Technische Abhängigkeiten
Wir empfehlen den Betrieb des CMI STS nicht selbst durchzuführen. Die Komponente kann durch die CMI geh-ostet und aus der CMI Cloud bezogen werden.
Wenn Sie über ein eigenes Rechenzentrum verfügen, kann die Installation vor Ort geprüft werden auf Basis der nachfolgenden Systemvoraussetzungen.
Systemvoraussetzungen
Hinweis: CMI STS 3 wurde auf Basis des ASP.NET Core Framework entwickelt. Somit kann diese Software auf verschiedenen Betriebssystemen ausgeführt werden. In den meisten Fällen erfolgt der Betrieb mittels Windows Server und dem Webserver IIS. Daher wird in den Systemvoraussetzungen nur diese Kombination aufgeführt. Konsultieren Sie die Microsoft Dokumentation, um die Systemvoraussetzungen für andere Betriebsvarianten zu erfahren.
Hardwarevoraussetzungen
| Mindestanforderung | Empfehlung | |
|---|---|---|
| Prozessor | x64, 1 Kern, 1.8 GHz | x64, 2 Kerne, 2.4 GHz oder höher |
| Arbeitsspeicher | 4 GB | 8 GB |
| Freier Festplattenspeicher | 300 MB | 1 GB |
Eine CMI STS 3 Instanz kann im Mehr-Mandanten-Modus betrieben werden. Bei einer sehr grossen Zahl an zu bedienenden Mandanten, werden möglicherweise mehr Ressourcen benötigt.
Softwarevoraussetzungen
- Windows Server 2016+ (64bit)
- Internet Information Service (IIS)
- Hosting Bundle .NET Core 8
- IIS Rewrite Module 2.0
- SSL/TLS-Zertifikat für den Betrieb via HTTPS
- Sicherheitspatches für TLS Version 1.2 und 1.3
Unterstützte Webbrowser in der aktuellen Version:
- Microsoft Edge Chromium (Windows 10 und 11)
- Chrome (Windows, Mac OSX, iOS, Android)
- Safari (Mac OSX, iOS)
Abhängige Services & Netzwerkregeln
Folgende Services verwendet diese Komponente:
| Service | Version | Anbindung | Protokoll | Standardports | Verfügbarkeit | Fehlertoleranzklasse |
|---|---|---|---|---|---|---|
| CMI Server | *21+ | on Request | http/s | 80/443 | muss / Laufzeit | Reconnect |
| Externer IdP | X.X | Weiterleitung des Clients | http/s | 80/443 | kann | Funktionseinschränkung |
* Für CMI AIS wird 21.1+ benötigt.
Folgende Firewall Polices werden benötigt:
| Von | Zu | Port | |
|---|---|---|---|
| CMI Server | STS | tcp: 443 (https) | Abholen der CMI STS Metadaten |
| WWW, LAN | STS | tcp: 443 (https) | Redirect der Clients für Userlogin |
| STS | CMI Server | tcp: frei wählbar (CMI Owin Private Port) | Kommunikation mit dem CMI Server |
| STS | IdP | tcp: 443 | Abholen der IdP Metadaten |
| WWW, LAN | IdP | tcp: 443 | Anmeldung des Users am IdP |
CMI empfiehlt ausdrücklich, jegliche Verbindungen SSL/TLS zu verschlüsseln. Weitere Konfigurationen können Abhängigkeit der vorhandenen Infrastruktur notwendig sein. Dazu gehören:
- Verbindung zwischen Rich Client und Applikations-Server
- Verbindung zwischen Web-Server und Applikations-Server
- Verbindung zwischen Firewall und Web-Server
- Verbindung zwischen Endbenutzern und Firewall
- Verbindung zwischen CMI STS und Applikations-Server
Betreiben Sie CMI in einem Rechenzentrum (RZ), so können auf Seite RZ Kosten für die Freischaltung der entsprechenden Ports, Sicherheitseinstellungen usw. entstehen. Wenden Sie sich direkt an Ihre RZ-Ansprechperson.
Zertifikate, Protokolle und Cipher Suites
Wir empfehlen den jeweils gültigen Sicherheitsstandards zu folgen und bspw. unsichere resp. veraltete Protokolle und Cipher Suites zu deaktivieren. Dies gilt vor allem für die Komponenten, die aus dem Internet erreichbar sind.
Als Anhaltspunkt kann auf das Dokument "SSL and TLS Deployment Best Practices" zurückgegriffen werden: github.com/ssllabs
Identity Provider (IDP)
Mit dem CMI STS ist es möglich, den Authentifizierungsprozess an Identity Provider zu delegieren. Dazu muss der Identity Provider eines der folgenden Protokolle unterstützen:
- Open ID Connect (OIDC)
- WS Federation (WsFed)
Grundsätzlich ist der CMI STS 3 mit allen Identity Providern kompatibel, die eines der oben genannten Protokolle unterstützt. CMI empfiehlt jedoch das Protokoll "Open ID Connect" zu verwenden, das den aktuellen Industrie-Standard bildet.
Wenn noch kein IDP im Einsatz ist, empfiehlt CMI die Verwendung von Entra ID (ehemals Azure AD) als IDP. In vielen Fällen kann dieses Feature ohne weitere Lizenzkosten verwendet werden. Weitere Informationen zu Entra ID finden Sie unter Pläne und Preise für Microsoft Entra.
Schema
Dieses Schema beschreibt die Zusammenhänge zwischen den Komponenten. Je nach Konfiguration, Client, IDP o.ä. kann dieses jedoch abweichen.
| Nummer | Beschreibung |
|---|---|
| 1 | Eine Applikation authentifiziert sich am CMI STS |
| 2 | Ist ein IDP konfiguriert, wird die Anmeldung über den IDP ausgeführt |
| 3 | Der CMI STS überprüft, ob es den User im CMI Server gibt und stellt einen Access-Token aus |
| 4 | Die Applikation kann das Access-Token nutzen, um andere CMI Komponenten zu verwenden |