Bitte beachten Sie: Die folgenden Informationen beziehen sich auf den HTTP-basierten Zugriff auf die OnTime Group Calendar API, die für OnTime Group Calendar Web, Mobile und Social gilt. Sie gilt auch für Notes und Team-At-A-Glance, wenn diese für HTTP-Zugriff konfiguriert sind. Wenn der native IBM Notes API (NRPC) Zugang für die beiden letztgenannten Clients verwendet wird, wird kein OnTime Access Token verwendet.

Die Authentifizierung der Benutzer gegenüber der OnTime Group Calendar API (der "Dienst", der die Daten für die OnTime Group Calendar Benutzeroberflächen wie Web, Mobile, Notes usw. bereitstellt) erfolgt ausschließlich über ein OnTime Access Token. Ein OnTime Access Token ist ein verschlüsseltes Text-Token, das den Benutzer identifiziert und in dem u.a. ein Zeitpunkt des Ablaufs verschlüsselt ist. Um ein OnTime Access Token zu erhalten, muss der Benutzer gegenüber IBM Domino auf die von der Organisation geforderte Weise authentifiziert werden, z. B. durch Basisauthentifizierung, formularbasierte Authentifizierung (mit LtpaToken), zertifikatsbasierte Authentifizierung usw. Sobald ein OnTime Access Token erhalten wurde, wird es bei nachfolgenden Anfragen an die OnTime Group Calendar API verwendet und identifiziert den Benutzer gegenüber der OnTime Group Calendar API. Sobald ein OnTime Access Token ausgestellt ist, ist es gültig, bis es abläuft. Die Verfallsdauer kann in dem/den OnTime Group Calendar Server Dokument(en) kontrolliert werden und kann auf eine Dauer in Stunden eingestellt werden. Die OnTime Group Calendar API gibt bei jeder Anfrage ein neues OnTime Access Token aus, so dass die in dem/den OnTime Group Calendar Serverdokument(en) eingestellte Ablaufzeit als "Leerlaufzeit zwischen Anfragen" betrachtet werden sollte.

Bitte beachten Sie: In der OnTime-Gruppenkalender-Konfigurationsdatenbank wird die Leerlaufzeit des OnTime Access Token als "HTTP Token Timeout" bezeichnet.

Sobald ein OnTime Group Calendar Client ein OnTime Access Token erhält, wird es vom Client zwischengespeichert (für Mobile und Web wird es in einem Browser-Cookie zwischengespeichert) und bei nachfolgenden Anfragen an die API verwendet. Dies bedeutet, dass ein Benutzer auf OnTime Group Calendar Web oder OnTime Group Calendar Mobile zugreifen kann, ohne sich erneut bei IBM Domino zu authentifizieren, wenn ein gültiges OnTime Access Token verfügbar ist. Das bedeutet auch, dass eine geeignete Leerlaufzeit festgelegt werden sollte, die den Sicherheitsrichtlinien der Organisation entspricht. Wenn die Sicherheitsrichtlinien dies zulassen, erlaubt eine Leerlaufzeit von 24 Stunden beispielsweise einem Benutzer, OnTime Group Calendar Mobile oder Web während des Tages zu verwenden und den Client am nächsten Tag ohne erneute Authentifizierung bei IBM Domino zu öffnen, da das OnTime Access Token noch gültig ist.

Daraus folgt, dass alle API-Anfragen nach Erhalt eines OnTime Access Token aus Sicht von IBM Domino unauthentifiziert ("anonym") sein können. Dies ist keine Sicherheitslücke, sondern liegt einfach daran, dass Anfragen ohne Token nur durch das OnTime Access Token authentifiziert werden. Es bedeutet auch, dass der IBM Domino HTTP Server anonyme Anfragen zulassen muss, egal ob über HTTP oder HTTPs.

Bitte beachten Sie, dass ein OnTime Access Token in der OnTime Group Calendar Konfigurationsdatenbank widerrufen werden kann. Das bedeutet, dass der Administrator, auch wenn ein Benutzer ein OnTime Access Token erhalten hat, das ein Jahr in die Zukunft gültig ist, dieses Token widerrufen kann und der Benutzer sich erneut authentifizieren muss, um OnTime Group Calendar zu benutzen. Dies ist eine Sicherheitsmaßnahme.

So funktioniert die Anmeldung bei OnTime Group Calendar web

Im Folgenden gehen wir davon aus, dass Ihre OnTime Group Calendar Client-Datenbank ("Client-Datenbank") den Namen "ontimegcclient.nsf" trägt und sich im Verzeichnis "ontime" befindet. Um OnTime Group Calendar Web zu öffnen, würden Sie die Benutzer zu "/ontime/ontimegcclient.nsf/web" umleiten.

Der Anmeldevorgang läuft wie folgt ab:

1. Der Benutzer navigiert zu "/ontime/ontimegcclient.nsf/web".
2. Der Code prüft, ob ein OnTime Access Token als Browser-Cookie oder in der URL vorhanden ist, wenn er über das Notes-Arbeitsbereichssymbol aufgerufen wird. Ist dies der Fall, wird der Zugriff mit diesem Token versucht.
3. Wenn das OnTime Access Token nicht mehr funktioniert (d.h. abgelaufen ist), werden alle Browser-Cookies gelöscht und der Anmeldevorgang wird neu gestartet.
   1. Wenn kein OnTime Access Token gefunden wird, wird ein API-Aufruf durchgeführt, um ein OnTime Access Token zu erhalten. Wenn der Benutzer nicht bei IBM Domino authentifiziert ist, teilt die API dem Client dies mit und der Benutzer wird zur IBM Domino-Anmeldeseite weitergeleitet (hart kodiert, weshalb wir für diesen Prozess nur formularbasierte Authentifizierung unterstützen).
   2. Wenn ein OnTime Access Token erhalten wird, wird es in einem Browser-Cookie gespeichert und der Anmeldevorgang wird neu gestartet.

So funktioniert die Anmeldung bei OnTime Group Calendar mobile

Im Folgenden gehen wir davon aus, dass Ihre OnTime Group Calendar Client-Datenbank ("Client-Datenbank") "ontimegcclient.nsf" heißt und sich im Verzeichnis "ontime" befindet. Um OnTime Group Calendar Mobile zu öffnen, würden Sie die Benutzer zu "/ontime/ontimegcclient.nsf/mobile" umleiten.

Abgesehen von der erforderlichen URL ist der Anmeldevorgang derselbe wie bei OnTime

Einmalige Anmeldung (SSO)

Häufig suchen Kunden nach einer Single Sign On-Lösung für den OnTime Group Calendar und seine Benutzeroberflächen. Die Wahl der richtigen Lösung hängt von der vorhandenen Sicherheitsinfrastruktur ab, aber in den meisten Fällen wird der Benutzer von einem anderen System authentifiziert und/oder die Benutzeridentität kann nicht auf IBM Domino abgebildet werden. Es kann auch der Fall sein, dass der Benutzer bei einem anderen System authentifiziert ist, die Anmeldedaten aber nicht für IBM Domino wiederverwendet werden können. Es gibt verschiedene Möglichkeiten, dieses Problem zu lösen (siehe unten).

Der einfache Ansatz

Verwenden Sie die OnTime Group Calendar Sicherheit so wie sie ist, aber setzen Sie eine lange Leerlaufzeit für den OnTime Access Token. Obwohl dies streng genommen kein Single Sign On bietet, muss sich der Benutzer nur einmal authentifizieren, solange die Leerlaufzeit für das OnTime Access Token lang genug ist und der Benutzer innerhalb der eingestellten Leerlaufzeit auf den OnTime Group Calendar zugreift. Diese Option ist von Haus aus verfügbar.

Der API-Ansatz

Wenn Sie die OnTime Group Calendar Open API Option erworben haben (separat erhältlich), können Sie auch die OnTime Group Calendar API verwenden, um Token an Benutzer auszugeben. Mit der OnTime Group Calendar API kann ein Systembenutzer ein OnTime Access Token im Namen anderer Benutzer erhalten und so den Zugang zu OnTime Group Calendar mit einer Identität ermöglichen, die von einem anderen System wie Microsoft Sharepoint, einem CRM-System oder einem MDM-Anbieter überprüft wurde. Wir haben bereits Single Sign On (SSO)-Lösungen für Kunden entwickelt, die SSO von Nicht-IBM-Domino-Plattformen zu OnTime Group Calendar auf IBM Domino anbieten möchten.

Wir haben zum Beispiel einen Kunden mit einem Intranet, das auf Microsoft-Technologien basiert, bei dem der Benutzer automatisch über die integrierte Windows-Authentifizierung (IWA) am Intranet authentifiziert wird. Der Kunde wollte, dass die Benutzer in der Lage sind, OnTime Group Calendar Web zu öffnen, ohne sich erneut authentifizieren zu müssen, was schwierig war, da der Benutzer nur für das Microsoft-Intranet und nicht für IBM Domino authentifiziert war. Um dieses Problem zu lösen, setzten wir die OnTime Group Calendar API ein.

Wir lösten das Problem, indem wir das Intranet nach der Anmeldung des Benutzers den verifizierten Benutzernamen verwenden ließen, um ein OnTime Access Token im Namen des Benutzers zu erhalten (unter Verwendung der OnTime Group Calendar API). Sobald der Intranet-Server ein OnTime Access Token für den Benutzer erhalten hat, setzt er das richtige Browser-Cookie, um das Puzzle zu vervollständigen. Wenn der Benutzer nun versucht, auf den OnTime Group Calendar zuzugreifen, stellt der Browser automatisch das erhaltene OnTime Access Token zur Verfügung und der Benutzer kann ohne erneute Authentifizierung auf den OnTime Group Calendar zugreifen, wodurch Single Sign On erreicht wird.

SPNEGO / Kerberos (oder wenn formularbasierte Authentifizierung nicht verwendet werden kann)

Für Kunden, die SPNEGO mit IBM Domino verwenden, kann die standardmäßige Zugriffskontrollliste (ACL) der OnTime Group Calendar Client-Datenbank Probleme verursachen. Das liegt daran, dass die Client-Datenbank standardmäßig anonymen Zugriff zulässt und daher der erforderliche HTTP 401-Antwortcode, der das Betriebssystem veranlasst, den Autorisierungs-Handshake zu initialisieren, nie gesendet wird. Um dieses Problem zu lösen, verfügt die Client-Datenbank über eine spezielle Seite, die eine Authentifizierung des Benutzers erfordert. Anstatt die Seite "Web" zu verwenden, benutzen Sie einfach die Seite "WebSSO".

Wenn Ihre Client-Datenbank beispielsweise "ontimegcclient.nsf" heißt und sich im Verzeichnis "ontime" befindet, würden Sie die Benutzer normalerweise zu "/ontime/ontimegcclient.nsf/web" umleiten, um die Web-Benutzeroberfläche des OnTime-Gruppenkalenders zu öffnen. Wenn Sie SPNEGO verwenden, ersetzen Sie einfach "/web" durch "/websso" und leiten Sie die Benutzer zu /ontime/ontimegcclient.nsf/websso" um. Mehr ist nicht erforderlich.

Bitte beachten Sie: Es ist sehr wichtig, dass die ACL richtig konfiguriert ist, wie in der Dokumentation beschrieben, damit dies funktioniert.