Mit Single Sign-on (SSO) können Benutzern sich mit MOVEit verbinden, ohne jedes Mal einen Benutzernamen und ein Kennwort eingeben zu müssen.

Für SSO können Sie folgende Möglichkeiten nutzen:
  • einen lokalen Dienstanbieter zur Überprüfung der Identität,
  • einen föderierten Dienstanbieter, der die Identität verifiziert und den Zugang verwaltet.

MOVEit kann einen Identitätsanbieter (IdP) (z. B. Microsoft Active Directory (AD) oder 365 AD (jetzt Entra) zur Authentifizierung, Autorisierung und Verwaltung von Benutzern verwenden. Über die Single-Sign-On-Funktion kann MOVEit einen Benutzer ohne Anmeldung authentifizieren, vorausgesetzt, dass der Benutzer bereits über das Netzwerk oder sein Unternehmenskonto (z. B. beim Benutzerverzeichnis des Drittanbieters) autorisiert ist.

Anmerkung: MOVEit kann Open ID Connect-Dienste nutzen, die auf OAuth 2.0 basieren.

In diesem Thema wird Folgendes beschrieben:

  • Verfahren zur Einrichtung des MOVEit-Servers als lokaler Dienstanbieter/vertrauende Seite für die Kommunikation mit der Benutzerdatenbank.
  • Verfahren zum Hinzufügen eines Verbundidentitätsanbieters, der die Benutzerauthentifizierungsinformationen bereitstellt. Sie können mehrere Identitätsanbieter hinzufügen. Ein Identitätsanbieter kann entweder für die SAML- oder die OIDC-basierte Anmeldung verwendet werden.

Configure Local Service Provider/Relaying Party Settings (Einstellungen für lokalen Dienstanbieter/weiterleitende Seite konfigurieren)

Unter SETTINGS > Security Policies > User Auth > Single Sign-on (EINSTELLUNGEN > Sicherheitsrichtlinien > Benutzer-Authentifizierung > Einmalige Anmeldung) haben Sie folgende Möglichkeiten:
  • Den MOVEit-Server und die MOVEit-Organisation als Dienstanbieter identifizieren.
  • Die OIDC-Kommunikation konfigurieren und festlegen, wie MOVEit Antworten vom Identitätsanbieter empfangen wird.
Abbildung 1. Einstellungen (SSO) (mit konfiguriertem OIDC)

Verbundidentitätsanbieter hinzufügen

Über diese Einstellungen werden Identitätsanbieter hinzugefügt (z. B. ein Server der Active Directory-Verbunddienste (ADFS)), an die der MOVEit-Server eine Authentifizierungsanforderung senden kann. Der Identitätsanbieter kann für zwei Dienstleistungsarten konfiguriert werden: SAML Single Sign-On (verfügbar über den Webbrowser) und WS-Trust (verfügbar als externe Authentifizierungsmethode für andere Arten von Clients).

Anmerkung: Wenn Sie bereits eine externe Quelle für die Benutzerauthentifizierung verwenden, empfehlen wir Ihnen, den gleichen Benutzerspeicher wie Ihr Identitätsanbieter zu verwenden.

Auf der Seite für die SSO-Einstellungen wird eine Liste mit Identitätsanbietern angezeigt, die für diese Organisation verfügbar sind (sofern vorhanden).

  1. Zum Hinzufügen eines neuen Anbieters klicken Sie auf Add Identity Provider (Identitätsanbieter hinzufügen). Die Seite „Add OIDC Identity Provider“ (OIDC-Identitätsanbieter hinzufügen) wird geöffnet.

    Anmerkung: Identitätsanbieter wie Microsoft Entra, die OIDC unterstützen, stellen eine IdP-URL sowie Anmeldeinformationen, einschließlich Client-ID und Client-Secret, zur Verfügung.
  2. Für den OIDC-Identitätsanbieter müssen Sie die Client-ID und das Client-Geheimnis für dieses MOVEit Transfer-System angeben, die Ihnen bei der Registrierung von MOVEit Transfer beim Identitätsanbieter zur Verfügung gestellt wurden (zum Beispiel, als Sie bei 365 Entra registriert haben).
  3. Geben Sie die URL für den Identitätsanbieter an. (Wenn Sie Microsoft 365 verwenden, ist Ihre Mandanten-ID darin enthalten). Wenn Sie Microsoft 365 Entra als Identitätsanbieter verwenden, finden Sie weitere Details auf der Website learn.microsoft.com.
  4. Klicken Sie auf Save (Speichern).

Der Eintrag für den Identitätsanbieter wird erstellt und zur Liste der Identitätsanbieter auf der Seite Einstellungen (Single Sign on) hinzugefügt.

Bearbeiten eines Identitätsanbieters

Sie können einen Identitätsanbieter bearbeiten und festlegen, ob und wie ein Benutzerkonto im Identitätsanbieter als Benutzer in MOVEit erstellt wird.

Klicken Sie zum Bearbeiten eines Identitätsanbieters rechts neben dem Eintrag auf das Bleistift-Symbol.

OIDC-Identitätsanbieter bearbeiten (Ansicht)

Über diese Einstellungen wird der Identitätsanbieter identifiziert und konfiguriert, wie er mit dem Dienstanbieter (MOVEit) kommuniziert. Informationen über die Anforderungen finden Sie in der entsprechenden Dokumentation Ihres Identitätsanbieters.

Identity Provider URL (URL des Identitätsanbieters): URL für Open ID (OIDC).

Client ID (Client-ID): Eindeutige Anwendungs-ID, die generiert wird, wenn Sie MOVEit Transfer beim 365 Identity and Access Manager (Entra) (ehemals Active Directory) über das Azure Management Portal registrieren.

Client Secret (Client-Secret): Schlüssel, der vom Azure Management Portal bereitgestellt wird, wenn Sie MOVEit Transfer beim Dienst „Entra Identity and Access Management (IAM)“ (ehemals Azure Active Directory) registrieren. Weitere Informationen zur Generierung eines Client-Secret finden Sie auf der Website Microsoft Learn.

Friendly Name (Anzeigename): Anzeigename für diese organisationsspezifische SSO-Ressource.

Edit Federated Identity Provider User settings (Benutzereinstellungen für Verbundidentitätsanbieter bearbeiten)

Über diese Einstellungen wird konfiguriert, wie MOVEit die Benutzerinformationen vom Identitätsanbieter zur Bearbeitung oder Änderung des Benutzerkontos in MOVEit verwendet.

Diese Einstellungen sind abhängig von den Benutzerattributen, die Ihr Identitätsanbieter zur Verfügung stellt. Sie müssen sich hierzu mit dem Administrator des Identitätsanbieters koordinieren.

Login Name (Anmeldename): Vorlageneinstellung für den Anmeldenamen neuer Benutzer (falls zu MOVEit hinzugefügt).

Full Name (Vollständiger Name): Vorlageneinstellung für den vollständigen Namen des neuen Benutzers (falls zu MOVEit hinzugefügt).

Email (E-Mail): Vorlageneinstellung für die E-Mail-Adresse des neuen Benutzers (falls zu MOVEit hinzugefügt).

Auto-create account sign-on (Konto bei Anmeldung automatisch erstellen):

Die Vorlageneinstellungen Login name (Anmeldename), Full name (Vollständiger Name) und Email (E-Mail-Adresse) legen fest, welche Werte für die Felder Anmeldename, vollständiger Name und E-Mail-Adresse des neuen Benutzers verwendet werden, wenn er dem MOVEit-Benutzerkonto hinzugefügt wird.

Konto bei Anmeldung automatisch erstellen: Standardmäßig wird bei erfolgreicher Anmeldung eines neuen Benutzers ein Konto in MOVEit erstellt. Wenn Sie diese Funktion deaktivieren möchten, klicken Sie auf No (Nein).

Create user as a clone of (Benutzer erstellen als Klon von): Über diese Option können Sie (Administrator) einen vorhandenen Benutzer als Vorlage für Benutzer auswählen, die durch diese Authentifizierungsquelle erstellt werden. Wenn diese Einstellung aktiviert ist, wird der ausgewählte Benutzer zum Erstellen des neuen Benutzerkontos geklont.

Edit Federated Identity Provider Group settings (Gruppeneinstellungen für Verbundidentitätsanbieter bearbeiten)

Über diese Einstellungen kann konfiguriert werden, wie MOVEit Gruppeninformationen vom Identitätsanbieter verwendet, um dem neuen MOVEit-Benutzer eine Gruppeneinstellung hinzuzufügen.

Group membership behavior (Verhalten der Gruppenmitgliedschaft): Diese Einstellung legt fest, wie Gruppenmitgliedschaften verarbeitet werden. Bei Auswahl von Ignore Differences (Unterschiede ignorieren) werden Identitätsanbieter-Gruppenmitgliedschaften ignoriert, mit Ausnahme der Einstellung Group Check Mask (Gruppenprüfmaske). Bei Auswahl von Report Differences (Unterschiede melden) werden die Unterschiede zwischen MOVEit-Gruppenmitgliedschaften und Identitätsanbieter-Gruppenmitgliedschaften im Protokoll aufgezeichnet. Bei Auswahl von Correct Differences (Unterschiede korrigieren) werden die Unterschiede zwischen MOVEit-Gruppenmitgliedschaften und Identitätsanbieter-Gruppenmitgliedschaften korrigiert (sofern möglich). MOVEit-Gruppen werden NICHT automatisch hinzugefügt, nur Gruppenmitgliedschaften. Gruppen, die auf dem Identitätsanbieter, aber nicht auf dem MOVEit-Server vorhanden sind, werden als Fehler gemeldet.

Group membership attribute (Attribut der Gruppenmitgliedschaft): Wählen Sie aus der Liste mit den Objekteigenschaften einen Namen für die Gruppe aus, wenn eine Gruppe auf dem Identitätsanbieter vorhanden ist.

Attribute name (Attributname): Wie auch bei den Benutzereinstellungen können Sie, wenn ein Identitätsanbieter die verfügbaren Attribute nicht in der Metadatendatei ankündigt, in das Feld Attribute name (Attributname) manuell einen Attributnamen für die Gruppeneinstellungen eingeben. Weitere Informationen zum geeigneten Schema und den entsprechenden Werten finden Sie in der Dokumentation des Identitätsanbieters.

Group Mask (Gruppenmaske): Diese Einstellungen legen fest, welche Gruppen bei der Synchronisierung der Identitätsanbieter- und MOVEit-Gruppenmitgliedschaften aufgenommen werden. Die Regel kann so eingestellt werden, dass sie Gruppen mit Ausnahme derjenigen, die einer oder mehreren der Masken entsprechen, einschließt oder Gruppen mit Ausnahme derjenigen, die einer oder mehreren der Masken entsprechen, ignoriert. Die Maskenliste kann eine oder mehrere, durch Komma getrennte Masken für Gruppennamen umfassen. Masken für Gruppennamen können den Platzhalter für mehrere Zeichen (*) und/oder den Platzhalter für ein einzelnes Zeichen (?) enthalten.

Group Check Mask (Gruppenprüfmaske): Diese Einstellungen funktionieren ähnlich wie die Gruppenmaske-Einstellungen, legen aber die Gruppenmitgliedschaften fest, die vom System verwendet werden, um zu bestimmen, ob ein Benutzer sich anmelden darf oder automatisch erstellt werden soll (oder in den Fehlerberichten erwähnt wird, wenn die Quelle so konfiguriert ist, dass keine automatische Erstellung von Benutzern erfolgt). Standardmäßig ist diese Einstellung so festgelegt, dass alle Benutzer, unabhängig von Gruppenmitgliedschaften, zugelassen werden. Die Regel kann auch so festgelegt werden, dass Benutzer ausgeschlossen werden, ausgenommen solche in Gruppen, die mit einer oder mehreren der Masken übereinstimmen, oder dass Benutzer zugelassen werden, ausgenommen solche in Gruppen, die mit einer oder mehreren der Masken übereinstimmen. Wie auch bei der Einstellung Group Mask (Gruppenmaske) kann die Maskenliste aus einer oder mehreren Gruppennamenmasken bestehen, die durch Kommas getrennt werden. Masken für Gruppennamen können den mehrstelligen Platzhalter (*) und/oder den einstelligen Platzhalter (?) enthalten.

Klicken Sie auf Save (Speichern), um Ihre Änderungen auf den Identitätsanbieter zu übertragen.

SSO-Modus für alle Organisationsbenutzer als erforderlich oder optional festlegen

Abbildung 2. SSO-Authentifizierungsmodus bearbeiten (im Bild „Optional“ eingestellt)