- 25. Mai 2012

Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario

Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frage aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client Zertifikat unterdrücken?

Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat. Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.

Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schön beschrieben: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung von Clientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eine Bestätigung vor dem Senden an.

 

Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäre trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten.

Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAP Support mit meinem Client Zertifikat anmelde.

Internet Explorer Client Zertifikat Popup

Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.

Schritt 1: Seite zu den Trusted sites hinzufügen

Internet Explorer Trusted Sites / Vertrauenswürde Seiten

Schritt 2: Zoneneinstellung für Trusted sites verändern

„Do not prompt for client certificate selection when no certificates or only one certificate exists.“ auf „Enable“ stellen

Zoneneinstellung Englisch

Internet Explorer Trusted Sites Security Settings

Zoneneinstellung Deutsch

Internet Explorer Sicherheitseinstellungen Vertrauenswürdige Sites

Ergebnis:

Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nun höchstens bei Webseiten denen man ohnehin vertraut.

https://service.sap.com/XSEARCH

SAP Support Portal

Quellen:

http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

Kostenloses E-Book zum Thema SAP GRC als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




2 Kommentare zu "Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario"

Henning - 14. April 2015 | 13:51

Super Beitrag. Das wollte ich immer schon mal abschalten, wusste aber nicht genau wie.
Funktioniert tadellos. Danke

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.