JobRouter unterstützt die Nutzung der integrierten Windows-Authentifizierung zur automatischen Anmeldung des aktuellen Windows-Benutzers an der Anwendung. Dabei überprüft JobRouter, mit welchem Login der Anwender an Windows angemeldet ist. Handelt es sich dabei um einen aktiven JobRouter-Benutzer, wird der Anwender direkt in JobRouter eingeloggt, ohne dass er erneut zur Eingabe seiner Authentifizierungsdaten aufgefordert wird.
Bitte beachten Sie: Ab Version 5.1 wird nicht mehr der NTLM-Ordner verwendet. Stattdessen muss die Einstellung fastcgi.impersonate = 0 in der php.ini gesetzt sein.
Bitte beachten Sie: Wenn Sie JobRouter auf die integrierte Windows-Authentifizierung umstellen, müssen Sie darauf achten, dass der Dienst JobServer (siehe Kapitel 12.2) unter einem Domänenbenutzer ausgeführt wird, der Zugriff auf die JobRouter-Webseite hat. Ansonsten kann der Dienst nicht auf die JobRouter-Webanwendung zugreifen und Aktionen, wie. z.B. das Senden automatischer Schritte, nicht ausführen.
Aktivieren von Single Sign-on in JobRouter
Damit JobRouter Single Sign-on verwendet, müssen Sie in der JobRouter-Konfiguration abschließend die Option Single Sign-on aktivieren (siehe Administrationshandbuch).
Konfiguration über die IIS-Verwaltungskonsole
In der IIS-Konfiguration muss für das JobRouter Hauptverzeichnis die Windows-Authentifizierung aktiviert sein.
Für das JobRouter api\rest Verzeichnis muss die Anonyme Authentifizierung und die Windows-Authentifizierung aktiviert sein.
Für das JobRouter api/saml Verzeichnis darf nur die Anonyme Authentifizierung aktiviert sein.
Nutzen Sie die mobile JobRouter-App, muss außerdem für die Datei image.php Anonyme Authentifizierung aktiviert sein, da ansonsten Bilder in Image-Elementen nicht korrekt dargestellt werden können.
Bitte beachten Sie: Wird diese Datei nicht in der Übersicht des JobRouter-Verzeichnisses im IIS angezeigt, müssen Sie zunächst auf Ansicht "Inhalt" wechseln. Nachdem Sie dort die Datei image.php lokalisiert haben, können Sie mit Rechtsklick auf diese zurück auf Ansicht "Features" navigieren und nun die entsprechende Konfiguration vornehmen.
Damit der Zugriff auf Dateien, insbesondere in Zusammenspiel mit dem JobSign Modul, funktioniert, sollte die Identität des verwendeten Anwendungspools auf ein Domänen-Benutzerkonto umgestellt werden.
Bitte beachten Sie: Bei der Nutzung von JobSync muss der hinterlegte Domänen-Benutzer sowohl auf dem Hostsystem als auch auf dem Gegensystem Zugriffsberechtigungen besitzen.
Navigieren Sie hierzu in der IIS-Verwaltungskonsole zu den Anwendungspools. Wählen Sie den für JobRouter genutzten Anwendungspool und öffnen Sie die Erweiterten Einstellungen.
Übersicht der verfügbaren Anwendungspools
Es öffnet sich ein Pop-up Fenster. Im Bereich Prozessmodell muss der Domänen-Benutzer im Punkt Identität hinterlegt werden.
Festlegen des Domänen-Benutzerkontos
Navigieren Sie anschließend zu der JobRouter-Anwendung und öffnen Sie die Einstellung Authentifizierung. Bearbeiten Sie den Eintrag Anonyme Authentifizierung und wählen Sie die Option Identität des Anwendungspools.
Verwendung der Identität des Anwendungspools
JobSync Anpassungen auf Dateisystem-Ebene
Das zuvor im Anwendungspool hinterlegte Domänen-Benutzerkonto benötigt für eine erfolgreiche Synchronisation auf folgenden JobRouter-Verzeichnisse Lese- sowie Schreibberechtigungen:
•uploads
•cache
•data
•functions
Nutzen Sie bei den Verzeichnissen die UNC-Notation (für JobRouter auf unterschiedlichen Servern grundsätzlich erforderlich), sollten Sie sicherstellen, dass der verwendete Domänen-Benutzer über Lese- sowie Schreibrechte auf die Netzwerkfreigaben des Zielsystems besitzt.
Konfiguration der Netzwerkfreigabe für das Domänen-Benutzerkonto
Bitte beachten Sie: Befinden sich beide JobRouter-Systeme auf einem Server, sind Netzwerkfreigaben nicht zwingen erforderlich.
