Child pages
  • Crowd Dokumentation - Konfiguration des Google Apps Konnektors
Skip to end of metadata
Go to start of metadata


Der Google Apps Konnektor ist in Ihrer Crowd-Installation mit dabei. Es ist ein Crowd-Applikations-Konnektor, der das Single Sign-On (SSO) für Google Apps verfügbar macht. Wenn Sie das SSO zwischen den Crowd-verbundenen Applikationen und Google Apps aktivieren möchten, dann müssen Sie den Google Apps Konnektor, wie unten beschrieben, konfigurieren.


Hintergrund

Wenn Leute von Single Sign-On (SSO) sprechen, dann meinen sie üblicherweise zwei Dinge.

  • Authentifizierung - die Zugangsdaten, die für die Verifizierung eines Benutzers verwendet werden.
  • SSO - wenn Sie sich an einer Applikation authentifizieren, müssen Sie sich nicht an einer anderen Applikation authentifizieren, um auf sie zugreifen zu können (zumindest für eine Weile unter der Voraussetzung, dass Sie denselben Browser benutzen).

Im Fall der Google Apps ist die Authentifizierung Ihre Benutzer-ID und Ihr Passwort von Google Apps. Google Apps handhabt den SSO-Teil mit seiner Google Accounts Site. Wenn Sie sich morgens in Gmail einloggen möchten, dann werden Sie auf der Google Accounts Site nach Ihren Authentifizierungsinformationen gefragt, die Sie nach erfolgreicher Authentifizierung dann wieder zurück zu Gmail leitet. Google Accounts merkt sich, dass Sie sich morgens erfolgreich authentifiziert haben, sodass Sie sich beim Aufrufen einer Google Docs Seite zu einem späteren Zeitpunkt nicht erneut authentifizieren müssen. Das alles geschieht meistens im Hintergrund und wird von Google Apps Benutzern nicht bemerkt.

Nun kann man in Google Apps ändern wo die SSO-Funktionalität durchgeführt wird. Ein Google Apps Administrator kann ganz einfach konfigurieren, dass seine Google Apps Instanz ein anderes SSO verwendet. Das könnte Crowd sein oder jeder andere SSO-Dienst. Crowd wird dann zum Haupt-SSO-Dienst, anstelle von Google Accounts. Das bedeutet, dass Sie morgens beim Einloggen in Gmail zu der Crowd Authentifizierungsseite weitergeleitet werden und nicht zu Google Accounts. Die Weiterleitung zurück zu Gmail, nach der erfolgreichen Authentifizierung, geschieht genauso wie davor.

Allerdings beschreibt das nicht, wie OnDemand in Google Apps integriert wird. Denn in diesen Fällen bleibt die SSO-Funktionalität mit Google Accounts bestehen.


Grundvoraussetzungen

Bitte beachten Sie folgendes, bevor Sie beginnen:

Google Apps Unterstützung von SSO: Um das Single Sign-On in Google Apps aktivieren zu können, benötigen Sie die Premier-, Education- oder Parnter-Edition von Google Apps. Die kostenlose Standard-Edition der Google Apps unterstützt nicht das SSO. Lesen Sie dazu die Google Apps Dokumentation (auf Englisch).


Schritt 1: Konfiguration der Crowd-Applikation, Verzeichnisse und Gruppendetails

In diesem Schritt werden Sie die Applikationsdetails für den Google Apps Applikations-Konnektor in Crowd eingeben. Sie werden den Zugriff auf die Google Apps steuern, indem Sie die Crowd-Verzeichnisse und/oder -Gruppen mit der Google Apps Applikation verbinden.

So definieren Sie die Google Apps Applikationsdetails in Crowd:

  1. Loggen Sie sich in Crowds Administrationskonsole ein.
  2. Klicken Sie in der Navigationsleiste oben auf den Applications Tab.
  3. Klicken Sie auf den Link des "google-apps" Applikationsnamen.
  4. Wenn erforderlich, können Sie die Beschreibung ändern. Bitte stellen Sie sicher, dass die Active Checkbox ausgewählt bleibt.
  5. Klicken Sie auf den Directories Tab und wählen Sie einen oder mehrere Benutzer-Verzeichnisse aus, die die Benutzer beinhalten, die Zugriff auf die Google Apps haben sollen.
  6. Um auszuwählen welche Benutzer innerhalb des Verzeichnisses sich gegen die Applikation authentifizieren können, gehen Sie entweder:
    • Zum Directories Tab und ändern den Wert für Allow all to authenticate auf True. Damit wird allen Benutzern des Verzeichnisses erlaubt sich in Google Apps einzuloggen (der Standardwert ist False).
      ODER
    • Zum Groups Tab gehen und mit dem Add Button eine oder mehrere Benutzergruppen auswählen.
  7. Klicken Sie auf den Permissions Tab und legen Sie die Verzeichnis-Berechtigungen für die Applikation fest.
  8. Wenn notwendig, können Sie die Applikationsoptionen auf dem Options Tab ändern:
  9. Klicken Sie auf den Configuration Tab um Ihre SSO-Keys, wie unten im 2. Schritt beschrieben.


Screenshot: Google Apps Applikationsdetails in Crowd.


Schritt 2: Generieren Sie Ihre SSO-Keys

Nun generieren Sie mit Crowd einen Public- und einen Private-Key für die Verwendung bei der Authentifizierung von Crowd in Google Apps (Google Apps nennt den Public-Key "verification certificate").

So generieren Sie Ihre SSO-Keys:

  1. Klicken Sie in Crowds Applikationsbrowser, wie oben in Schritt 1 beschrieben, auf den Configuration Tab für die Google Apps Applikation.
  2. Klicken Sie auf Generate New Keys.

Crowd wird einen Public-Key und einen Private-Key erstellen und sie in der Datenbank platzieren. Wenn die Keys generiert wurden, sehen Sie die Nachricht "DSA keys successfully generated and stored".


Screenshot: Konfiguration des Google Apps Konnektors in Crowd.


Schritt 3: Konfiguration der Google Apps um Crowd zu erkennen

In diesem Schritt werden Sie sich in Google Apps als Administrator einloggen und die Informationen eingeben, die für die Authentifizierung von Crowd in Google Apps erforderlich sind. Diese Informationen bestehen aus einigen Crowd-URLs und dem Public-Key, den Sie in Crowd generierten.

So konfigurieren Sie Google Apps um Crowd zu erkennen:

  1. Loggen Sie sich als Google Apps administrator in Ihr Google Apps Dashboard ein.
  2. In Google Apps klicken Sie auf Security.
  3. Klicken Sie auf Advanced Settings.
  4. Klicken Sie auf Set up single sign-on (SSO).
  5. Kopieren Sie die URLs aus der Crowd Konfigurationsseite (sehen Sie oben) und fügen Sie sie in die Google Apps Seite ein.
  6. Nun laden Sie den Public-Key hoch, den Crowd im 2. Schritt für Sie generiert hat:
    • Immer noch in Google Apps, klicken Sie unter "Verification certificate" auf Browse.
    • Navigieren Sie in Crowd zur "google-apps" Konfiguration und laden Sie den Public-Key herunter, indem Sie auf den Download-Button neben dem Public-Key Label klicken. 
    • Wählen Sie das Public-Key Zertifikat (mit dem Dateinamen DSAPubic.key) aus und laden Sie es zu Google Apps hoch.
  7. Wenn es für Ihre Netzwerkkonfiguration notwendig ist, dann überprüfen Sie Use a domain specific issuer und geben Sie alle erforderlichen Netzwerkmasken in Google Apps ein. Bitte beziehen Sie sich auf die Google Apps Dokumentation für eine Anleitung zu diesen Einstellungen.
  8. Speichern Sie Ihre Änderungen in Google Apps.


Screenshot: Einrichten des SSOs in Google Apps.


Schritt 4: Verifizieren ob sich ein Benutzer in Google Apps einloggen kann

Es ist nun eine gute Idee zu überprüfen, ob sich Ihre Benutzer in Google Apps einloggen können.

So testen Sie die Authentifizierung der Benutzer in Google Apps:

  1. Im Crowd Applikationsbrowser klicken Sie, wie oben im 2. Schritt beschrieben, auf den Authentication Test Tab für die Google Apps Applikation.
  2. Geben Sie die Zugangsdaten eines Benutzers ein und verifizieren Sie den Login. Für weitere Details können Sie die Dokumentation über das Testen der Zugangsdaten an einer Applikation lesen.

Glückwunsch! Sie haben nun Crowd für das SSO mit Google Apps konfiguriert.


Weitere Informationen über den Google Apps Konnektor

Löschen der Keys

Sobald Sie die Keys generiert haben, erscheint ein Delete Keys Button auf Crowds Konfigurationsseite. Klicken Sie auf diesen Button, um die Keys aus der Datenbank zu entfernen. Dies wird das SSO mit Google Apps deaktivieren.


Die Besonderheiten von SSO mit Google Apps

  • Das Single Sign-On (SSO) gilt nur für die Applikationen innerhalb von Google Apps. Der Google Apps Administrationsbereich (das Kontrollpanel) unterstützt nicht das SSO.
  • Wenn Sie sich aus Google Apps ausloggen werden Sie auch aus Crowd und allen Crowd-verbundenen Applikationen ausgeloggt. Dies ist das übliche SSO-Verhalten.
  • Aber wenn Sie sich aus Crowd ausloggen, bleiben Sie weiterhin in Google Apps eingeloggt, obwohl Sie aus allen anderen, Crowd-verbundenen Applikationen ausgeloggt werden. (Der Grund dafür: Google verlässt sich nicht auf Cookies, deshalb gibt es für Crowd keinen einfachen Weg, Google mitzuteilen, dass Sie sich ausgeloggt haben.)
    (Info) Es würde eine zusätzliche Entwicklung erfordern, um das Single Sign-Out für Google Apps zu unterstützten. Wenn Sie diese Funktion gerne hätten, dann stimmen Sie in diesem Ticket dafür ab: CWD-1238.
  • Wenn Sie direkt zu einer Google Apps Applikation gehen, ohne dass Sie sich vorher in Crowd einloggen, leitet Google Apps Sie direkt zu einer Crowd Login-Seite weiter.
  • Auf der Crowd Login-Seite für Google Apps gibt es keinen "Passwort vergessen" Link. Sie können nicht Ihr Crowd Passwort via Google Apps ändern. Stattdessen müssen Sie sich, wenn Sie Ihr Passwort ändern, direkt in Crowd einloggen, indem Sie diese URL öffnen (passen Sie sie vorher an): http://IHRE-CROWD-LOCATION:8095/crowd/


Die Benutzernamen müssen in Google Apps und in Crowd gleich sein

Die Benutzernamen müssen in Google Apps, ebenso wie in Crowd existieren und sie müssen identisch sein. Der Crowd Google Apps Konnektor unterstützt nicht das automatische Hinzufügen von Benutzern. Wenn ein Benutzer in Crowd, aber nicht in Google Apps existiert, kann sich dieser Benutzer nicht in Google Apps einloggen.


Andere Authentifizierungs-Frameworks und SAML-Unterstützung

Crowd unterstützt im Moment das SSO via SAML nur mit Google Apps. Die folgende Information ist relevant für Entwickler, die Crowds Klassen für die Entwicklung eines Plugins verwenden möchten, welches die SAML-Authentifizierung mit anderen Frameworks unterstützt.

Crowds SAML-Implementierung erfüllt die Anforderungen für das Google Apps SSO. Da Google Apps einen Teil der SAML 2.0 Spezifikationen unterstützt, sollte jedes Authentifizierungs-Framework, das sich auf dieselben Spezifikationen stützt, kompatibel sein. Die Crowd-Implementierung ist in der Lage die SAML 2.0 Authentifizierungs-Anfragen, unter Verwendung des HTTP-Redirect-Bindings, zu bedienen. Für weitere Informationen zum Google Apps Authentifizierungsprotokoll lesen Sie bitte deren SSO Dokumentation (auf Englisch).


Ein Beispiel des Google Apps SSOs in Aktion

Hier ist ein Beispiel, wie es funktionieren könnte:

  • John erstellt ein Issue in Jira. In der Issue-Beschreibung fügt er einen Link zu einem Google Apps Dokument, das weitere Details beinhaltet, hinzu.
  • Er weist das Issue zu Sarah zu.
  • Sarah klickt auf den Link und öffnet das Dokument direkt in Google Apps. Sie muss sich dabei nicht erneut einloggen und sich möglicherweise ein anderes Passwort merken.





Crowd Dokumentation Übersicht:



Crowd Doku

  • No labels