SICHERHEIT

Überlegungen zur Implementierung eines DSAPI-Filters in einer Windows-Umgebung mit einmaliger Anmeldung
Die einmalige Anmeldung von Windows™ für Web-Clients kann in Kombination mit Anpassungen des IBM® Domino-Web-Servers verwendet werden. Mit der DSAPI (Domino Web Server Application Programming Interface), einer C-API, können Sie Ihre eigenen Erweiterungen für den Domino-Web-Server (z. B. Filter) programmieren und das Verhalten des Web-Servers anpassen.

Sie können beispielsweise eine DSAPI-Filter schreiben, der eine benutzerdefinierte Authentifizierung für Webbenutzer ermöglicht. Die einmalige Anmeldung von Windows für Web-Clients ist nicht auf DSAPI-Filter angewiesen. Wenn aber für einen Domino-Server (oder für eine bestimmt Website auf einem Domino-Server) die einmalige Anmeldung von Windows aktiviert ist, können bestimmte DSAPI-Filtertypen mit Erfolg eingesetzt werden.

Auch wenn der kombinierte Einsatz von DSAPI-Authentifizierungsanpassungen und der einmaligen Anmeldung von Windows für Web-Clients untypisch ist, zeigt ein Beispielszenario einen DSAPI-Filter, der den Zugriff auf eine bestimmte Server-URL reguliert, während auf andere Server-URLs nach einer standardmäßigen Domino-Authentifizierung zugegriffen werden kann. Um den Zugriff auf eine bestimmte URL zu steuern, kann der DSAPI-Filter eine benutzerdefinierte Anmeldeverarbeitung unterstützen, z. B. die Verbindung zu einem Fremdanbietersystem, das den Benutzer verifiziert und weitere erwartete Identifikationsdaten erbringt. In diesem Fall ist es erforderlich, dass der DSAPI-Filter alle Aspekte der Authentifizierung (wie das Bereitstellen der Anmeldeseite der Anwendung und die Verarbeitung der Anmeldeeingaben) behandelt, damit er in einer Umgebung funktioniert, in der auch die einmalige Anmeldung von Windows für Web-Clients genutzt wird. Wenn ein DSAPI-Filter die Benutzerauthentifizierung erfolgreich handhabt, besteht für Domino kein Bedarf mehr, den Benutzer zu authentifizieren. In diesem Fall wird die einmalige Anmeldung in Windows nicht durchgeführt.

Bestimmte Arten von DSAPI-Authentifizierungsfiltern werden im Einsatz mit der einmaligen Anmeldung von Windows für Web-Clients nicht unterstützt. Ein DSAPI-Filter, der für die Erfassung von Benutzernamen und Kennwörtern auf die Domino-Anmeldeseite angewiesen ist, kann nicht unterstützt werden, da dem Benutzer in einer Windows-Umgebung mit einmaliger Anmeldung nicht die Domino-Anmeldeseite dargestellt wird. Ein DSAPI-Filter kann nicht unterstützt werden, wenn er darauf angewiesen ist, dass Benutzernamen und Kennwörter in Standardauthentifizierungs-Headern an den Web-Server gesendet werden. Außerdem werden, wenn die einmalige Anmeldung von Windows für Web-Clients aktiviert ist, keine DSAPI-Filter unterstützt, die Domino für die Bereitstellung des SPNEGO-Protokolls erweitern, da dies in Domino zu Störungen bei der Core-Verarbeitung der einmaligen Anmeldung in Windows führt. Wenn Sie einen DSAPI-Filter weiter verwenden möchten, der mit der einmaligen Anmeldung von in Windows für Web-Clients nicht kompatibel ist, sollten Sie Ihren inkompatiblen DSAPI-Filter auf einer separaten Website bereitstellen und nicht auf einer der Websites, die für die einmalige Anmeldung von in Windows für Web-Clients aktiviert sind.

Zugehörige Tasks
Einmalige Anmeldung von Windows für Web-Clients einrichten