruft ein Benutzer die Liferay Seite erstmalig auf, wird er zuerst an den CAS Server weitergeleitet. CAS prüft: Wer ist der Mitarbeiter und was darf er.

Dort übermittelt der Benutzer seine Zugangsdaten, z.B. Username und Passwort. CAS schickt diese Informationen an die Benutzerverwaltung und erhält von dieser das OK, wenn die Logindaten stimmen. Gegebenenfalls kann die Benutzerverwaltung auch weitere Merkmale wie Gruppenzugehörigkeiten an den CAS Server zurückmelden. Anschließend schickt der CAS Server den Benutzer wieder an das Liferay Portal zurück. Diesmal jedoch ausgestattet mit einem Sicherheitsticket. Das Sicherheitsticket enthält nun alle notwendigen Informationen, die das Portal benötigt, um dem Benutzer Zugang zu den erlaubten Anwendungen zu geben. Die zentrale Anmeldung am Authentifizierungsserver (CAS oder Siteminder) kann bei internen Portalen automatisch mit der Windows-Anmeldung erfolgen. Dadurch ist der Zugriff auf weitere Systeme wie Liferay, Dokumentenmanagementsysteme, ERP usw. ohne weitere Anmeldung  möglich. Für eine gesicherte Datenübertragung ist die Verwendung von SSL, ldaps oder IPsec notwendig.