Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario

Autor: Tobias Harmes | 25. Mai 2012

2 | 1 | #SSO

Bei der Konfiguration einer SAP Single-Sign-On Portal Lösung ist diese Woche die Frage aufgekommen: wie kann man eigentlich die Nachfrage vom Internet Explorer nach dem Client Zertifikat unterdrücken?Szenario: Der Benutzer möchte auf das Portal zugreifen und authentifiziert sich mit seinem Zertifikat. Obwohl nur ein einziges Clientzertifikat installiert ist, muss er trotzdem ein Popup bestätigen.

Der Grund dafür ist der Schutz der eigenen Daten und wird in diesem Blog Beitrag sehr schön beschrieben: http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx

In Kürze: böswillige Seitenbetreiber könnten bei der automatischen Übermittlung von Clientzertifikaten Informationen über den Client ausspähen. Darum fordert der IE immer eine Bestätigung vor dem Senden an.

Glücklicherweise gibt es aber einen Weg das Popup zu unterbinden und den Schutz der Privatsphäre trotzdem nicht komplett auszuhebeln. Das Beispiel ist im Internet Explorer 9 mit Zugriff auf das SAP Service Portal gemacht worden und sollte ab Internet Explorer 8 gelten.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Die Anwahl von https://service.sap.com/XSEARCH führt zu einem Popup, da ich mich beim SAP Support mit meinem Client Zertifikat anmelde.

Internet Explorer Client Zertifikat Popup

Die Lösung besteht darin die Seite(n) in die Trusted Sites aufzunehmen und einen Parameter zu setzen, der es gestattet Zertfikate direkt an die Webseiten dieser Zone zu senden.

Schritt 1: Seite zu den Trusted sites hinzufügen

Internet Explorer Trusted Sites / Vertrauenswürde Seiten

Schritt 2: Zoneneinstellung für Trusted sites verändern

“Do not prompt for client certificate selection when no certificates or only one certificate exists.” auf “Enable” stellen

Zoneneinstellung Englisch

Internet Explorer Trusted Sites Security Settings

Zoneneinstellung Deutsch

Internet Explorer Client Certificate Popup

Ergebnis:

Zugriff ist ohne Zertifikatsabfrage möglich. Eine Verletzung der Privatsphäre riskiert man nun höchstens bei Webseiten denen man ohnehin vertraut.

https://service.sap.com/XSEARCH

SAP Support Portal

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Tobias Harmes ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security

Quellen:

http://blogs.msdn.com/b/ieinternals/archive/2009/09/03/client-certificate-selection-prompt.aspx


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Internet Explorer Client Certificate Popup unterbinden bei SSO Szenario"

Super Beitrag. Das wollte ich immer schon mal abschalten, wusste aber nicht genau wie.
Funktioniert tadellos. Danke

Der Hinweis funktioniert auch auf einem aktuellen Windows 8, Windows 8.1 oder sogar Windows 10.

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support