Home
Home
Englische Version
Support
Impressum
25.3 Release ►

Start Chat with Collection

    Main Navigation

    • Vorbereitung
      • Einrichten InSpire G7 Primärsystem und Standby Appliances
      • Erstellen einer InSpire-VM auf Hyper-V
      • Initiale Inbetriebnahme für G7 Appliances
      • Konnektoren
    • Datenquellen
      • Anleitung zur Datenintegration mithilfe eines SQL Datenbank-Beispiels
      • Handbuch - Mindbreeze InSpire Insight Apps in Salesforce
      • Indizierung benutzerspezifischer Eigenschaften (SharePoint 2013 Connector)
      • Indizierung benutzerspezifischer Objekttypen (Documentum)
      • Installation & Konfiguration - Atlassian Confluence Sitemap Generator Add-On
      • Installation & Konfiguration - Caching Principal Resolution Service
      • Installation & Konfiguration - Mindbreeze InSpire Insight Apps in Microsoft SharePoint On-Prem
      • Konfiguration - Atlassian Confluence Connector
      • Konfiguration - Best Bets Connector
      • Konfiguration - Box Connector
      • Konfiguration - COYO Connector
      • Konfiguration - Data Integration Connector
      • Konfiguration - Datenbank Connector
      • Konfiguration - Documentum Connector
      • Konfiguration - Dropbox Connector
      • Konfiguration - Egnyte Connector
      • Konfiguration - GitHub Connector
      • Konfiguration - Google Drive Connector
      • Konfiguration - GSA Adapter Service
      • Konfiguration - HL7 Connector
      • Konfiguration - IBM Connections Connector
      • Konfiguration - IBM Lotus Connector
      • Konfiguration - Jira Connector
      • Konfiguration - JVM Launcher Service
      • Konfiguration - LDAP Connector
      • Konfiguration - Microsoft Azure Principal Resolution Service
      • Konfiguration - Microsoft Dynamics CRM Connector
      • Konfiguration - Microsoft Exchange Connector
      • Konfiguration - Microsoft File Connector (Legacy)
      • Konfiguration - Microsoft File Connector
      • Konfiguration - Microsoft Graph Connector
      • Konfiguration - Microsoft Loop Connector
      • Konfiguration - Microsoft Project Connector
      • Konfiguration - Microsoft SharePoint Connector
      • Konfiguration - Microsoft SharePoint Online Connector
      • Konfiguration - Microsoft Stream Connector
      • Konfiguration - Microsoft Teams Connector
      • Konfiguration - Salesforce Connector
      • Konfiguration - SCIM Principal Resolution Service
      • Konfiguration - SemanticWeb Connector
      • Konfiguration - ServiceNow Connector
      • Konfiguration - Web Connector
      • Konfiguration - Yammer Connector
      • Mindbreeze InSpire Insight Apps in Microsoft SharePoint Online
      • Mindbreeze Web Parts in Microsoft SharePoint
      • Whitepaper - Web Connector Erweiterte JavaScript Anwendungsfälle
    • Konfiguration
      • CAS Authentifizierung
      • Cookie Authentifizierung
      • Handbuch - AI Chat
      • Handbuch - Erstellung einer AWS 10M InSpire Applikation
      • Handbuch - Erstellung einer AWS 1M InSpire Applikation
      • Handbuch - Erstellung einer AWS 2M InSpire Applikation
      • Handbuch - Erstellung einer Google Compute Cloud Virtual Machine InSpire Applikation
      • Handbuch - Erstellung einer Oracle Cloud 10M InSpire Applikation
      • Handbuch - Erstellung einer Oracle Cloud 1M InSpire Applikation
      • Handbuch - MMC_ Services
      • Handbuch - Natural Language Question Answering (NLQA)
      • Handbuch - SSO mit Microsoft AAD oder AD FS
      • Handbuch - Text Classification Insight Services
      • I18n Item Transformation
      • JWT Authentifizierung
      • Konfiguration - Alternative Suchvorschläge und automatische Sucherweiterung
      • Konfiguration - Backend Credentials
      • Konfiguration - Benachrichtigungen
      • Konfiguration - CJK Tokenizer Plugin
      • Konfiguration - CSV Metadata Mapping Item Transformation Service
      • Konfiguration - Entity Recognition
      • Konfiguration - Export Funktionalität
      • Konfiguration - External Query Service
      • Konfiguration - Filter Plugins
      • Konfiguration - Gesammelte Ergebnisse
      • Konfiguration - GSA Late Binding Authorization
      • Konfiguration - Identity Conversion Service - Replacement Conversion
      • Konfiguration - InceptionImageFilter
      • Konfiguration - Index-Servlets
      • Konfiguration - InSpire AI Chat und Insight Services für Retrieval Augmented Generation
      • Konfiguration - Item Property Generator
      • Konfiguration - Kerberos Authentfizierung
      • Konfiguration - Management Center Menü
      • Konfiguration - Metadata Reference Builder Plugin
      • Konfiguration - Metadaten Anreicherung
      • Konfiguration - Mindbreeze InSpire
      • Konfiguration - Mindbreeze Proxy Umgebung (Remote Connector)
      • Konfiguration - Outlook Add-In
      • Konfiguration - Personalisierte Relevanz
      • Konfiguration - Plugin Installation
      • Konfiguration - Principal Validation Plugin
      • Konfiguration - Profile
      • Konfiguration - Reporting Query Log
      • Konfiguration - Reporting Query Performance Tests
      • Konfiguration - Request Header Session Authentisierung
      • Konfiguration - Verteilte Konfiguration (Windows)
      • Konfiguration - Vokabulare für Synonyme und Autovervollständigung
      • Konfiguration von Vorschaubildern
      • Mindbreeze Personalization
      • Mindbreeze Property Expression Language
      • Mindbreeze Query Expression Transformation
      • SAML Authentifizierung
      • Spracherkennung mit dem LanguageDetector Plugin
      • Trusted Peer Authentication für Mindbreeze InSpire
      • Verwendung von InSpire-Snapshots in einer CI_CD-Umgebung
    • Betrieb
      • Anpassung der InSpire Host OpenSSH Einstellungen - LoginGraceTime auf 0 setzen (Mitigation für CVE-2024-6387)
      • app.telemetry Statistiken zu Suchanfragen
      • Bereitstellen von app.telemetry Informationen mittels SNMPv3 auf G7 Appliances
      • CIS Level 2 Hardening - SELinux in den Modus Enforcing versetzen
      • Handbuch - Administration von Insight Services für Retrieval Augmented Generation
      • Handbuch - Filemanager
      • Handbuch - Indizierungs- und Suchlogs
      • Handbuch - Kommandozeilenwerkzeuge
      • Handbuch - Sichern & Wiederherstellen
      • Handbuch - Updates und Downgrades
      • Handbuch - Verteilter Betrieb (G7)
      • Index Betriebskonzepte
      • Inspire Diagnose und Ressourcen Monitoring
      • Konfiguration - app.telemetry Dashboards für Nutzungsanalyse
      • Konfiguration - Nutzungsanalyse
      • Löschung der Festplatten
      • Wiederherstellen des Lieferzustandes
    • Anwenderhandbuch
      • Browser Extension
      • Cheat Sheet
      • iOS App
      • Tastaturbedienung
    • SDK
      • api.chat.v1beta.generate Schnittstellenbeschreibung
      • api.v2.alertstrigger Schnittstellenbeschreibung
      • api.v2.export Schnittstellenbeschreibung
      • api.v2.personalization Schnittstellenbeschreibung
      • api.v2.search Schnittstellenbeschreibung
      • api.v2.suggest Schnittstellenbeschreibung
      • api.v3.admin.SnapshotService Schnittstellenbeschreibung
      • Debugging (Eclipse)
      • Einbetten des Insight App Designers
      • Entwicklung eines API V2 Search Request Response Transformer
      • Entwicklung eines Query Expression Transformer
      • Entwicklung von Insight Apps
      • Entwicklung von Item Transformation und Post Filter Plugins mit der Mindbreeze SDK
      • Java API Schnittstellenbeschreibung
      • OpenAPI Schnittstellenbeschreibung
      • SDK Übersicht
    • Release Notes
      • Release Notes 20.1 Release - Mindbreeze InSpire
      • Release Notes 20.2 Release - Mindbreeze InSpire
      • Release Notes 20.3 Release - Mindbreeze InSpire
      • Release Notes 20.4 Release - Mindbreeze InSpire
      • Release Notes 20.5 Release - Mindbreeze InSpire
      • Release Notes 21.1 Release - Mindbreeze InSpire
      • Release Notes 21.2 Release - Mindbreeze InSpire
      • Release Notes 21.3 Release - Mindbreeze InSpire
      • Release Notes 22.1 Release - Mindbreeze InSpire
      • Release Notes 22.2 Release - Mindbreeze InSpire
      • Release Notes 22.3 Release - Mindbreeze InSpire
      • Release Notes 23.1 Release - Mindbreeze InSpire
      • Release Notes 23.2 Release - Mindbreeze InSpire
      • Release Notes 23.3 Release - Mindbreeze InSpire
      • Release Notes 23.4 Release - Mindbreeze InSpire
      • Release Notes 23.5 Release - Mindbreeze InSpire
      • Release Notes 23.6 Release - Mindbreeze InSpire
      • Release Notes 23.7 Release - Mindbreeze InSpire
      • Release Notes 24.1 Release - Mindbreeze InSpire
      • Release Notes 24.2 Release - Mindbreeze InSpire
      • Release Notes 24.3 Release - Mindbreeze InSpire
      • Release Notes 24.4 Release - Mindbreeze InSpire
      • Release Notes 24.5 Release - Mindbreeze InSpire
      • Release Notes 24.6 Release - Mindbreeze InSpire
      • Release Notes 24.7 Release - Mindbreeze InSpire
      • Release Notes 24.8 Release - Mindbreeze InSpire
      • Release Notes 25.1 Release - Mindbreeze InSpire
      • Release Notes 25.2 Release - Mindbreeze InSpire
      • Release Notes 25.3 Release - Mindbreeze InSpire
    • Sicherheit
      • Bekannte Schwachstellen
    • Produktinformation
      • Produktinformation - Mindbreeze InSpire - Standby
      • Produktinformation - Mindbreeze InSpire
    Home

    Path

    Sure, you can handle it. But should you?
    Let our experts manage the tech maintenance while you focus on your business.
    See Consulting Packages

    Konfiguration von Trusted Peer Authentication
    Mindbreeze InSpire

    EinführungPermanenter Link zu dieser Überschrift

    Typischerweise melden sich Benutzer bei der Suche direkt am Client Service an. Dazu wird eine der Authentifizierungsvarianten Kerberos, SAML oder CAS verwendet.

    Mit Trusted Peer Authentifizierung ist es möglich, dass der Benutzername, der für die Berechtigungsprüfung der Suchresultate verwendet wird, mit der Anfrage gesendet wird. Damit dadurch nicht jeder Benutzer im Namen eines anderen suchen kann, muss der Aufrufer einen Beweis erbringen, dass ihm vertraut werden kann.

    Hierfür gibt es folgende zwei Möglichkeiten:

    1. die Anfrage verwendet ein Clientzertifikat, das von einem in der Konfiguration hinterlegten CA-Zertifikat signiert wurde
    2. die Anfrage enthält einen OAuth 2.0 Bearer Token eines konfigurierten OAuth-Servers.

    Trusted Peer Authentifizierung wird unter anderem verwendet, wenn

    • die Suche in eine bestehende Anwendung eingebunden wird, wo bereits eine Authentifizierung stattfindet, oder
    • die API direkt verwendet wird.

    VoraussetzungenPermanenter Link zu dieser Überschrift

    Damit Client Services Trusted Peer Authentifizierung nutzen können, muss die Kommunikation zwischen Client- und Query Service mit Trusted Peer Authentifizierung mit Zertifikaten abgesichert sein.

    Trusted Peer Authentifizierung mit ZertifikatenPermanenter Link zu dieser Überschrift

    Werden Zertifikate für die Vertrauensbeziehung zwischen Anfragesteller und Service verwendet, muss folgendes gegeben sein:

    • auf der Appliance ist ein CA-Zertifikat installiert und als Trusted Peer markiert
    • der Anfragesteller sendet die Anfrage mit einem von diesem CA-Zertifikat signierten Clientzertifikat
    • die Eigenschaft Subject des Clientzertifikats stimmt mit einem konfigurierten regulären Ausdruck überein (nur bei Client Services)

    Anforderungen an die ZertifikatePermanenter Link zu dieser Überschrift

    Wichtig: Das CA-Zertifikat darf ausschließlich für die Vertrauensbeziehung verwendet werden. Jeder Anfragesteller erhält ein mit diesem CA-Zertifikat signiertes Clientzertifikat. Dadurch werden die Missbrauchsmöglichkeiten eingeschränkt. Es ist beispielsweise fahrlässig das CA-Zertifikat zu verwenden, dass für SSL Server-Zertifikate im Unternehmen verwendet wird, sonst würde jedem SSL Server-Zertifikat vertraut.

    Das CA-Zertifikat muss als PEM-Datei vorliegen. Der Private Key muss nicht enthalten sein. Für die Kommunikation zwischen Client- und Query Service muss ein Clientzertifikat im PKCS #12-Format und ohne Passwort installiert sein.

    Es kann pro Installation nur ein CA-Zertifikat als Trusted Peer Zertifikat verwendet werden.

    Installation und Auswahl der ZertifikatePermanenter Link zu dieser Überschrift

    • Öffnen Sie das „Configuration“-Menü und navigieren Sie zum Tab „Certificates“.
    • Wählen Sie unter „Certificate“ in der Auswahl „CA“ aus und das zu installierende CA-Zertifikat (.pem). Klicken Sie „Upload“ um das Hochladen des CA-Zertifikates zu starten.

    • Aktivieren Sie unter „Available CAs“ die Option „Trusted Peer“ beim neu installierten Zertifikat damit wird das Zertifikat automatisch für alle Query Services verwendet.

    Wählen Sie unter „Certificate“ in der Auswahl „SSL“ aus und das zu installierende Clientzertifikat (.pem). Klicken Sie „Upload“ um das SSL-Zertifikat hochzuladen.

    Navigieren Sie zum Tab „Client Services“ und im Bereich „Trusted Peer Communication To Query Services” wählen Sie das installierte Clientzertifikat in der Einstellung “Credential Certificate” aus. Aktivieren Sie auch die Einstellung “Authentication Generates Trusted Peer Credentials”.

    Aktivieren der Trusted Peer Authentifizierung mit Zertifikaten am Client ServicePermanenter Link zu dieser Überschrift

    • Navigieren Sie zum Tab „Client Services“ und öffnen Sie den gewünschten Client Service.
    • Gehen Sie zum Abschnitt „Trusted Peer Access Using Certificates” und aktivieren Sie die Einstellung “Enable Trusted Peer Access Using Certificates”.
    • In der Einstellung „Certificate Subjects Trusted for Identity Delegation“, hinterlegen Sie einen regulären Ausdruck mit dem die Eigenschaft „Subject“ des Clientzertifikats (Java, Groß- und Kleinschreibung werden berücksichtigt) geprüft wird. Die Einstellung muss gesetzt werden.

    Trusted Peer Authentifizierung mit OAuth 2.0 Bearer TokenPermanenter Link zu dieser Überschrift

    Bei der Authentifizierung mit OAuth 2.0 Bearer Token muss der OAuth-Server hinterlegt werden. Trusted Peer Authentifizierung wird nur Benutzern erlaubt, denen eine konfigurierte Rolle zugewiesen ist. Die einzelnen Konfigurationswerte erfragen Sie am besten bei ihrem OAuth-Server-Administrator.

    • Navigieren Sie zum Tab „Client Services“ und öffnen Sie den gewünschten Client Service.
    • Im Bereich „Trusted Peer Access Using OAuth 2.0 Bearer Token” aktivieren Sie die Einstellung “Enable Trusted Peer Access Using OAuth 2.0 Bearer Token”.
    • Hinterlegen Sie die Adresse des OAuth-Servers in der Einstellung „Auth Server URL“.

    • Kontrollieren Sie die restlichen Einstellungen und passen Sie diese gemäß ihrem Anwendungsfall an:

    Einstellung

    Beschreibung

    Realm

    Der zu verwendende OAuth Realm. Details finden Sie bei Ihrem OAuth-Server.

    Resource

    Die zu verwendende OAuth Resource. Details finden Sie bei Ihrem OAuth-Server (bei einigen OAuth-Servern auch Client genannt).

    SSL Security for Communication with Auth Server

    Legt fest, wie die HTTPS-Verbindung zum Auth-Server geprüft wird:

    Option

    Beschreibung

    Validate Certificate and Hostname

    Das Serverzertifikat des Auth Servers muss von einem vertrauten Zertifikat ausgestellt sein und der Hostnamen muss mit dem der Einstellung „Auth Server URL“ übereinstimmen.

    Validate Hostname

    Der Hostname im Serverzertifikat des Auth Servers muss mit dem der Einstellung „Auth Server URL“ übereinstimmen.

    No Validation (do not use in production)

    Das Serverzertifikat des Auth Servers wird immer akzeptiert.

    Role Trusted for Identity Delegation

    Nur Benutzer, die dieser Rolle zugeordnet sind, dürfen Trusted Peer Authentication durchführen.

    Senden des BenutzernamensPermanenter Link zu dieser Überschrift

    Der Benutzername kann entweder als HTTP-Header oder in der Anfrage gesendet werden.

    Benutzername als HTTP-HeaderPermanenter Link zu dieser Überschrift

    Der Benutzername wird als HTTP-Header X-Auth-User übertragen.

    Beispiel für das Senden des Benutzernamens als HTTP-Header:

    X-Auth-User: max.mustermann

    Benutzername als Teil der AnfragePermanenter Link zu dieser Überschrift

    Bei api.v2-Anfragen kann der Benutzername in der Eigenschaft user_context.username übermittelt werden.

    Beispiel für das Senden des Benutzernamens als Teil einer api.v2.search-Anfrage:

    {

      "user_context": {

        "user_name": "max.mustermann"

      },

      "properties": [

        {

          "formats": [

            "HTML"

          ],

          "name": "title"

        }

      ],

      "count": 5,

      "query": {

        "unparsed": "mindbreeze"

      }

    }

    Auswahl der Quelle des BenutzernamensPermanenter Link zu dieser Überschrift

    Die Einstellung „Identity Extraction Order“ im Bereich „Trusted Peer Identity Extraction“ legt fest wie der Benutzername gesendet werden kann. Folgende Auswahlmöglichkeiten stehen zur Verfügung:

    Option

    Beschreibung

    Header, Request

    Ist der Benutzername im X-Auth-User HTTP-Header gesetzt, wird er verwendet. Wenn nicht, wird der Benutzername aus der Anfrage verwendet.

    Header

    Der Benutzername im X-Auth-User HTTP-Header wird verwendet. Die Anfrage wird nicht berücksichtigt.

    Request

    Der Benutzername aus der Anfrage wird verwendet. Der X-Auth-User HTTP-Header wird nicht berücksichtigt.

    Request, Header

    Ist der Benutzername in der Anfrage gesetzt, wird dieser verwendet. Wenn nicht, wird der Benutzername aus dem X-Auth-User HTTP-Header verwendet.

    Senden von BenutzergruppenPermanenter Link zu dieser Überschrift

    Benutzergruppen können als HTTP-Header X-Auth-Groups übertragen werden. Die Benutzergruppen müssen beistrichgetrennt und anschließend HTML form encodiert werden.

    Beispiel für das Senden von Benutzergruppen als HTTP-Header:

    X-Auth-Groups: marketing%2Cauthors%2Cquality%20assurance

    Dies ergibt folgende Benutzergruppen:

    marketing

    authors

    quality assurance

    Senden von BenutzerattributenPermanenter Link zu dieser Überschrift

    Mit HTTP-Headern ist es möglich zu der Benutzer Identität zusätzlich Attribute hinzuzufügen.

    Dafür können HTTP-Header nach folgenden Muster gesendet werden:

    X-Identity-Property-{{key}}: {{value}}

    Zum Beispiel erzeugen folgende Header:

    X-Identity-Property-mail: user@example.com

    X-Identity-Property-color: light%20blue

    diese Attribute:

    "mail": "user@example.com"

    "color": "light blue"

    Hinweis: Der {{value}} muss HTML Form Encodiert sein.

    Diese Attribute werden intern mit der Benutzer Identität (Identity Property) verknüpft und können dann in anderen Services verwendet werden.

    PDF herunterladen

    • Trusted Peer Authentication für Mindbreeze InSpire

    Inhalt

    • Einführung
    • Voraussetzungen
    • Trusted Peer Authentifizierung mit Zertifikaten
    • Trusted Peer Authentifizierung mit OAuth 2.0 Bearer Token
    • Senden des Benutzernamens
    • Senden von Benutzergruppen
    • Senden von Benutzerattributen

    PDF herunterladen

    • Trusted Peer Authentication für Mindbreeze InSpire