Hilfe-Center

Domainübergreifende Authentifizierung

Eine domainübergreifende Authentifizierung (Cross-Domain-Authentication, kurz CDA)  ist nur dann von Bedeutung, wenn in der Instanz mehrere unterschiedliche Domains verwendet werden. Also z.B. "mydomain.com" und "myseconddomain.com" oder, mit unterschiedlichen Third-Level-Domains (Subdomains) "de.mydomain.com" und "en.mydomain.com".
Für zweiteren Fall steht zudem eine weitere Einstellung zur automatischen Authentifizierung zur Verfügung.

Ziel ist jeweils, eine Anmeldung am System nur einmal, also auf einer der vorhandenen Domains, durchzuführen. Man muss sich anschließend nicht mehr separat an den anderen Domains registrieren, sondern ist automatisch angemeldet und alle Informationen zur Sitzung sind automatisch wieder vorhanden.

Die domainübergreifende Authentifizierung greift für Administratoren und Benutzer gleichermaßen. Es ist dabei für Administratoren egal, ob man sich mit einem Cookie (angemeldet bleiben) oder per Login-Dialog einloggt.

Technischer Hintergrund:
Ist die Einstellung aktiv, werden zu Beginn einer Browser-Sitzung alle am System vorhandenen Domains einmalig aufgerufen. Sie bekommen dabei alle die gleiche Session-ID zugewiesen wie die vom Anwender aufgerufene Seite. Dadurch verwenden nun alle Domains die gleiche Session-ID, wodurch alle Sitzungsinformationen auf allen Domains bekannt und immer aktuell sind. Wird ein permanenten Angemeldet-Bleiben-Cookie gesetzt, so erscheint es auf allen Domains und wird beim Abmelden von allen wieder entfernt.

 

Voraussetzungen, damit die CDA korrekt funktionieren kann:

  • Es muss eine HTTPS-Verbindung bestehen
    Grund: Moderne Browser lassen das Setzen von Cookies, die zur Anmeldung auf allen Domains nötig sind, nur im sicheren Kontext zu
  • Alle primären Domains müssen über eine HTTPS-Verbindung laufen
    Grund: CONTAILOR versucht die Authentifizierung an allen Domains. Läuft eine davon auf HTTP wird die Authentifizierung dort fehlschlagen, was beim Login und Logout zu Fehlermeldungen führt
  • Der Referrer-Policy-Header darf nicht auf "none" stehen
    Grund: Für domainübergreifende Aufrufe muss der Server die anfragende Domain explizit als zugelassen nennen und es kann nur eine genannt werden. Da es aber mehrere zu authentifizierende Domains geben kann, kann nur mittels des Referrers festgestellt werden, welche Domain gerade genannt werden muss.
    Hinweis zur bestehenden Sicherheit: Sollte eine nicht in CONTAILOR enthaltene Domain den Aufruf tätigen, wird die Anfrage nicht verarbeitet und kein entspr. Header gesetzt.

Zusätzliche Hinweise:

  • Das Session-Cookie "CONTAILORSession" wie auch das permanente Cookie "CONTAILOR" werden bei Anschalten der CDA immer mit den Attributen "Secure" und "SameSite=None" geliefert, auch wenn die entspr. Einstellung hierzu in den allgemeinen Einstellungen anders lautet
    Grund: Sonst müsste man an diese Einstellungen auch noch denken, um die CDA erfolgreich zu aktivieren
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich.
Es ist ein technisches Problem aufgetreten. Bitte wenden Sie sich telefonisch oder per E-Mail an uns.