none
Automatisieren der Webanmeldung in einer gemischten Umgebung mit Domänen / Nichtdomänen RRS feed

  • Frage

  • Hallo,

    Ich habe ein technisches Problem und möchte Ihren Rat einholen.

    Wir haben einen IIS ASP.net-Dienst (selbst entwickelt), der auf einem domainierten (Active Directory) PC ausgeführt wird.
    Und es gibt einen anderen Webdienst (kommerzielles Programm), der auf demselben Computer ausgeführt wird.
    Beide Webdienste werden unter Standardwebsite ausgeführt.
    Die Version ist 2019 Win Server Standard (1809 OS Build 17763.107) + IIS (10.0.17763.1).
     
    Die ASP.net-Seiten verfügen über ein Iframe-Feld, das mit einer der Webseiten eines kommerziellen Programms verknüpft ist.

    Benutzer kommen von eigenständigen oder verschiedenen Domänencomputern.

    Für die vollen Funktionen sind zwei Schritte des Anmeldevorgangs erforderlich. Das kommerzielle Webprogramm basiert auf Domainbenutzern. Das erste Login (ASP.net) ist nicht an die Domain gebunden. Benutzer müssen also zwei verschiedene Benutzer / Kennwörter eingeben.

    Wir möchten den 2. Anmeldevorgang automatisieren. Mit den Benutzer- / Kennwortinformationen aus der ersten Anmeldung können wir eine Zuordnung zu einem vordefinierten Domänenbenutzer vornehmen und die Informationen senden, bevor das zweite Anmeldefenster angezeigt wird. Ist es möglich?

    Ich habe gegoogelt, um relevante Informationen wie ISAPI, LDAP, Anfragen und Cookies, POST, PhantomJS zu finden. Ich bin mir jedoch nicht sicher, wie eine dieser Informationen zur Erreichung meines Ziels verwendet werden kann.

    Jeder Kommentar zu diesem Thema wäre dankbar.
    Vielen Dank im Voraus.
    Mittwoch, 12. August 2020 22:43

Alle Antworten

  • Gar nicht.
    Ein IFrame hat ja seine eigene Umgebung und somit seine eigene Anmeldung.
    Du müsstest also aus den o.g. Angaben User und Kennwort ermitteln, dieses an deinen Client zurücksenden um den Link zum IFrame mit der Useranmeldung zu ergänzen.
    Dies scheitert allerdings schon am Auslesen des Kennwortes.
    Zusätzlich hängt es an der Art der Anmeldung am IIS.
    Nutzt du Windows-Authentifizierung musst du ein "Credentials"-Objekt erstellen, nutzt du Formularauthentifizierung musst du das Formular füllen.
    Alles erfordert aber, Benutzer und Kennwort in Klartext übes Netz zu schieben.

    Ich sehe da keine Möglichkeit dieses zu tun, vor allem aus Sicherheitsüberlegungen heraus.

    Donnerstag, 13. August 2020 05:24
  • Moin,

    wenn die kommerzielle Anwendung auch SAML-Authentifizierung kann, könntet ihr eure ASP.NET-Seite auch auf SAML umstellen und ADFS o.ä. für beide verwenden, und zwar mit dem gleichen Token (ist ja auch die gleiche Browser-Sitzung). Freilich kann ich Dir keine 100%-ige Garantie geben, dass es klappt, aber es wäre zumindest der "moderne Weg", um so etwas zu erreichen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 13. August 2020 05:53
  • Kann man SAML auch selber implementieren?
    Ich finde dazu nur "Identity Provider", also externe Anbieter (Amazon, Google, ...).
    Donnerstag, 13. August 2020 07:51
  • Kann man SAML auch selber implementieren?

    Ja, mit ADFS. Oder, wenn man auf vSphere virtualisiert, kann man auch das vCenter als SAML-IdP für andere Applikationen einsetzen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 13. August 2020 08:04
  • D.h. also, dass jede Domäne, die auf meinen IIS-Host zugreift, somit ADFS implementieren/aktivieren muss?
    Donnerstag, 13. August 2020 08:30
  • Wenn Dein IIS-Host Anmeldungen aus dieser Domäne verarbeiten soll, dann ja. Dafür muss er keine Verbindung zur Domäne selbst haben, sofern alle für die Webanwendung benötigten Daten im SAML-Token enthalten sind.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 13. August 2020 09:15
  • Ich denke mit diesen Antworten sollte eine Lösung machbar sein.

    Fazit:
    Die IIS-Anwendungen selber muss SAML-fähig sein.
    Jede Domain, die sich an dieser App anmelden will muss ein IdP (Identityservice Provider) sein.

    Donnerstag, 13. August 2020 09:20
  • Vielen Dank für Ihren wertvollen Rat.

    Es wird sicher einige Zeit dauern, bis die Anwendung fertig ist.

    Ich werde versuchen, für die Ergebnisveröffentlichung zurückzukommen.

    Grüße

    Freitag, 14. August 2020 04:43
  • Ich werde versuchen, für die Ergebnisveröffentlichung zurückzukommen.

    Tu es - das bringt uns alle weiter :-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 14. August 2020 05:39
  • Ich denke über diese Möglichkeit nach.

    Angenommen, ich verwende eine Chrome-Erweiterung mit Hintergrund- oder Ereignisseite.

    Es kann das Anmeldedialogsignal abfangen und den Window-Handler extrahieren. Jetzt kann es

    Füllen Sie das erforderliche Feld aus und senden Sie das Klickereignis an den Window-Handler.

    Wird es möglich sein ?

    onionsjk

    Sonntag, 16. August 2020 07:42
  • Vieles ist möglich, aber wie verhinderst du dann das Auslesen von Benutzer und Kennwort im Klartext?
    Und wie bekommst du User und Kennwort?
    Da sind dann die Tore scheunenweit offen für Angriffe.

    Alternativ teile deinen Anwendern mit, dass sie sich ein Paswortsafe einrichten sollen.
    Dieser hat dann eine einmalige Anmeldung und steuert dann automatisch sämtliche anderen Anmeldungen, die über den Safe abgesichert sind.
    Der Ball liegt somit beim Anwender.

    https://www.google.com/search?q=kennwortsafe

    Sonntag, 16. August 2020 10:35
  • Viele Zeiten sind ohne Lösung vergangen, seit die erste Frage aufgeworfen wurde.

    Wir hatten lange Zeit Probleme, dieses Problem zu lösen, konnten uns aber nicht konzentrieren

    allein in dieser Frage, weil das Projekt in Gang kommen muss.

    Mehrere Optionen wurden ohne Ergebnis ausprobiert - SAML, ADFS ... weil die

    Unterstützung für diese Protokolle aus der zugrunde liegenden kommerziellen Anwendung war

    Früh- oder Betastadium.

     

    Wir haben weiter untersucht und festgestellt, dass der kommerzielle Server verwendet

    Basis-Authentifizierungsmethode, also haben wir versucht, einen Cooki mit den benötigten zu machen

    Domäneninformationen und auf den Server übertragen. Authentifizierung bestanden !!.

    Vielleicht ist es kein professioneller Weg, aber unser Problem ist gelöst.

    Vielen Dank für Ihre wertvolle Unterstützung.

    Sonntag, 25. Oktober 2020 10:46