Genie-Sitzung (ProfoundUI) mit OAuth2 oder SAML anmelden

**dschroeder** · 11-05-23, 11:26

Hallo,

ich fürchte, meine Frage ist ziemlich speziell. Wir setzen seit langem ProfoundUI ein und verwenden natürlich Genie für unsere IBM i - Sitzungen.

Wir möchten jetzt unsere Anmeldesicherheit erhöhen und dafür eine 2-Faktor-Authentifizierung einrichten.

Unsere Umgebung ist (oder wird es sein) ein Azure Active Directory.

Weiß jemand, ob man die Genie Sitzungen über OAuth2 oder SAML anmelden kann?

Vielen Dank im Voraus.

LG,
Dieter

**Fuerchau** · 11-05-23, 11:52

Das musst du dann wohl mal Profound fragen.
Ansonsten ist es ggf. auch eine Browser-Anmeldung, sprich die Authentifizierung muss über den Web-Server eingerichtet werden.

Derzeit wird wohl nur die normale IBM i Anmeldung verwendet:
https://docs.profoundlogic.com/displ...cated+Sessions

Für das Thema Single-Signon dient dann Kerberos:
https://docs.profoundlogic.com/display/PUI/Kerberos

D.h., dass die OAuth-Anmeldung in Windows erfolgt und via Kerberos dann durchgeroutet wird.
https://apim.docs.wso2.com/en/3.2.0/...-oauth2-grant/

**dschroeder** · 11-05-23, 13:02

Vielen Dank für deine Antwort.

Zur Zeit haben wir bereits Kerberos im Einsatz. Man möchte das aber noch zusätzlich durch 2-Faktor Auth. absichern.
Eine Anfrage an Profound habe ich bereits gestartet.

Hätte ja sein können, dass das schon jemand mal gemacht hat. Es gibt ja inzwischen schon recht viele Firmen, die Profound im Einsatz haben.

**Fuerchau** · 11-05-23, 13:26

Das schon, aber es ist ja nicht Sache von Profound.
Wenn eine Anmeldung im AD/Windows erfolgt, kann diese per Kerberos geroutet werden.
Somit erfolgt 2FA bereits in Windows.
Dies gilt auch, wenn der Webserver für das Internet freigegeben ist.
Da muss man dann u.U. eine Proxyserver vorschalten, der 2FA absolviert.

**dschroeder** · 11-05-23, 15:29

OK, danke.
Ich bespreche das mal mit den Kollegen. Netzwerkrouting und Sicherheit sind nicht gerade mein Spezialgebiet.

**dschroeder** · 11-05-23, 15:33

Wenn ich das Thema bei uns richtig verstehe, geht es aber nicht darum, grundsätzlich auf 2-Faktor Authentifizierung umzustellen. Das hatten wir früher im Windows schon mal.
Weil speziell auf der IBM i besonders schützenswerte Daten sind, möchte man NUR die Genie-Sitzungen mit 2FA besonders schützen.
Aber ich muss das mal mit den Kollegen weiter besprechen. Vielleicht komme ich dabei tiefer in das Thema rein.

**Fuerchau** · 11-05-23, 15:52

2FA ist ja userspezifisch. Somit kann ich alle User, die auf die IBM i müssen zu 2FA verpflichten.
Problematisch wird es da mit ODBC-Zugriffen, die man ja auch fast jedem erlaubt.
Da hilft dann nur, das Berechtigungskonzept der IBM i vernünftig einzusetzen und nicht alles auf *PUBLIC *ALL zu belassen;-).

**dschroeder** · 11-05-23, 16:03

Nochmals danke für deine Ausführungen. Es ist ein unangenehmes Thema.
Profound hat übrigens auch schon geantwortet: Genie unterstützt nur die Authentifizierungsmethoden des IBM HTTP Servers. Und da gehört OAuth2 und SAML nicht dazu.

Thema: Genie-Sitzung (ProfoundUI) mit OAuth2 oder SAML anmelden

Thread Tools

Bewerten Sie diesen Thema

Display