Authentifizierungsmethoden einstellen

Anwender müssen sich an verschiedenen Stellen im IQ4docs System authentifizieren (z.B. am Gerät (Embedded Client) oder am WebClient).

Es kann eingestellt werden, welche Möglichkeiten der Authentifizierung angeboten werden sollen. Gehen Sie dazu wie folgt vor.

Um die Webadministration zu öffnen, geben Sie im Webbrowser http://<Hostname>/webadmin ein (wobei Hostname dem Server entspricht, auf dem das IQ4docs WebAdmin installiert wurde). In einer Mandantenumgebung geben Sie die URL ein, die Sie vom Mandantenverwalter erhalten haben (z.B. http://server/webadmin/#/cf992178-4bd6-431c-b815-b9d734d0ded3). Wenn Sie noch nicht angemeldet sind, melden Sie sich mit einem Anwender mit Administratorrechten (Login und Passwort) oder dem IQ4docs Systemadministrator (standardmäßig administrator mit Passwort admin) an.

Klicken Sie in der Webadministration im Menü auf Authentifizierung.

Wählen Sie hier aus, welche Anmeldemöglichkeiten dem Anwender am Gerät und an Anwendungen (z.B. WebClient) angeboten werden sollen. Nicht aktivierte Optionen sind für den Anwender nicht sichtbar.

Legen Sie fest, welche Authentifizierungsmethode standardmäßig verwendet und angezeigt wird, also z.B. wenn ein Anwender zum Gerät kommt. Diese ausgewählte Option wird immer angezeigt und in den nachstehenden Anmeldemöglichkeiten nicht änderbar aktiviert.

Bei aktiver automatischer Windowsanmeldung (Single Sign On) hat die Standard-Authentifizierungsmethode keine Relevanz und wird nur verwendet, wenn die automatische Windows-Authentifizierung fehlschlägt.

Geben Sie an, welche Authentifizierungsmethoden für Embedded Client (am Gerät) und den WebClient verfügbar sein sollen.

Feld Beschreibung
Anmeldedaten Mit dieser Option kann sich der Anwender mit Loginnamen und Passwort anmelden (im Anwenderdatensatz hinterlegt). Ist die Option AD Authentifizierung verwenden aktiviert, wird zunächst gegen das Active Directory geprüft und anschließend gegen die im Anwenderdatensatz gespeicherten Anmeldedaten. Ist eins von beiden OK, wird das Gerät freigeschaltet.
Pincode Ist diese Option aktiviert kann der Anwender sich durch Eingabe seiner persönlichen PIN anmelden. Ist die Option deaktiviert, ist die Anmeldeoption nicht sichtbar. Wenn diese Option aktiviert wird, wird automatisch die Option RFID Karte und PIN deaktiviert. Eine PIN kann automatisch generiert und dem Anwender zugeschickt oder vom Anwender selbst angefordert werden, siehe Verwenden von Pincodes.
Windows (Single Sign On) Mit der Option Windows wird die Anmeldung am WebClient automatisch von Windows durchgeführt, die Anwender brauchen sich nicht manuell zu authentifizieren, siehe auch Automatische Windows Authentifizierung.
RFID Karte Wenn das Gerät mit einem Kartenleser ausgestattet ist, kann die Authentifizierung am Gerät durch Vorhalten der Karte vor den Kartenleser erfolgen (bei Anwendungen ist Kartenanmeldung nicht möglich). Am Gerät wird ein Dialog angezeigt, auf dem das Gerät abgebildet und die Position des Kartenlesers mit einem Pfeil markiert ist (wenn dieser Dialog nicht angezeigt wird, ist eine Kartenanmeldung nicht möglich). Wenn diese Option aktiviert wird, wird automatisch die Option RFID Karte und PIN deaktiviert, siehe auch Verwenden von Zugriffskarten.
RFID Karte und Pincode Diese Option erhöht die Sicherheit der Anmeldung durch die Kombination der Anmeldemethoden RFID Karte und PIN. Zur Anmeldung muss zunächst die Karte vorgehalten werden. Anschließend wird die PIN des Anwenders abgefragt. Wenn diese Option aktiviert wird, werden automatisch die Optionen RFID Karte und PIN deaktiviert. Verwenden Sie diese Methode als Standardauthentifizierungsmethode, wird der RFID-Dialog am Gerät angezeigt.

Schalten Sie Active Directory Authentifizierung ein, wenn die Authentifizierung zusätzlich gegen das Active Directory stattfinden soll (eine Prüfung gegenüber den Anmeldedaten im Anwenderdatensatz findet immer statt, auch wenn die Prüfung gegen das AD fehlschlägt).

  • Dazu muss der Authentifizierungsservice unter einem Domänenanwender ausgeführt werden, der der Domäne angehört, gegen die die Prüfung stattfinden soll. Dieser Domänenanwender muss der Gruppe IIS_IUSRS hinzugefügt werden.
  • Dieser Anwender benötigt Lese- und Schreibrechte für das Verzeichnis Logs.

Das Passwort für die AD-Authentifizierung wird nur temporär für die Authentifizierung verwendet und zu keiner Zeit in IQ4docs gespeichert. Das AD-Passwort kann auch nicht aus dem Active Directory in IQ4docs importiert werden.

Um die Berechtigung für die Anwendungspools zu ändern gehen Sie wie folgt vor.

  • Öffnen Sie den IIS Manager.
  • Öffnen Sie über die Baumansicht Verbindungen die Anwendungspools.
  • Wählen Sie den gewünschten Anwendungspool durch einen Linksklick aus und klicken Sie im Bereich Aktionen auf Erweiterte Einstellungen.
  • Klicken Sie bei der Einstellung Identität auf ... am Ende der Zeile.
  • Klicken Sie unter Benutzerdefiniertes Konto auf Festlegen... und geben Sie den gewünschten Anwender mit Passwort an und speichern Sie die Einstellungen.
  • Anschließend starten Sie den Anwendungspool neu indem Sie für den Anwendungspool im Bereich Aktionen auf Beenden klicken und anschließend wieder auf Starten (verwenden Sie nicht Wiederverwenden).

Möchten Sie, dass Funktionen, für die nicht zwingend eine Anmeldung erforderlich ist (z.B. Kopieren, wenn keine Abrechnung erfolgen soll), ohne Authentifizierung der Anwender erreichbar sein sollen, verwenden Sie die Anonyme Authentifizierung des Gerätes. Stellen Sie dies beim Gerät ein, siehe Geräteliste.