Authentifizierungsanbieter
Jeder Mandant in RAMP kann über eigene Authentifizierungsanbieter verfügen. Benutzer authentifizieren sich über den für ihren Mandanten konfigurierten Anbieter, sodass verschiedene Organisationen ihre bestehende Identitätsinfrastruktur nutzen können.
Unterstützte Anbietertypen
Abschnitt betitelt „Unterstützte Anbietertypen“| Anbieter | Beschreibung | Anwendungsfall |
|---|---|---|
| RAMP Internal | Benutzername und Passwort in der RAMP-Datenbank gespeichert | Kleine Teams, Tests, eigenständige Bereitstellungen |
| LDAP | LDAP- oder Active Directory-Authentifizierung | Unternehmensumgebungen mit vorhandener AD-Infrastruktur |
| OIDC (OpenID Connect) | Azure AD, Keycloak, Okta, Auth0, Authentik | Cloud-orientierte Organisationen, SSO-Anforderungen |
| Windows Auth | Integrierte Windows-Authentifizierung (IIS/Kerberos) | Intranet-Bereitstellungen in Windows-Umgebungen |
Einen Authentifizierungsanbieter hinzufügen
Abschnitt betitelt „Einen Authentifizierungsanbieter hinzufügen“- Navigieren Sie zu Mandanten und wählen Sie den zu konfigurierenden Mandanten aus.
- Öffnen Sie die Registerkarte Authentifizierungsanbieter.
- Klicken Sie auf Anbieter hinzufügen.
- Wählen Sie den Anbietertyp aus.
- Konfigurieren Sie die anbieterspezifischen Einstellungen (siehe Abschnitte unten).
- Klicken Sie auf Verbindung testen, um die Konfiguration zu überprüfen.
- Klicken Sie auf Speichern.
RAMP Internal konfigurieren
Abschnitt betitelt „RAMP Internal konfigurieren“Die RAMP Internal-Authentifizierung speichert Benutzernamen und Passwörter direkt in der RAMP-Datenbank. Es ist keine weitere Konfiguration erforderlich, außer dem Aktivieren des Anbieters.
Dieser Anbieter eignet sich für:
- Lokale Administratorkonten
- Dienstkonten
- Entwicklungs- und Testumgebungen
- Bereitstellungen ohne externe Identitätsinfrastruktur
LDAP konfigurieren
Abschnitt betitelt „LDAP konfigurieren“Die LDAP-Authentifizierung verbindet RAMP mit einem bestehenden LDAP-Verzeichnis oder Active Directory.
Erforderliche Einstellungen:
| Einstellung | Beschreibung | Beispiel |
|---|---|---|
| Server | LDAP-Server-Hostname oder IP | ldap.beispiel.de |
| Port | LDAP-Portnummer | 389 (LDAP) oder 636 (LDAPS) |
| Base DN | Basis-Distinguished-Name für Benutzersuchen | dc=beispiel,dc=de |
| Benutzerfilter | LDAP-Filter zum Suchen von Benutzerkonten | (sAMAccountName={0}) |
| Bind DN | Distinguished-Name für das Bind-Konto | cn=svc-ramp,ou=dienste,dc=beispiel,dc=de |
| Bind-Passwort | Passwort für das Bind-Konto | (geheim) |
| SSL verwenden | SSL/TLS für die Verbindung aktivieren | true für Port 636 |
OIDC (OpenID Connect) konfigurieren
Abschnitt betitelt „OIDC (OpenID Connect) konfigurieren“Die OIDC-Authentifizierung integriert RAMP mit modernen Identitätsanbietern, die das OpenID Connect-Protokoll unterstützen.
Erforderliche Einstellungen:
| Einstellung | Beschreibung | Beispiel |
|---|---|---|
| Authority URL | Die OIDC-Issuer-URL | https://keycloak.beispiel.de/realms/meinrealm |
| Client ID | Der OAuth2-Client-Bezeichner | ramp-client |
| Client Secret | Das OAuth2-Client-Geheimnis | (geheim) |
| Scopes | Angeforderte OAuth2-Scopes | openid profile email |
- Erstellen Sie einen neuen Client in Keycloak mit aktivierter Client-Authentifizierung.
- Setzen Sie die Gültige Redirect-URIs auf Ihre RAMP-URL gefolgt von
/_auth/callback. - Kopieren Sie Client ID und Client Secret in RAMP.
- Die Authority URL folgt dem Muster:
https://keycloak.beispiel.de/realms/{realm}
- Registrieren Sie eine Anwendung im Azure-Portal unter App-Registrierungen.
- Erstellen Sie ein Client-Geheimnis unter Zertifikate & Geheimnisse.
- Konfigurieren Sie die Redirect-URI auf Ihre RAMP-URL gefolgt von
/_auth/callback. - Die Authority URL folgt dem Muster:
https://login.microsoftonline.com/{tenant-id}/v2.0
- Erstellen Sie eine OIDC-Anwendung in der Okta-Administratorkonsole.
- Setzen Sie die Anmelde-Redirect-URI auf Ihre RAMP-URL gefolgt von
/_auth/callback. - Kopieren Sie Client ID und Client Secret.
- Die Authority URL folgt dem Muster:
https://{domain}.okta.com
- Erstellen Sie einen neuen OAuth2/OpenID Provider in Authentik.
- Setzen Sie die Redirect-URI auf Ihre RAMP-URL gefolgt von
/_auth/callback. - Kopieren Sie Client ID und Client Secret.
- Die Authority URL folgt dem Muster:
https://authentik.beispiel.de/application/o/{app-slug}/
OIDC-Verzeichnisdurchsuchen
Abschnitt betitelt „OIDC-Verzeichnisdurchsuchen“Standardmäßig sieht RAMP externe IDP-Benutzer erst, nachdem sie sich mindestens einmal angemeldet haben (CachedOnly-Modus). Wenn das Verzeichnisdurchsuchen aktiviert ist, kann RAMP Benutzer und Gruppen direkt vom Identitätsanbieter durchsuchen.
Verzeichnisdurchsuchen aktivieren
Abschnitt betitelt „Verzeichnisdurchsuchen aktivieren“Für OIDC-Anbieter, die Admin-APIs bereitstellen (Keycloak, Entra ID, Okta, Authentik), können Sie das vollständige Verzeichnisdurchsuchen aktivieren:
-
Öffnen Sie die OIDC-Verbindungseinstellungen für den Mandanten.
-
Geben Sie den Admin-API-Endpunkt für Ihren Anbieter ein:
Anbieter Admin-API-Endpunkt Keycloak https://keycloak.beispiel.de/admin/realms/{realm}Entra ID https://graph.microsoft.com/v1.0Okta https://{domain}.okta.com/api/v1Authentik https://authentik.beispiel.de/api/v3 -
Stellen Sie sicher, dass der OAuth2-Client die notwendigen API-Berechtigungen für Ihren Anbieter hat.
-
Speichern Sie die Konfiguration.
Nach dem Speichern wechselt der Verbindungsmodus von CachedOnly zu FullBrowse, und Sie können Benutzer und Gruppen direkt vom Anbieter durchsuchen.
CachedOnly vs. FullBrowse
Abschnitt betitelt „CachedOnly vs. FullBrowse“| Funktion | CachedOnly | FullBrowse |
|---|---|---|
| Angemeldete Benutzer anzeigen | Ja | Ja |
| Alle Anbieterbenutzer durchsuchen | Nein | Ja |
| Anbietergruppen durchsuchen | Nein | Ja |
| Gruppen vom Anbieter synchronisieren | Nein | Ja |
| Admin-API-Endpunkt erforderlich | Nein | Ja |
| Zusätzliche API-Berechtigungen erforderlich | Nein | Ja |
Windows Auth konfigurieren
Abschnitt betitelt „Windows Auth konfigurieren“Die integrierte Windows-Authentifizierung verwendet Kerberos oder NTLM für nahtlose Authentifizierung in Windows-Umgebungen.
Erforderliche Einstellungen:
| Einstellung | Beschreibung | Beispiel |
|---|---|---|
| Domain | Windows-Domainname | BEISPIEL |
Einen Anbieter testen
Abschnitt betitelt „Einen Anbieter testen“Testen Sie nach der Konfiguration eines Anbieters immer die Verbindung, bevor Sie sich darauf verlassen:
- Klicken Sie auf Verbindung testen auf der Anbieterkonfigurationsseite.
- Für LDAP: RAMP versucht, sich mit den konfigurierten Anmeldedaten an das Verzeichnis zu binden.
- Für OIDC: RAMP validiert die Authority URL und ruft das OpenID Connect Discovery-Dokument ab.
- Überprüfen Sie die Testergebnisse auf Fehler.
Vorhandene Anbieter verwalten
Abschnitt betitelt „Vorhandene Anbieter verwalten“Einen Anbieter bearbeiten
Abschnitt betitelt „Einen Anbieter bearbeiten“Navigieren Sie zur Registerkarte Authentifizierungsanbieter des Mandanten, klicken Sie auf den Anbieter, ändern Sie die Einstellungen und speichern Sie. Testen Sie die Verbindung nach Änderungen.
Einen Anbieter entfernen
Abschnitt betitelt „Einen Anbieter entfernen“Das Entfernen eines Authentifizierungsanbieters verhindert, dass Benutzer sich über diesen Anbieter anmelden. Benutzer, die sich zuvor über den entfernten Anbieter authentifiziert haben, behalten ihre RAMP-Konten, müssen jedoch einen alternativen Anbieter verwenden.
Nächste Schritte
Abschnitt betitelt „Nächste Schritte“Nach der Konfiguration der Authentifizierungsanbieter konfigurieren Sie die Authentifizierungseinstellungen, um das Standard-Anmeldeverhalten für den Mandanten zu steuern.