Anmeldevoraussetzungen für die UMS
Mit UMS 12.08.100 hat sich der Anmeldeprozess geändert, was neue Anforderungen für Ihre Umgebungen mit sich bringt.
Übersicht
Die Hauptvorteile des neuen Anmeldeprozesses sind:
Erhöhte Sicherheit
Unterstützung von Cloud-Identitätsanbietern wie Microsoft Entra ID, Okta oder PingIdentity
Modernisierter und zentralisierter Anmeldeprozess für die UMS Web App und die UMS Konsole
Details zum Anmeldeprozess finden Sie unter UMS Konsole mit dem IGEL UMS Server verbinden.
Der UMS-Anmeldeprozess verwendet die folgenden Protokolle:
oAuth2
OpenID Connect
JWT
Browser-Voraussetzungen
Für den Anmeldevorgang ist ein aktueller Browser auf dem System erforderlich. Eine Liste unterstützter Browser finden Sie im Abschnitt Unterstützte Umgebung der jeweiligen Release Notes.
UMS Webzertifikat
Das UMS-Webzertifikat muss alle möglichen Adressformate enthalten, die für die Anmeldung in der UMS Konsole oder der UMS Web App verwendet werden. Die folgenden Formate sind möglich:
FQDN
Kurzname (nur Hostname)
IP-Adresse, die für die Verbindung zur UMS Web App oder zur UMS Konsole verwendet wird
Grund: Beim Anmeldeprozess wird ein vollständiger SSL-Handshake durchgeführt und überprüft, ob das präsentierte Zertifikat für den angeforderten FQDN oder die IP-Adresse ausgestellt wurde.
Öffentliche Adresse des IGEL UMS Servers / Cluster-Adresse
Die öffentliche Adresse des UMS Servers muss korrekt konfiguriert sein und mit dem UMS-Webzertifikat übereinstimmen. Weitere Informationen finden Sie unter Korrekte öffentliche Adresse und öffentlichen Web-Port für jeden UMS-Server festlegen.
Grund: Der Authentifizierungsdienst der UMS überprüft die vom Client (UMS Web App oder UMS Konsole) übermittelte Redirect-URI anhand der registrierten Werte. Ab UMS 12.08.100 werden die Redirect-URIs aus der öffentlichen Adresse des UMS Servers bzw. der Cluster-Adresse abgeleitet.
Die Anmeldung an der lokalen Maschine als UMS-Superuser (mit „localhost“ als Serveradresse) ist stets möglich. Dies kann bei der Behebung von Anmeldeproblemen hilfreich sein.
Redirect-URIs für die Anmeldung an der UMS Web App
Wenn Sie zum Anmelden an Ihrer UMS eine URL verwenden, die nicht automatisch erkannt wird (siehe oben), können Sie zusätzliche Redirect-URIs hinzufügen:
Melden Sie sich direkt am Server an, indem Sie sich mit „localhost“ in der UMS anmelden.
Öffnen Sie die UMS Web App und navigieren Sie zu Netzwerk > Einstellungen.
Klicken Sie auf Verwalten unter Zulässige Redirect-URIs.

Zusätzliche Redirect-URIs im Format
https://{host}:{port}

Nach dem Speichern können Sie sich mit diesen konfigurierten URIs anmelden.
Die hier konfigurierten Redirect-URIs müssen im UMS Webzertifikat enthalten sein.
Active Directory (AD) Benutzer
Ein AD-Benutzer muss in der AD-Konfiguration über einen konfigurierten Benutzernamen und ein Passwort verfügen, um sich anmelden zu können.
Grund: In früheren UMS Versionen wurde das Passwort des angemeldeten Benutzers zwischengespeichert und zur Aktualisierung der Benutzerdaten verwendet. Aus Sicherheitsgründen ist nun ein gültiger AD-Benutzer erforderlich, um die Benutzerdaten zu aktualisieren. Dieser Benutzer muss über Leserechte für Kontodetails, Gruppenmitgliedschaften und weitere notwendige AD-Daten verfügen.
Bekanntes Problem
In IGEL UMS-Versionen 12.08.xx schlägt die AD-Anmeldung in Umgebungen fehl, in denen das Domain Name System (DNS) keine Zuordnung zu Key Distribution Centers (KDCs) vornehmen kann. Diese Zuordnung ist entscheidend, damit die UMS beim Authentifizierungsprozess das zuständige KDC für einen bestimmten Realm finden kann.