Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario

Autor: Tobias Harmes | 25. Mai 2012

2 | 37 | #SSO

Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frage aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client Zertifikat unterdrücken? Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat. Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.

Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schön beschrieben: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung von Clientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eine Bestätigung vor dem Senden an.

Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäre trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten.

SAP Identity Management

SAP Identity Management unterstützt Sie bei der zentralen Verwaltung von Benutzern, Berechtigungen und Genehmigungs-Workflows im Unternehmen.

Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAP Support mit meinem Client Zertifikat anmelde.

Internet Explorer Client Zertifikat Popup

Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.

Schritt 1: Seite zu den Trusted sites hinzufügen

Internet Explorer Trusted Sites / Vertrauenswürde Seiten

Schritt 2: Zoneneinstellung für Trusted sites verändern

“Do not prompt for client certificate selection when no certificates or only one certificate exists.” auf “Enable” stellen

Zoneneinstellung Englisch

Internet Explorer Trusted Sites Security Settings

Zoneneinstellung Deutsch

Internet Explorer Client Certificate Popup

Ergebnis:

Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nun höchstens bei Webseiten denen man ohnehin vertraut.

https://service.sap.com/XSEARCH

SAP Support Portal

Quellen:

http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario"

Super Beitrag. Das wollte ich immer schon mal abschalten, wusste aber nicht genau wie.
Funktioniert tadellos. Danke

Der Hinweis funktioniert auch auf einem aktuellen Windows 8, Windows 8.1 oder sogar Windows 10.

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice