Konfiguration der IIS-Website

Anweisungen zur Einrichtung von SSL/HTTPS

1. An diesem Punkt wird Salto IDM installiert und über den während der Installation konfigurierten Port erreichbar sein.

   • Standardmäßig verwendet der Installer Port 81 und HTTP.
   • Der Port und das Protokoll können mit den folgenden Schritten geändert werden. Abhängig von Ihren Anforderungen und Ihrer Infrastruktur können zusätzliche Schritte erforderlich sein.
   • Es wird dringend empfohlen, eine HTTPS-Bindung zu konfigurieren und das Standard-HTTP zu entfernen.

2. Um Ihre Website-Bindungen für die Verwendung von HTTPS zu ändern, öffnen Sie zunächst den Internet Information Services (IIS)-Manager.

3. Klicken Sie im linken Menü auf den Computernamen und dann im Abschnitt IIS auf Serverzertifikate.

   

4. Verwenden Sie das Menü 'Aktionen' rechts, um das Websitezertifikat hinzuzufügen, das Sie mit Salto IDM verwenden möchten.

   • Sie können Ihr Website-Zertifikat hier importieren, wenn Sie die benötigte .pfx Datei haben.
     • Stellen Sie sicher, dass das importierte Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und dass der Name mit dem Hostnamen übereinstimmt, den Sie verwenden möchten.
     • Mit dieser Methode können Sie Ihre Website absichern und Browserfehler vermeiden.
     • Sie müssen Ihr Zertifikat manuell aktualisieren, wenn es abläuft.
   • Oder Sie erstellen mit PowerShell ein selbstsigniertes Zertifikat.
     • Die Verwendung der Option Selbstsigniertes Zertifikat erstellen von IIS kann bei der Verwendung von modernen Brwowsern Fehler verursachen, zum Beispiel ERR_SSL_KEY_USAGE_INCOMPATIBLE. Um das zu vermeiden, öffnen Sie PowerShell als Administrator und führen Sie New-SelfSignedCertificate -Subject subdomain.domain.com aus.
     • Mit diesem Schritt können Sie zwar HTTPS konfigurieren, erhalten aber Browserfehler und Ihre Website wird als nicht sicher gekennzeichnet.
     • Diese Methode wird nur für Test- oder Demoumgebungen empfohlen, nicht für die Produktionsumgebung.
   • Optional können Sie ein Zertifikat mit Let's Encrypt erstellen.
     • Dies ist die empfohlene Methode, da sie ein vollständig vertrauenswürdiges Zertifikat verwendet, das sich automatisch erneuert.
     • Die einzige Voraussetzung ist, dass die Salto IDM Website aus dem Internet erreichbar sein muss. Bei reinen Vor-Ort-Installationen ist diese Methode also unter Umständen nicht möglich.
     • Sie sollten eine HTTPS-Bindung mit einem DNS-Eintrag erstellen, der auf die öffentliche IP-Adresse Ihres Servers verweist (wie unten erläutert).
     • Wenn Sie diese Methode verwenden möchten, konfigurieren Sie zuerst HTTPS mit einem selbstsignierten Zertifikat. Befolgen Sie dann diese Anleitung, um das Let's Encrypt-Zertifikat zu installieren.

5. Sobald das Zertifikat auf dem Server installiert ist, erweitern Sie im linken Menü das Untermenü unter dem Computernamen. Erweitern Sie dann Websites und wählen Sie die Website aus, die Sie für Salto IDM erstellt haben.

   

6. Klicken Sie rechts im Menü „Aktionen“ auf Bindungen…, um das folgende Fenster zu öffnen.

   

7. Klicken Sie auf Hinzufügen…, um eine neue HTTPS-Bindung mit den folgenden Parametern zu erstellen:

   • Wählen Sie bei Typ HTTPS aus.
   • Lassen Sie IP-Adresse und Port unverändert.
   • Fügen Sie den Hostnamen hinzu, den Sie für das Browsen zu Salto IDM verwenden möchten (z. B. saltoidm.yourcompany.com).
   • Lassen Sie die Kontrollkästchen unverändert.
   • Wählen Sie das zuvor importierte oder erstellte SSL-Zertifikat aus der Dropdown-Liste aus.

   

8. Klicken Sie auf OK.

9. Es wird empfohlen, die Standard-HTTP-Bindung zu entfernen. Wählen Sie diese dafür aus und klicken Sie auf Entfernen.

10. Klicken Sie auf Schließen. Salto IDM sollte jetzt über den Hostnamen, das Protokoll und den von Ihnen konfigurierten Port zugänglich sein (z. B. https://saltoidm.com).

    • Wenn Sie HTTP und Port 80 oder HTTPS und Port 443 verwenden, müssen Sie den Port nicht in der Browser-URL angeben.
    • Wenn Sie andere Ports als die Standardports verwenden, müssen Sie den Port in die URL schreiben.
    • http://saltoidm.com:80 entspricht http://saltoidm.com.
    • https://saltoidm.com:443 entspricht https://saltoidm.com.

Optional: Konfigurieren Sie den Hostnamen für den Internet- oder Intranetzugriff

Wenn Sie den zuvor erstellten Hostnamen über das Internet oder innerhalb eines lokalen Netzwerks verwenden möchten (z. B. für Produktionsumgebungen), müssen Sie einen DNS-Eintrag zu Ihrer Domain hinzufügen, der auf die IP-Adresse Ihres Servers verweist. Nur so ist die Website erreichbar und das SSL-Zertifikat kann validiert werden kann.

1. Fügen Sie mithilfe Ihres Domainnamenanbieters einen neuen A-Record zu Ihrer Domain hinzu, der auf die öffentliche oder private IP des Webservers verweist, auf dem Salto IDM gehostet wird. Wenden Sie sich dafür bei Bedarf an die zuständige IT-Abteilung.

   • Wenn Sie beim Einrichten des Hostnamens in IIS eine Subdomain konfiguriert haben, müssen Sie diese auch beim Erstellen des DNS-Eintrags angeben.
   • Öffentlich zugängliche DNS-Einträge benötigen möglicherweise einige Zeit für die Verteilung. Abhängig von Ihrem Provider kann dies bis zu 48 Stunden dauern.

   

2. Stellen Sie sicher, dass Firewallregeln konfiguriert sind, damit der Zugriff entweder über das öffentliche Internet oder innerhalb Ihres Firmennetzwerks auf Ihren Webserver erfolgen kann.

   • Dies kann sowohl auf Hardwareebene (z. B. eine physische Firewall für das Netzwerk, in dem sich der Server befindet), als auch auf Softwareebene erfolgen (z. B. mithilfe der Windows-Firewall, um Datenverkehr an diesem Port zuzulassen).

3. Nachdem die DNS-Einträge verteilt wurden, sollten Sie Salto IDM über den bereitgestellten Domänennamen von jedem PC aus aufrufen können.

   • Wenn Salto IDM so konfiguriert ist, dass es über das Internet zugänglich ist, kann es von jedem Gerät mit Internetzugang aus aufgerufen werden.
   • Der Zugriff kann auf bestimmte IPs oder IP-Bereiche beschränkt werden. Siehe Salto IDM -- Produktkonfigurationshandbuch für weitere Informationen.
   • Dies ist die beste Variante, wenn Benutzer von ihren eigenen Geräten oder von jedem beliebigen Ort aus mit dem System arbeiten sollen. Dies betrifft zum Beispiel Besucher, die ihre Daten von zu Hause aus ausfüllen müssen, oder Mitarbeiter, die nicht immer in einem Unternehmensnetzwerk sind.
   • Wenn sich die DNS-Einträge in einem Unternehmensnetzwerk befinden, ist Salto IDM nur für Geräte erreichbar, die mit dem Intranet verbunden sind (z. B. über VPN oder das Firmen-WLAN).
   • Dieses Szenario ist am besten geeignet, wenn die Anwendung nicht öffentlich zugänglich sei muss oder, wenn bestimmte Funktionen nicht erforderlich sind, zum Beispiel, wenn nur Mitarbeiter mit Intranet-Zugriff Zugriff auf Salto IDM benötigen oder, wenn Besucher statt der eigenen Geräte einen Kiosk für die Registrierung verwenden.

Optional: Hostnamen für lokalen Zugriff konfigurieren

Wenn Sie den zuvor erstellten Hostnamen auf Ihrem eigenen PC oder Server verwenden möchten (z. B. für Test- oder Demo-Umgebungen), fügen Sie einen Eintrag zur Hosts-Datei auf diesem Computer hinzu. Dadurch können Sie diesen Hostnamen in Ihrem Browser verwenden, um auf Salto IDM zuzugreifen.

1. Öffnen Sie Notepad als Administrator.

   

2. Datei öffnen (Strg + O).

3. Durchsuchen Sie den Ordner C:/Windows/System32/drivers/etc.

4. Wählen Sie unten rechts Alle Dateien aus.

5. Öffnen Sie die Datei hosts, um sie zu bearbeiten.

   

6. Fügen Sie am Ende der Datei eine Regel mit dem Namen Ihrer Website hinzu, z. B. 127.0.0.1 yourcompany.saltoidm.com.

   

7. Schließen Sie Notepad und speichern Sie die Datei, wenn Sie dazu aufgefordert werden.

8. Nachdem die Host-Datei gespeichert wurde, sollten Sie Salto IDM über den bereitgestellten Domänennamen von diesem PC aus aufrufen können.

   • Wenn Sie diese Konfiguration verwenden, können andere Geräte den von Ihnen konfigurierten Hostnamen nicht erreichen.
   • Dies wird hauptsächlich für Demo- oder Testzwecke verwendet, wenn keine anderen Benutzer Salto IDM aufrufen müssen.