Basis für SSO ist zunächst eine korrekte Authentifizierung des Benutzers am WebServer. Außerdem muss der NT-Account in myCMDB im User und den Account-Daten eingetragen sein.


Der IIS (Internet Information Service) kennt u.a. die beiden Authentifizierungsmöglichkeiten: „Anonyme Authentifizierung“ und „Windows Authentifizierung“. Aktuell ist die anonyme Authentifizierung aktiviert und die Windows Authentifizierung deaktiviert. 


Wenn Sie jetzt myCMDB aufrufen, werden Sie automatisch und ohne Beteiligung der myCMDB-Anwendung, anonym am WebServer angemeldet und myCMDB selbst fragt nach Benutzer und Passwort.


Für SSO muss die anonyme Authentifizierung deaktiviert und die Windows Authentifizierung aktiviert sein. Dann führt der Aufruf der Anwendung zu einer Windows Authentifizierung, normalerweise automatisch mit ihrem aktuellen Benutzerkonto, mit dem Sie am PC angemeldet sind. Falls dies nicht gelingt, zeigt der Browser ein (Windows-) Anmeldefenster an, in welches Sie ihre Anmeldedaten eingeben können und versucht dann, Sie mit diesen Daten am IIS zu authentifizieren. Falls dies auch nicht gelingt, scheitert auch der Aufruf von myCMDB.


Nachdem nur entweder die anonyme oder die Windows-Authentifizierung aktiv sein sollte, ist es notwendig, eine weitere WebAnwendung einzurichten, in der dann die Windows-Authentifizierung aktiviert ist.


Wenn die Windows-Authentifizierung aktiviert ist und der myCMDB-Aufruf schlägt fehlt, würde ich, unter Annahme einer eigenen SSO-Webanwendung, wird bei der Installation eine Testseite "testseite.asp" eingerichtet. Wenn diese Seite aufgerufen wird, erscheint dann eine Zeile beginnend mit „LOGON_USER =“, wenn nach dem Gleichheitszeichen ein Benutzerkonto ausgegeben wird und der myCMDB-Aufruf schlägt fehlt, liegt noch ein Problem in myCMDB vor. Dann sollten Sie sich auf jeden Fall nochmal an Ihren Administrator wenden. 


Wenn die Zeile nach „LOGON_USER =“ leer ist, liegt noch ein Windows-Konfigurationsproblem vor, d.h. der Browser kann Sie nicht am Server authentifizieren. 

Falls Sie Firefox nutzen, könnte es clientseitig am Parameter Network.automatic-ntlm-auth.trusted-uris liegen, siehe:

http://kb.mozillazine.org/Network.automatic-ntlm-auth.trusted-uris

Dort müssen alle myCMDB-Server eingetragen werden. Ähnliche Parameter gibt es bei vielen anderen Browsern auch. Der Eintrag kann auch via GPO vorgenommen werden.


Falls der Webserver aber beispielsweise nicht Mitglied der Anmeldedomain ist, funktioniert die Windows-Authentifizierung gar nicht und dann wäre auch kein SSO möglich. 


Falls der Webserver Mitglied einer anderen Anmeldedomain ist, müssten der Anwender sich mit dem dort gültigem Benutzerkonto anmelden. Der Browser speichert in der Regel die Anmeldedaten und verwendet sie beim nächsten Zugriff automatisch erneut.


Bei anonymer Anmeldung verwendet der IIS das IUSR-Benutzerkonto für den Zugriff auf lokale Dateien. Bei Windows-Anmeldung verwendet der IIS das Benutzerkontos des Anwenders für den Zugriff auf lokale Dateien. Das bedeutet, dass eine AD-Gruppe, in der alle myCMDB-Benutzer Mitglied sind, entsprechend dem IUSR Lese und manchmal auch Schreibrechte auf dem myCMDB-Verzeichnisbaum erhalten muss.


Zu beachten ist, dass wenn SSO eingerichtet ist, myCMDB auch einen Zugriff mit anonymer Authentifizierung für den OmegaServer benötigt.