Chat now with support
Chat mit Support

Identity Manager 8.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Authentifizierung anderer Anwendungen über OAuth 2.0/OpenID Connect Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

RSTS für die Multifaktor-Authentifizierung konfigurieren

Um die Multifaktor-Authentifizierung über einen RADIUS Server am RSTS zu konfigurieren

  1. Starten Sie einen Web-Browser und rufen Sie die URL der RSTS Administrationsoberfläche auf.

    https://<Webanwendung>/RSTS/admin

    Nutzen Sie für die Anmeldung das bei der Installation vergebene Konfigurationskennwort.

  2. Auf der Startseite wählen Sie Authentication Providers.

  3. Auf der Seite Authentication Providers wählen Sie den Standard-Provider Default Active Directory und klicken Sie Edit.

  4. Auf der Seite Edit wählen Sie den Tabreiter Authentication Provider und bearbeiten Sie die folgenden Einstellungen.

    • Directory Type > Active Directory: aktiviert

    • Connection Information > Use Current Domain: aktiviert

  5. Wählen Sie den Tabreiter Two Factor Authentication und bearbeiten Sie die Einstellungen für Ihren Defender Security Server.

    • Two Factor Authentication Settings > RADIUS: aktiviert

    • Server, Port, Shared Secret und Username Attribute: Verbindungsinformationen zum RADIUS Server

    • (Optional) Connection Information > Pre-authenticate For ChallengeResponse: Verwendet den Antworttext des Defenders, anstelle des Standard-RADIUS-Antworttextes.

  6. Wechseln Sie zur Startseite und wählen Sie Applications.

  7. Auf der Seite Applications klicken Sie Add Application.

  8. Auf der Seite Edit wählen Sie den Tabreiter General Settings und bearbeiten Sie die folgenden Einstellungen.

    • Application Name, Authentication Provider, Realm/Client_ID/Issuer, Redirect Url

    Die Weiterleitungs-URL für das Web Portal (Redirect Url) wird folgendermaßen gebildet: https://<Server>/<Application Name>/

  9. Wählen Sie den Tabreiter Certificates und aktivieren Sie unter Signing Certificate (Required) das Signatur-Zertifikat, welches Sie bei der Installation des RSTS angegeben haben.

    Weitere Informationen finden Sie unter Multifaktor-Authentifizierung mit One Identity Defender.

  10. Klicken Sie Finish.

Verwandte Themen

Authentifizierung mit OAuth 2.0/OpenID Connect im Web Portal konfigurieren

Um die Authentifizierung mit OAuth 2.0/OpenID Connect zu konfigurieren

  1. Starten Sie den Web Designer.

  2. Klicken Sie im Menü Ansicht > Startseite.

  3. Klicken Sie auf der Startseite Webanwendung auswählen und wählen Sie die Webanwendung aus.

  4. Klicken Sie Einstellungen der Webanwendung bearbeiten.

  5. Im Dialogfenster Einstellungen der Webanwendung bearbeiten bearbeiten Sie die Einstellungen der Webanwendung.

    • Authentifizierungsmodul: Wählen Sie OAuth 2.0/OpenID Connect (rollenbasiert).

    • OAuth 2.0/OpenID Connect Konfiguration: Wählen Sie den neu erstellten Identitätsanbieter.

    • Client-ID für OAuth 2.0-Authentifizierung: Wählen Sie die Client-ID, die Sie bei der Konfiguration des RSTS angegeben haben.

    • Fingerabdruck des OAuth 2.0 Zertifikats: Geben Sie den Fingerabdruck des Signatur-Zertifikats an, welches Sie bei der Konfiguration des RSTS ausgewählt haben.

  6. Speichern Sie die Änderungen.
Verwandte Themen

Authentifizierung mit OAuth 2.0/OpenID Connect konfigurieren

Um die Authentifizierung mit OAuth 2.0/OpenID Connect zu konfigurieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor den neu erstellten Identitätsanbieter.

  3. Wählen Sie den Tabreiter Allgemein und prüfen Sie die allgemeinen Konfigurationsdaten des Identitätsanbieters.

    • Spalte für die Suche: Wählen Sie ADSAccount - ObjectGUID.

  4. Wählen Sie den Tabreiter Anwendungen und prüfen Sie die Konfiguration der OAuth 2.0/OpenID Connect Anwendung.

    • Standard: aktiviert

    • Weiterleitungs-URI: Wenn Sie die Multifaktor-Authentifizierung mit den Administrationswerkzeugen des One Identity Manager nutzen wollen, erfassen Sie urn:InstalledApplication.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Authentifizierung anderer Anwendungen über OAuth 2.0/OpenID Connect

Ausführliche Informationen zur REST API finden Sie im One Identity Manager REST API Reference Guide.

Um auf die REST API im Anwendungsserver zuzugreifen, wird die Authentifizierung über die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) unterstützt.

Die Authentifizierung erfolgt über ein bereitgestelltes Zugriffstoken. Bei der ersten Anfrage mit einem neuen Zugriffstoken wird mit diesem Token und dem Authentifizierungsmodul eine Sitzung aufgebaut. Bei weiteren Zugriffen mit demselben Token wird dieselbe Sitzung benutzt. Dabei wird die Gültigkeitsdauer des Tokens überprüft.

Um im One Identity Manager die Authentifizierung externer Anwendungen über OAuth 2.0/OpenID Connect einzurichten

  • Aktivieren Sie im Designer den Konfigurationsparameter QBM | AppServer | AccessTokenAuth.

  • Aktivieren Sie im Designer das jeweilige Authentifizierungsmodul OAuth 2.0/OpenID Connect oder OAuth 2.0/OpenID Connect (rollenbasiert).

  • Erstellen Sie im Designer die OAuth 2.0/OpenID Connect Konfiguration.

  • Wenn das Authentifizierungsmodul OAuth 2.0/OpenID Connect (rollenbasiert) genutzt wird, aktivieren Sie zusätzlich den Konfigurationsparameter QBM | AppServer | AccessTokenAuth | RoleBased.

  • Die URL für den Anwendungsserver muss bekannt sein.

    Bei der Installation des Anwendungsservers wird ein Eintrag für die Webanwendung mit der URL in der Tabelle QBMWebApplication erzeugt. Prüfen Sie, ob die URL (Spalte BaseURL) eingetragen ist.

    GeschlossenEinstellungen für Webanwendungen anzeigen

Um eine externe Anwendung über OAuth 2.0/OpenID Connect am One Identity Manager zu authentifizieren

  1. Melden Sie sich beim externen Identitätsanbieter an, beispielsweise mit Redistributable STS (RSTS), und holen Sie das Zugriffstoken.

  2. Stellen Sie sicher, dass das Token als Inhabertoken im Authentifizierungs-Header aller Anfragen übergeben wird.

HINWEIS: Die Sitzung muss bei der Anmeldung über ein Inhabertoken mittels eines Sitzungs-Cookies behandelt werden. Clients, die auf die REST API per Inhabertoken zugreifen, müssen also das beim ersten Zugriff vergebene Cookie aufbewahren und bei den nächsten Zugriffen mitschicken. Anderenfalls wird für jeden Zugriff eine neue Sitzung aufgebaut, was sehr viele Ressourcen kostet.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen