Liferay Single Sign-on

Mit einem Passwort alle Anwendungen im Portal nutzen

Mit dem Liferay Single Sign-On sind alle Anwendungen auf einer Plattform zugänglich.

Was ist Single Sign-on?

Wer möchte sich schon für sämtliche Anwendungen und Programme alle Passwörter merken? Genau. Niemand.

Optimalerweise loggt sich der User also mit einem Passwort zum Beispiel im Unternehmensportal ein, und sämtliche Anwendungen und Programme, die für ihn oder sie relevant sind, sind einsatzbereit. Diese Funktion nennt man auch in Liferay Single Sign-on.

„Single Sign-on (SSO, mitunter auch als „Einmalanmeldung“ übersetzt) bedeutet, dass sich ein Benutzer mit bei einem Identity Provider (IDP) zentral abgelegten Logindaten an einem Arbeitsplatz auf alle Rechner und Dienste, für die er lokal berechtigt (autorisiert) ist, vom selben Arbeitsplatz aus zugreifen kann, ohne sich an den einzelnen Diensten mit eigenen Logindaten zusätzlich anmelden zu müssen. Wechselt der Benutzer den Arbeitsplatz, wird die Authentifizierung, wie auch die lokale Autorisierung, hinfällig.“

Quelle:Wikipedia

Wie funktioniert Liferay Single Sign-on?

In einem Portal, das mit Liferay erstellt wurde, übernimmt die Software die Verwaltung. Denn unter dem Dach eines Portals summieren sich durch die vielen möglichen Anbindungen, viele Programme. In den meisten Fällen ist Liferay jedoch selbst kein Authentifizierungsprovider, sondern arbeitet mit einer Benutzerverwaltung, auch Identitätsmanagementsystem genannt. Die Verbindung zwischen Liferay und der Benutzerverwaltung wird oft durch einen Authentifizierungsserver, z. B. CAS hergestellt. Dadurch ist es möglich ganz verschiedene Benutzerverwaltungen, wie Active Directory, LDAP Systeme oder Datenbanken mit Liferay zu verbinden.

Liferay unterstützt Single Sign-on, somit ist nur noch eine Authentifizierung am Portal nötig. Ist ein Authentifizierungsserver angebunden, können sich die User z. B. mit Ihrem Windows-Passwort anmelden und auf alle relevanten Programme, je nach Benutzerverwaltung zugreifen.

Wie funktioniert die Authentifizierung mit einem CAS Server?

Ruft ein Benutzer die Liferay Seite, bzw. die Portalseite erstmalig auf, wird er zuerst an den CAS Server (Central Authentification Service) weitergeleitet. Dieser prüft: Wer ist der Mitarbeiter und was darf er. Dort übermittelt der Benutzer seine Zugangsdaten, z. B. Username und Passwort. Er schickt diese Informationen an die Benutzerverwaltung und erhält von dieser das OK, wenn die Logindaten stimmen. Gegebenenfalls kann die Benutzerverwaltung auch weitere Merkmale wie Gruppenzugehörigkeiten an den Server zurückmelden. Anschließend schickt er den Benutzer wieder an das Liferay Portal zurück. Diesmal jedoch ausgestattet mit einem Sicherheitsticket.

Für eine gesicherte Datenübertragung ist die Verwendung von SSL, LDAPs oder IPsec notwendig.

Was enthält ein CAS Sicherheitsticket?

Das Sicherheitsticket enthält nun alle notwendigen Informationen, die das Portal benötigt, um dem Benutzer den Zugang zu den erlaubten Anwendungen zu geben. Die zentrale Anmeldung am Authentifizierungsserver kann bei internen Portalen automatisch mit der Windows-Anmeldung erfolgen. Dadurch ist der Zugriff auf weitere Systeme wie Liferay, Dokumentenmanagement-Systeme, ERP usw. ohne Anmeldung möglich. Für eine gesicherte Datenübertragung werden SSL, ldaps oder IPsec notwendig.

Wie funktioniert die Anbindung zu einem LDAP Verzeichnis?

Das Verzeichnis ist eine Art von Datenbank, die darauf optimiert ist, besonders schnell lese- und durchsuchbar zu sein. Mittlerweile ist die Kommunikation standardmäßig mit SSL verschlüsselt, sodass Passwortdaten besonders gut gesichert sind.

Das Authentifizierungsverfahren funktioniert ähnlich, wie die Authentifizierung mit einem CAS Server.