SSO wird nur für Webstationen unterstützt. Beim Starten einer Station müssen sich Benutzer authentifizieren. Neben der Anmeldung mit ihrem ABBYY FlexiCapture-Benutzernamen und Kennwort können sich Benutzer auch über einen externen Identitätsanbieter authentifizieren (z. B. Azure Active Directory, das in Ihr Unternehmens-Active-Directory integriert ist).
Folgendes geschieht, wenn ein Benutzer über einen externen Identitätsanbieter authentifiziert wird.
- Der Benutzer klickt auf die Schaltfläche Mit [Name des externen Servers] anmelden.
- ABBYY FlexiCapture generiert eine AuthnRequest-Nachricht, fügt sie in den SAMLRequest-Parameter einer URL-GET-Anfrage ein und sendet die Anfrage an den Identitätsanbieter. Verschlüsselte SAML-SSO-Verbindungen werden nicht unterstützt.
<samlp:AuthnRequest ID=“id81c79c5cecf44dfbbecdc08ae6c6393f” IssueInstant=“2019-07-17T10:59:19Z”
Version=“2.0” xmlns:samlp=“urn:oasis:names:tc:SAML:2.0:protocol”
xmlns=“urn:oasis:names:tc:SAML:2.0:metadata”>
<Issuer xmlns=“urn:oasis:names:tc:SAML:2.0:assertion”>
https://localhost/FlexiCapture12/Login/ten1/AccessToken/Saml</Issuer>
</samlp:AuthnRequest>
| ANFRAGE HEADER | |
|---|
| Host | abbyy.onelogin.com |
| Connection | keep-alive |
| Upgrade-Insecure-Requests | 1 |
| User-Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 |
| Accept | text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/; q=0.8,application/signed-exchange;v=b3 |
| Referer | https://localhost/FlexiCapture12/Login/ten1/ |
| Accept-Encoding | gzip, deflate, br |
| Accept-Language | ru-RU,ru;q=0.9,en-US;q=0.8,en;q=0.7 |
| Anfrage-Cookies | |
| ANTWORT DATEN | |
|---|
| Status | 302 |
| StatusText | Found |
| HttpVersion | HTTP/1.1 |
| RedirectURL | https://abbyy.onelogin.com/login |
| HeadersSize | 967 |
| BodySize | 0 |
| _transferSize | 967 |
| _error | undefined |
| ANTWORT HEADER | |
|---|
| Cache-Control | no-cache |
| Content-Type | text/html; charset=utf-8 |
| Date | Wed, 17 Jul 2019 07:59:19 GMT |
| Location | https://abbyy.onelogin.com/login |
| P3P | CP=“CAO DSP COR CURa ADMa DEVa OUR IND PHY ONL UNI COM NAV INT DEM PRE” |
| Set-Cookie | sub_session_onelogin.com=BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDo OcmV0dXJuX3RvIgG8aHR0cHM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc 2FtbDIvaHR0cC1yZWRpcmVjdC9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF 9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThj OTM5YWM3Y2U2NjZkYmM0YjAyLjBRQVRxUTA4VjR1V3NQT29GWTZ4dFFqRFQx WEF2S1B0VkhjMjBOcFBubkklM0Q6D3Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE 5YS1iZmZmLWYwOTNiMWRhNDJlMA%3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f; path=/; HttpOnly |
| Status | 302 Found |
| Strict-Transport-Security | max-age=63072000 |
| X-Content-Type-Options | nosniff |
| X-Frame-Options | DENY |
| X-Request-Id | 5D2ED557-C3D2939B-C3D9-0A090512-01BB-2C6A237-1F57 |
| X-Xss-Protection | 1; mode=block |
| Content-Length | 98 |
| ANTWORT COOKIES | |
|---|
| Sub_session_ onelogin.com | BAh7CDoWY29ubmVjdGluZ190b19hcHAiCzk1Mjk0MDoOcmV0dXJuX3RvIgG8aHR0c HM6Ly9hYmJ5eS5vbmVsb2dpbi5jb20vdHJ1c3Qvc2FtbDIvaHR0cC1yZWRpcmVjdC 9zc28vOTUyOTQwP3NhbWxfcmVxdWVzdF9wYXJhbXNfdG9rZW49Zjk3ZmI2ODA 0Mi5jZGU0MDRmMjg4YzY4YzM3MmFlNThjOTM5YWM3Y2U2NjZkYmM0YjAyLjBRQ VRxUTA4VjR1V3NQT29GWTZ4dFFqRFQxWEF2S1B0VkhjMjBOcFBubkklM0Q6D3 Nlc3Npb25faWQiKTRlYzYwMThlLTg0ZWUtNDE5YS1iZmZmLWYwOTNiMWRhNDJlMA% 3D%3D—da357cb50556cc5bec34d8c4ca372130785c6e6f |
- Der Identitätsanbieter autorisiert den Benutzer.
- Wenn die Authentifizierung erfolgreich ist, erzeugt der Identitätsanbieter eine Assertion-Nachricht, fügt sie in den Parameter
SAMLResponse der Anfrage ein und sendet die Anfrage an ABBYY FlexiCapture zurück.
- Die Anfrage mit der Assertion-Nachricht wird an den ABBYY FlexiCapture Application Server gesendet, um festzustellen, ob der angegebene Benutzer über die erforderlichen Berechtigungen verfügt, sich an der angegebenen Station anzumelden.
- Der Application Server überprüft die Assertion-Nachricht mithilfe eines öffentlichen Zertifikats vom Identitätsanbieter und autorisiert dann den Benutzer.
- Der Application Server führt die erforderlichen Vorgänge aus und stellt ein internes Authentifizierungsticket aus.
- Dem Benutzer wird mit dem ausgestellten Authentifizierungsticket Zugriff auf die entsprechende Webstation gewährt.
Diese Funktion wurde mit den folgenden Identitätsanbietern getestet: Azure Active Directory, OneLogin und Okta.
Mehrere Identitätsanbieter können gleichzeitig verwendet werden. Beispielsweise können unterschiedliche Identitätsanbieter für unterschiedliche Mandanten verwendet werden. Neue Authentifizierungsmethoden werden parallel zu den vorhandenen Methoden eingesetzt, auch zu den standardmäßig verwendeten.
