Konfiguration
GSA Late Binding Authorization
Copyright ©
Mindbreeze GmbH, A-4020 Linz, 2023.
Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Markennamen und/oder Warenzeichen der jeweiligen Hersteller.
Diese Dokumente sind streng vertraulich. Die Einreichung und Präsentation dieser Dokumente verleiht keine Rechte an unserer Software, unseren Dienstleistungen und Serviceergebnissen oder anderen geschützten Rechten. Die Verbreitung, Veröffentlichung oder Vervielfältigung ist untersagt.
Zur besseren Lesbarkeit wurde auf eine Geschlechterdifferenzierung verzichtet. Entsprechende Begriffe und Definitionen gelten im Sinne und Zweck des Gleichbehandlungsgrundsatzes für beide Geschlechter.
Einführung
Der GSA Late Binding Authorization Service kann in Fällen verwendet werden, wo Authorisierung nicht ausschließlich mit Access Control Lists durchgeführt werden kann und ein Zugriffstest zur Suchzeit nötig is. Zusätzlich sollen diese Zugriffstestabfragen auch mit http Session Authentisierung funktionieren.
Konfiguration
Late Binding Authorization Service
Der GSA Late Binding Authorization Service wird als Mindbreeze InSpire Launched Service konfiguriert. Navigieren Sie zum Abschnitt Services im Indices Tab. Wählen Sie in der Dropdown-Liste des Plugin-Selektors GSALateBindingAuthorization aus und klicken Sie dann auf "Add". Anschließend speichern Sie die Konfiguration, danach kann GSALateBindingAuthorization bei der Datenquelle als Authorization Service ausgewählt werden.
Die folgenden Parameter sind einstellbar
Bind port | Port für die Autorisierungsabfragen. |
Cookie header property | Der Autorisierungsdienst empfängt eine Benutzeridentitätsdatenstruktur innerhalb jeder Autorisierungsanfrage. Diese Identitätseigenschaft ist die den ursprünglichen Session Cookie-Header der Suchanfrage enthalten. |
Die Regeln für die Zugriffsprüfung für bestimmte URL-Muster können mit Authorizers definiert werden.
WICHTIG: Das Autorisierungsergebnis für ein bestimmtes Dokument wird vom ersten Authorizer mit einem übereinstimmenden URL-Muster geliefert.
Ein Authorizer kann die folgenden Attribute haben:
URL Pattern | Regulärer Ausdruck, der mit der URL (dem Schlüssel) des Dokuments übereinstimmt. Bei Übereinstimmungen wird dieser Authorizer für die Zugriffskontrolle verwendet. Das Muster muss vollständig mit der URL-Eingabe übereinstimmen. |
Denied Status Code Pattern | Wenn festgelegt, wird eine HTTP-Anfrage auf die Dokument URLs mit den ursprünglichen Session Cookies des Suchbenutzers ausgeführt. Der konfigurierte reguläre Ausdruck (z. B. "401 | 403" oder "301 | 40. *") wird mit dem Statuscode der HTTP-Antwort verglichen. Bei Übereinstimmung wird dem Benutzer der Zugriff auf das Dokument verweigert. Das Muster muss vollständig mit dem Statuscode übereinstimmen. |
Denied Content Pattern | Wenn festgelegt, wird eine HTTP GET Anfrage auf die Dokument URLs mit den ursprünglichen Session Cookies des Suchbenutzers ausgeführt. Hinweis: Wenn in einem Authorizer nur "Denied Status Code Pattern" ohne "Denied Content Pattern" festgelegt ist, werden nur HTTP-HEAD-Anfrage für die Autorisierungsprüfung verwendet. Der konfigurierte reguläre Ausdruck wird gegen den Inhalt der HTTP-Antwort geprüft. Wenn der reguläre Ausdruck mit einem Teil des Inhalts übereinstimmt, wird dem Benutzer der Zugriff auf das Dokument verweigert. |
Check Content Pattern for Matching Media Type | Dieses Regulär Ausdruck ist standardmäßig auf "text /.*" eingestellt. Wenn konfiguriert, werden die „Denied Content Pattern“ Prüfungen nur auf übereinstimmende Inhaltstypen ausgeführt. Wenn nicht festgelegt, wird das Muster "Verweigerter Inhalt" auf alle Antworten angewendet. |
Datenquelle (Web) Konfiguration
Um den konfigurierten GSA Late Binding-Autorisierungsdienst für die Zugriffsprüfung in einer bestimmten Datenquelle (z. B. im Web) zu verwenden, muss der Dienst in der Konfiguration der angegebenen Datenquelle als "Autorisierungsdienst" ausgewählt werden.
Wenn im Index ACLs verwendet sind, muss auch ein "Caching Principal Resolution Service" ausgewählt werden:
Index Service
Um die Leistung zu verbessern, wird empfohlen, die folgenden Indexkonfigurationsoptionen festzulegen:
- Approved Hits Reauthorize: Token Cache
- Initial Precheck Bulk Size: 1
- Maximum Precheck Bulk Size: 1
Cookie Header Preserver Session Authentifizierung Plugin
Die Rolle dieses Plugins ist ursprünglichen Benutzer Session Cookies mit den Autorisierungsanfragen an den GSA Late Binding Authorization-Dienst zu schicken.
Das Plugin sollte als SessionAuthenticationService auf dem Client Service konfiguriert sein, der für die Suche verwendet wird.
Navigieren Sie zur Konfiguration zur Registerkarte „Client Services“ im Mindbreeze InSpire Management Center und fügen Sie in der Konfiguration des ausgewählten Client Service ein Sitzungsauthentifizierungs-Plugin vom Typ „CookieHeaderPreserverSessionAuthenticationService“ hinzu.
Die folgenden Einstellungen können für das Plugin konfiguriert werden:
Cookie header property | Der Name der Eigenschaft in den generierten Identitätsdaten. Standard ist "cookieheader". Dies muss auf demselben Wert wie die "Cookie Header Property" Seting des GSA Late Binding Authorization-Dienstes konfiguriert werden. |
Username Source | Kann auf "Username", "Header" oder "Anonymous" eingestellt werden: Username: Es wird ein Benutzerobjekt erstellt, deren Name auf den in der Einstellung „Username“ konfigurierten Wert festgelegt ist. Header: Der Name der erstellten Benutzerobjekts wird auf den Wert des HTTP-Request-Headers „X-Auth-User“ gesetzt. |
Username | Wenn „Username Source“ als „Username“ konfiguriert ist, wird der Name der generierten Benutzerobjekts auf diesen Wert gesetzt. |
Has Group Principals | Wenn diese Option aktiviert ist, wird die durch Kommas getrennte Liste der Gruppen, die im HTTP-Anfrage Header "X-Auth-Groups" festgelegt ist, analysiert und die Gruppennamen werden als zusätzliche User Principals zu der generierten Benutzerobjekts hinzugefügt. |