SICHERHEIT
Außerdem stehen Ihnen für die Aktivierung der sitzungsbasierten Authentifizierung zwei Optionen zur Verfügung: "Für jeden Server getrennt" oder "Serverübergreifend". Mit der Option "Für jeden Server getrennt" wird ein Cookie generiert, das nur von dem Server berücksichtigt wird, von dem er generiert wurde, während mit der Option "Serverübergreifend" ein Cookie generiert wird, mit dem die einmalige Anmeldung mit jedem Server möglich ist, der das Web-SSO-Konfigurationsdokument verwendet.
Um eine Authentifizierung auf Sitzungsbasis zu verwenden, müssen Web-Clients einen Browser verwenden, der Cookies unterstützt. Domino verwendet Cookies zum Verfolgen von Benutzersitzungen.
Funktionen der Namens- und Kennwortauthentifizierung auf Sitzungsbasis
Bei der Namens- und Kennwortauthentifizierung werden der Name und das unverschlüsselte Kennwort des Clients gesendet, und zwar mit jeder Anforderung an den Server. Die sitzungsbasierte Authentifizierung unterscheidet sich dahingehend, dass der Benutzername und das Kennwort nur bei der ersten Anmeldung beim Server über das Netzwerk gesendet werden, und nicht bei jeder Anforderung. Nach der Anmeldung werden der Benutzername und das Kennwort in einem Cookie im Browser des Benutzers gespeichert und der Browser sendet dieses Cookie mit jeder Anforderung an den Server. Bevor der Server eine Anforderung bestätigt, verifiziert er die Informationen im Cookie und verwendet den Cookie-Inhalt, um den angemeldeten Benutzer zu identifizieren. Die Sitzung ist nur in dem Browser gültig, in dem die Anmeldung ausgeführt wurde. Wenn der Benutzer den Browser schließt, in dem die Sitzungsanmeldung ausgeführt wurde, wird die Sitzung des Benutzers beendet und das Cookie wird zerstört.
Die Namens- und Kennwortauthentifizierung auf Sitzungsbasis bietet mehr Kontrolle über Benutzerinteraktionen als die allgemeine Namens- und Kennwortauthentifizierung. Sie können beispielsweise anpassen, in welcher Form Benutzer ihre Namens- und Kennwortinformationen eingeben sollen. Die Benutzer können sich bei der Sitzung abmelden, ohne den Browser zu schließen.
Angepasste HTML-Anmeldemaske
Eine HTML-Anmeldemaske ermöglicht es einem Benutzer, Name und Kennwort einzugeben und anschließend den Namen und das Kennwort für die gesamte Benutzersitzung zu verwenden. Der Browser sendet den Namen und das Kennwort an den Server, der den entsprechenden Zeichensatz verwendet. Für die HTTP-Sitzungsauthentifizierung kann ein Benutzer einen Namen eingeben, der beliebige druckbare Zeichen im Unicode-Format enthält. Das Benutzerkennwort muss jedoch in beliebigen druckbaren Zeichen im US-ASCII-Format eingegeben werden.
Anmerkung: Druckbare Zeichen schließen Steuerzeichen aus.
Domino stellt eine vorgegebene HTML-Maske zur Verfügung ($$LoginUserForm), die in der Domino-Konfigurationsdatenbank (DOMCFG.NSF) bereitgestellt und konfiguriert wird. Sie können die Maske anpassen oder Ihre eigene Maske erstellen, um weitere Informationen aufzunehmen.
Zeitlimit für inaktive Sitzungen
Sie können einen vorgegebenen Zeitraum für das Abmelden des Web-Client vom Server festlegen. Wenn während dieses Zeitraums keine Aktivität stattfindet, wird der Web-Client abgemeldet. Dadurch wird das von Domino verwendete Cookie dazu gezwungen, die ablaufende Benutzersitzung zu verfolgen. Das automatische Abmelden eines Benutzers vom Server verhindert, dass andere Personen den Web-Client verwenden, um die Identität eines Benutzers anzunehmen, wenn der Benutzer die Workstation vor dem Abmelden verlässt. Wenn Sie die sitzungsbasierte Namens- und Kennwortauthentifizierung für einen Server aktivieren, können Sie auch ?logout an das Ende der URL anhängen, um eine Sitzung zu verlassen, z. B. http://renovationsserver/sessions.nsf?logout.
Sie können die Abmeldung auch an ein Gestaltungselement oder eine URL umleiten. Beispiel:
http://renovationsserver/sessions.nsf?logout&redirectto=/logoutDB.nsf/logoutApp?OpenPage
http://renovationsserver/sessions.nsf?logout&redirectto=http://www.sales.com
Sie können diesen Ausdruck in eine Anwendung integrieren, z. B. in Form einer Schaltfläche, oder ihn als URL eingeben.
Maximale Anzahl der Benutzersitzungen
Sie können die maximale Anzahl der gleichzeitig auf dem Server zugelassenen Benutzersitzungen nur für die für jeden Server getrennte sitzungsbasierte Authentifizierung angeben. Wenn der Server sehr langsam arbeitet, können Sie diese Anzahl verringern.
Internetkennwort-Verwaltung
Sie können über Richtliniendokumente und benutzerdefinierte Kennwortrichtlinien auch Internetkennwörter für die sitzungsbasierte Authentifizierung verwalten.
Serverübergreifende sitzungsbasierte Authentifizierung
Die serverübergreifende, sitzungsbasierte Authentifizierung, die auch als einmalige Anmeldung bezeichnet wird, ermöglicht die Übertragung von Domino-Cookies auf mehrere Server. Außerdem ermöglicht sie es Domino- und Websphere-Servern, zusammenzuarbeiten und Cookies gemeinsam zu nutzen.
Anmerkung: Wenn Ihre Server für Round-Robin-DNS konfiguriert sind, sollten Sie die Option "Serverübergreifend" (bzw. die einmalige Anmeldung) für die sitzungsbasierte Namens- und Kennwortauthentifizierung verwenden. Server können die Sitzungsinformationen nicht im Arbeitsspeicher speichern, wenn sie Round-Robin-DNS mit dem Cookie für einzelne Server verwenden. Wenn ein Server neu gestartet wird oder abstürzt, gehen die Sitzungsinformationen verloren, sodass die Benutzer ihre Namen und Kennwörter erneut eingeben müssen. Das Sitzungs-Cookie kann in der serverübergreifenden Sitzungseinstellung weiterhin gültig sein, wenn ein Server neu gestartet wird (sofern das Cookie noch nicht abgelaufen ist). Der Benutzer muss jedoch von dem Browserfenster aus auf den Server zugreifen, in dem er sich angemeldet hat.
Zugehörige Konzepte Informationen zu Internet-Site-Dokumenten auf Domino-Servern Namens- und Kennwortauthentifizierung für Internet-/Intranet-Clients
Zugehörige Tasks Websites hosten Datenbank-ACL konfigurieren Serverübergreifende sitzungsbasierte Authentifizierung (einmalige Anmeldung) HTML-Anmeldemaske anpassen Namens- und Kennwortauthentifizierung auf Sitzungsbasis einrichten