3.14. Konfiguration des IDERI note Servers für Push von Mobilgeräten¶
Um Mobilgeräte mit Android oder iOS/iPadOS mit Pushnachrichten zu versorgen, sind einige zusätzliche Schritte vorzunehmen, die eine authentifizierte Verbindung mit der IDERI note Infrastruktur für Mobilgerätepush anlegen. Die folgenden Abschnitte werden die dazu erforderlichen Konfigurationsschritte in allen Details beleuchten.
Achtung
Einstellungen im Active Directory® für eine erfolgreiche Implementation
Bei einer Standardkonfiguration des Active Directory® sind keine zusätzlichen Massnahmen erforderlich, um einen IDERI note Server für eine erfolgreiche Inbetriebnahme der Pushfunktionalität von Mobilegeräten zu konfigurieren. Im Sinne einer Härtungsmassnahme streben jedoch zahlreiche Organisationen an, die Anzahl der Mitglieder in der eingebauten Gruppe “Prä-Windows 2000 kompatibler Zugriff” zu reduzieren. Die Mitgliedschaft in dieser Gruppe ermöglicht es einem Sicherheitsprinzipal die Gruppenmitgliedschaften von jedem anderen Sicherheitsprinzipal im Active Directory® zu lesen. Bei einer Standardkonfiguration des Active Directory® enthält diese Gruppe die Gruppe “Authentifizierte Benutzer”. Wenn das in Ihrer Active Directory® Konfiguration der Fall ist, dann ist keine weitere Konfiguration im Active Directory® erforderlich. Andernfalls müssen Sie das Computerkonto des IDERI note Servers in die Gruppe “Prä-Windows 2000 kompatibler Zugriff” aufnehmen oder anderweitig dafür sorgen, dass das Computerkonto des IDERI note Servers Lesezugriff auf das Gruppenmitgliedschaftsattribut jedes Sicherheitsprinzipalen hat, an den eine Mobilgeräte-Pushoperation gesendet werden soll.
Um die Funktionalität der IDERI note Infrastruktur für Mobilgerätepush zu verwenden, ist es erforderlich, einen Lizenzschlüssel für Mobilgeräte zur Konfiguration des IDERI note Dienstes hinzuzufügen, da dieser Schlüssel einmalig zur Authentifizierung an der IDERI note Infrastruktur für Mobilgerätepush über einen transportschichtgesicherten Webservice (TLS 1.2) verwendet wird, um damit ein Clientzertifikat zu erhalten, das im Anschluss dann für Pushoperationen verwendet wird.
Falls Sie noch nicht über einen permanenten oder zeitlich limitierten Lizenzschlüssel verfügen, fordern Sie ihn bitte bei sales@ideri.com an, damit Sie mit Ihren eigenen Lizenzinformationen den Konfigurationsschritten in den nachfolgenden Abschnitten folgen können.
Nach der Installation des IDERI note Dienstes, wie gezeigt in Abschnitt 3.2, und nach dem Hinzufügen der Lizenzinformationen für Desktopclients, wie in Abschnitt 3.13 beschrieben, können Mobilgeräte sich bereits über das IDERI note Mobile Gateway mit dem IDERI note Dienst verbinden. Sie können aber noch keine Pushnachrichten empfangen, solange noch keine authentifizierte Verbindung des IDERI note Dienstes, der in der On-Premise-Umgebung läuft und die Pushnachrichten versenden kann, mit der IDERI note Infrastruktur für Mobilgerätepush, die im globalen Internet betrieben wird, besteht.
Achtung
Einstellungen für Router/Firewall/Proxy für die Verbindung zur IDERI note Infrastruktur für Mobilgerätepush
Jedwede Kommunikation mit der IDERI note Infrastruktur für Mobilgerätepush benutzt TCP-Port 443 und ist transportschichtgesichert (TLS 1.2). Damit setzt eine Verbindung zur IDERI note Infrastruktur für Mobilgerätepush voraus, dass eine ausgehende Verbindung vom IDERI note Dienst zur IDERI note Infrastruktur für Mobilgerätepush (mobilepush.iderinote.com) über diesen Port auf Unternehmensroutern, die das Unternehmensnetzwerk vom globalen Internet trennen, gestattet wird. Da die eigentliche Pushoperation eine zertifikatsbasierte Authentifizierung an der IDERI note Infrastruktur für Mobilgerätepush verwendet, ist eine Verbindung vom IDERI note Dienst zur IDERI note Infrastruktur für Mobilgerätepush nicht möglich mit einem SSL-Interception Proxy dazwischen, der transportschichtgesicherte Verbindungen über dynamisch erzeugte Zertifikate aufbricht. Da aber ja jedweder Inhalt von Bedeutung zwischen dem IDERI note Dienst und der IDERI note Infrastruktur für Mobilgerätepush ohnehin ende-zu-ende-verschlüsselt ist, ist jedwedes Mitverfolgen dieser Kommunikation zum Zweck des eigenen Erkenntnisgewinns sowieso wenig zielführend. Generelle Unterstützung von Proxyservern für diese Kommunikation ist für eine zukünftige Version des IDERI note Dienstes geplant.
Um die Verbindung des IDERI note Dienstes zur IDERI note Infrastruktur für Mobilgerätepush einzurichten, rufen Sie das Applet für den IDERI note Dienst in der Systemsteuerung auf und aktivieren die Seite “Push von Mobilgeräten”. Wurden bisher noch keine Lizenzinformationen für Mobilgeräte eingetragen, zeigt sich diese Seite wie in Abbildung 3.71 dargestellt.
Wir folgen an dieser Stelle dem Hinweis auf dieser Seite des Systemsteuerungsapplets und aktivieren die Seite für die Lizenzen, die aussieht wie in Abbildung 3.72, wo bisher nur eine Lizenz für Desktopclients eingerichtet ist, im vorliegenden Fall für den Lizenzmodus “Professional”.
Im nachfolgenden Text nehmen wir an, dass uns Lizenzinformationen für eine Mobilgerätelizenz zur Verfügung stehen: Wie zuvor in Abschnitt 3.13 sei der Name des Lizenznehmers “Loyal ideri customer Inc.”. Der Lizenzschlüssel für diesen Lizenznehmer sei “ATF5Q-3NGGZ-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx-xxxxx”. Tragen wir diese Informationen auf dieselbe Weise ein, wie in Abschnitt 3.13 beschrieben und betätigen anschließend die Schaltfläche “Übernehmen”, so verändert sich die Lizenzseite wie in Abbildung 3.73 dargestellt. Sollte hier oder im weiteren Verlauf dieser Einrichtungsschritte eine Abfrage zum Neustart eines Dienstes kommen, so beantworten wir diese Abfrage immer mit “Ja”.
Nach dem Hinzufügen der Lizenz aktivieren wir nun wieder die Seite “Push von Mobilgeräten”, die sich nun stark unterscheidet von der zuvor gezeigten Abbildung 3.71. So ist die Schaltfläche “Zertifikat anfordern” nun nicht mehr länger gesperrt. Abbildung 3.74 zeigt, wie sich die Seite “Push von Mobilgeräten” nun mit einer gültigen Mobilgerätelizenz darstellt.
Um ein Zertifikat anzufordern, das für nachfolgende Pushoperationen erforderlich ist, betätigen Sie nun die Schaltfläche “Zertifikat anfordern”. Damit wird der Assistent für die Anforderung eines Zertifikats für den Push von IDERI note Mobilgeräten aufgerufen wie in Abbildung 3.75 gezeigt.
Betätigen Sie die Schaltfläche “Weiter” um mit dem Assistenten fortzufahren. Daraufhin wird die Seite mit dem Auftragsverarbeitungsvertrag (siehe Abbildung 3.76) angezeigt, der über https transportgesichert von https://docs.ideri.com heruntergeladen wird. Dieser Vereinbarung müssen Sie zustimmen, um die Funktionalität für den Push von IDERI note Mobilclients nutzen zu können. Zunächst ist auf dieser Seite das Kästchen “Ich stimme den Bedingungen der Vereinbarung zu” noch in gesperrtem Zustand. Um sicher zu gehen, dass dieser Vertrag von Ihnen vollständig gelesen wurde, wird dieses Kästchen erst freigegeben, wenn der Text in diesem Dokument vollständig nach unten gescrollt wurde.
Nachdem dieses Kästchen angekreuzt wurde, sieht diese Seite aus wie in Abbildung 3.76, wo nun auch die Schaltfläche “Weiter” freigegeben ist.
Verwenden Sie die Schaltfläche “Drucken...” um eine Papierversion des Auftragsverarbeitungsvertrags auf Ihrem Drucker auszudrucken. Um mit dem Assistenten voranzuschreiten, betätigen Sie nun die Schaltfläche “Weiter” und eine neue Seite (siehe Abbildung 3.78) wird erscheinen, die von Ihnen verlangt, eine Kopie des Auftragsverarbeitungsvertrags als Datei an einem sicheren Ort zu speichern.
Erst wenn sie die Schaltfläche “Speichern...” betätigt haben und das Dokument erfolgreich als Datei abgespeichert haben, wird auf dieser Seite die Schaltfläche “Weiter” freigegeben (siehe Abbildung 3.79).
Betätigen Sie nun die Schaltfläche “Weiter” und die Zertifikatsanforderung wird an die IDERI note Infrastruktur für Mobilgerätepush gesendet. Dieser Vorgang kann eine kurze Weile dauern, daher wird währenddessen wie in Abbildung 3.80 eine neue Seite dargestellt, die diesen Prozess illustrieren soll.
Wenn die Zertifikatsanforderung erfolgreich abgeschlossen wird, wird nun die Abschlussseite des Assistenten wie in Abbildung 3.81 dargestellt.
Betätigen Sie nun die Schaltfläche “Fertig stellen” und der IDERI note Pushdienst (intpushsvc) wird neu gestartet.
Wenn der Assistent erfolgreich durchlaufen wurde, wurde dabei ein Clientzertifikat von der IDERI note Infrastruktur für Mobilgerätepush abgerufen, dessen wichtigste Informationen anschliessend wie in Abbildung 3.82 angezeigt werden.
Von diesem Punkt an können Pushoperationen an die IDERI note Infrastruktur für Mobilgerätepush durch den IDERI note Dienst durchgeführt werden. Die Schaltfläche “Verbindung testen” ist daher auch nicht länger gesperrt und kann der Einfachheit halber gleich verwendet werden, um die Verbindung mit dem Clientzertifikat, das gerade angefordert wurde, zu testen. Wird diese Schaltfläche nun betätigt, wird eine Verbindung mit der IDERI note Infrastruktur für Mobilgerätepush aufgebaut und es wird ein Hinweisfenster wie in Abbildung 3.83 angezeigt, wenn dieser Verbindungsaufbau erfolgreich war.
Damit ist nun der IDERI note Dienst vollständig für Pushoperationen an mobile Clients eingerichtet. Bitte beachten Sie, dass das Clientzertifikat, das im Rahmen dieser Konfiguration von der IDERI note Infrastruktur für Mobilgerätepush angefordert wurde, eine endliche Gültigkeitsdauer hat, die sich an der Gültigkeitsdauer der zugrunde liegenden Lizenzinformationen orientiert, die Dauer von 3 Jahren aber nie überschreitet, auch wenn eine zeitlich unbegrenzte Mobilgerätelizenz für das Anfordern des Clientzertifikats verwendet wurde. Um rechtzeitig ein neues Clientzertifikat anfordern zu können, erscheint bei der Verbindungsaufnahme des IDERI note Administrators mit dem IDERI note Dienst ein Hinweis, wenn das Clientzertifikat nur noch weniger als 14 Tage gültig ist.