Single Sign On

Die WinCC OA-Benutzerverwaltung bietet auch das Single Sign On-Feature. Das Single Sign On gilt pro Arbeitsplatz und pro Benutzergruppe. Wird Single Sign On verwendet, werden die Benutzer aus dem Windows Active Directory (AD) bzw. unter Linux aus der Linux-Benutzerverwaltung (PAM) für die Authentifizierung herangezogen. Eine erneute Eingabe des Benutzernamens und des Passwortes ist dann für das Login nicht mehr erforderlich, wenn der Benutzer über das AD einmal authentifiziert wurde.

Für den Benutzer root existiert das Single Sign On-Feature nicht.

Ein Benutzerwechsel in Kombination mit SSO ist aktuell nicht möglich. Sie können auf Basis des Login Frameworks eine eigene Lösung dafür erstellen.

VORSICHT: Die serverseitige Authentifizierung wird nicht unterstützt, wenn Single Sign On verwendet wird.

Um beliebige Benutzer über Single Sign On anzumelden, muss das Passwort des Benutzers im internen Datenpunkt _Users gelöscht werden (leerer String) - für eine genauere Erklärung siehe Kapitel setUserId().

VORSICHT: Wenn in Windows das Passwort geändert wird, bekommt WinCC OA diese Änderung erst bei einer korrekten Anmeldung mit. Wenn Sie sich über Single Sign On einloggen zählt das nicht als Anmeldung, da keine Passworteingabe stattfindet. Das heißt, dass eine Passwortüberprüfung mit einem neuen Passwort in einem WinCC OA-Script schief geht, sofern Sie sich nicht "normal" in WinCC OA einloggen.

Sollte ein Arbeitsplatzsystem den gleichen Namen wie das Active Directory benutzen, so kann es zu Berechtigungsprobleme bei der Verwendung von Single Sign On kommen.

Änderungen in der Authentifizierung im AD werden von WinCC OA wahrgenommen, wenn das Skript "updateUserGroups.ctl" (C:\Siemens\Automation\WinCC_OA\<version>\scripts) auf dem Server gestartet ist. Wenn z.B. die Gruppenzugehörigkeit eines Benutzers im AD geändert, erweitert oder reduziert wird, wird in der WinCC OA-Datenbank diese Änderung nachgezogen. Diese Aktualisierung wird für jeden (aktiven) Benutzer aus der WinCC OA-Datenbank durchgeführt, nachdem sich dieser eingeloggt hat oder zusätzlich wahlweise nach einem definierten Zeitraum (siehe Config Eintrag checkADAuthIntervall). Per Default ist dieser Zeitraum auf 60 Minuten eingestellt. WinCC OA muss auf dem Server unter einem Benutzer laufen, der für andere Benutzer das AD abfragen darf.

Anmerkung: Unter Linux Benutzerverwaltung muss für das Single Sign On von der Arbeitsplatzberechtigung beim Displayname "der Doppelpunkt 00-Teil (:0.0)" gelöscht werden.

Konfiguration Single Sign On

Das Berechtigungsbit 32 ist das Bit für das Single Sign On-Feature (SSO). Wenn die Single Sign On-Berechtigung aktiviert ist, erfolgt beim Projektstart keine Passwortabfrage, sondern der aktuelle Benutzer wird eingeloggt. Definieren Sie die Berechtigung für das Single Sign On über Arbeitsplatzberechtigung.

Bei der Verwendung von SSO im erweiterten Modus des UI Managers (-extended) oder bei einem Benutzer mit dem Berechtigungsbit 4 ist zu beachten, dass kein automatischer Login erfolgen kann und hierbei eine manuelle Bestätigung erforderlich ist.

Wurden im Windows Active Directory Benutzeränderungen durchgeführt, so müssen diese in der WinCC OA-Benutzerverwaltung manuell nachgezogen werden, wenn SSO ohneKerberos verwendet wird. Bei der Verwendung von SSO mit Kerberos werden die Änderungen im Windows Active Directory automatisch von WinCC OA erkannt.

Login Single Sign On

Um das Single Sign On zu verwenden gehen Sie wie folgt vor:

  1. Wechseln Sie von WinCC OA auf die OS Auth - Windows-Benutzerverwaltung. Siehe auch Kapitel OS Auth.-Benutzerverwaltung.
  2. Legen Sie die Gruppenrechte über Gruppenverwaltungspanel und die Berechtigung für das Single Sign On über Arbeitsplatzberechtigung fest.
  3. Fügen Sie einen Domänenbenutzer hinzu.

  4. Loggen Sie sich in WinCC OA über das Login-Panel ein. Sie werden automatisch eingeloggt und eine Passworteingabe ist nicht erforderlich.