Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario
Autor: Tobias Harmes | 25. Mai 2012
Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frage aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client Zertifikat unterdrücken? Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat. Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.
Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schön beschrieben: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx
In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung von Clientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eine Bestätigung vor dem Senden an.
Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäre trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten.
SAP Identity Management
SAP Identity Management unterstützt Sie bei der zentralen Verwaltung von Benutzern, Berechtigungen und Genehmigungs-Workflows im Unternehmen.
Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAP Support mit meinem Client Zertifikat anmelde.
Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.
Schritt 1: Seite zu den Trusted sites hinzufügen
Schritt 2: Zoneneinstellung für Trusted sites verändern
„Do not prompt for client certificate selection when no certificates or only one certificate exists.“ auf „Enable“ stellen
Zoneneinstellung Englisch
Zoneneinstellung Deutsch
Ergebnis:
Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nun höchstens bei Webseiten denen man ohnehin vertraut.
https://service.sap.com/XSEARCH
Quellen:
http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx
2 Kommentare zu "Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario"
Super Beitrag. Das wollte ich immer schon mal abschalten, wusste aber nicht genau wie.
Funktioniert tadellos. Danke
Der Hinweis funktioniert auch auf einem aktuellen Windows 8, Windows 8.1 oder sogar Windows 10.