Chat now with support
Chat mit Support

Identity Manager 9.1 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Systembenutzer erstellen

HINWEIS: Einen administrativen Systembenutzer erstellen Sie im Benutzer-& Berechtigungsgruppeneditor über das Menü Benutzer > Administrativen Benutzer anlegen. Administrative Systembenutzer werden automatisch in alle nicht-rollenbasierten Berechtigungsgruppen aufgenommen.

Um einen Systembenutzer zu erstellen

  1. Wählen Sie im Designer die Kategorie Berechtigungen.

  2. Starten Sie den Benutzer-& Berechtigungsgruppeneditor über die Aufgabe Berechtigungsgruppe anzeigen/bearbeiten.

  3. Fügen Sie einen neuen Systembenutzer über das Menü Benutzer > Neu ein.

  4. Bearbeiten Sie die Stammdaten des Systembenutzers.

  5. Nehmen Sie den Systembenutzer in die Berechtigungsgruppen auf.

  6. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Kennwörter von Systembenutzern

Für die Anmeldung am One Identity Manager mit einem Systembenutzer wird die Kennwortrichtlinie One Identity Manager Kennwortrichtlinie angewendet. Diese Kennwortrichtlinie definiert die Einstellung für die Kennwörter von Systembenutzern (DialogUser.Password und Person.DialogUserPassword) sowie für den Zugangscode für die einmalige Anmeldung am Web Portal (Person.Passcode).

Passen Sie im Designer die Kennwortrichtlinie bei Bedarf an ihre Anforderungen an. Ausführliche Informationen zur Bearbeitung von Kennwortrichtlinien finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

HINWEIS: Die Kennwortrichtlinie One Identity Manager Kennwortrichtlinie ist als Standardrichtlinie gekennzeichnet. Diese Kennwortrichtlinie wird angewendet, wenn keine andere Kennwortrichtlinie für Personen, Benutzerkonten oder Systembenutzer ermittelt werden kann.

Um zu verhindern, dass Kennwörter beispielsweise für Dienstkonten ablaufen, aktivieren Sie im Designer für die verwendeten Systembenutzer die Option Kennwort läuft nie ab (DialogUser.PasswordNeverExpires).

Verwandte Themen

Eigenschaften von Systembenutzern

Tabelle 24: Eigenschaften eines Systembenutzers
Eigenschaft Beschreibung

Systembenutzer

Name des Systembenutzers zur Anmeldung an den Administrationswerkzeugen.

Kennwort und Kennwortbestätigung

Kennwort, mit dem sich der Systembenutzer an den Administrationswerkzeugen anmeldet.

Letzte Kennwortänderung

Zeitpunkt der letzten Kennwortänderung.

Kennwort läuft nie ab

Gibt an, ob das Kennwort nie abläuft. Aktivieren Sie die Option beispielsweise für Dienstkonten, um zu verhindern, dass das Kennwort abläuft. Die Option überschreibt das maximale Kennwortalter.

Bemerkungen

Freitextfeld für zusätzliche Erläuterungen.

Nur Leseberechtigungen

Setzen Sie die Option, wenn ein Systembenutzer in mehreren Berechtigungsgruppen Mitglied ist, jedoch nur Berechtigungen zum Lesen auf die Objekte haben soll. Damit werden alle Änderungsberechtigungen, die der Systembenutzer über Mitgliedschaften in Berechtigungsgruppen erhält, überschrieben.

Anmeldungen

Anmeldungen, mit denen sich der Systembenutzer an den Werkzeugen des One Identity Manager anmelden kann. Tragen Sie die Anmeldungen in der Form: Domäne\Benutzer ein. Diese Informationen werden benötigt, wenn das Authentifizierungsmodul Kontobasierter Systembenutzer zur Anmeldung an den Werkzeugen des One Identity Manager verwendet wird.

Administrativer Benutzer

Gibt an, ob es sich um einen administrativen Systembenutzer handelt. Administrative Systembenutzer werden automatisch in alle nicht-rollenbasierten Berechtigungsgruppen aufgenommen.

HINWEIS: Einen administrativen Systembenutzer können Sie im Designer im Benutzer-& Berechtigungsgruppeneditor über das Menü Administrativen Benutzer anlegen erstellen.

Dienstkonto

Gibt an, ob es sich um einen Systembenutzer handelt, der von einem Dienstkonto verwendet wird. Der Systembenutzer ist keiner Berechtigungsgruppe zugeordnet, besitzt jedoch alle Berechtigungen, Methoden und Programmfunktionen.

Externe Kennwortverwaltung

Gibt an, ob das Kennwort des Systembenutzers über ein externes Kennwortverwaltungssystem ermittelt wird. Das Kennwort kann nicht im One Identity Manager geändert werden. Die Ermittlung des Kennwortes für den Systembenutzer muss kundenspezifisch implementiert werden.

Für direkte Anmeldung gesperrt

Gibt an, ob der Systembenutzer für die direkte Anmeldung genutzt werden kann. Aktivieren Sie die Option beispielsweise für Systembenutzer, die für dynamische Authentifizierungsmodule verwendet werden, um eine direkte Anmeldung an den One Identity Manager-Werkzeugen zu verhindern.

Verwandte Themen

Systembenutzer in Berechtigungsgruppen aufnehmen

Nehmen Sie Systembenutzer in Berechtigungsgruppen auf und erteilen Sie somit Berechtigungen auf die Tabellen und die Spalten des One Identity Manager Schemas und stellen die Benutzeroberfläche zur Verfügung.

Hinweis:

  • Systembenutzer können Sie nicht in rollenbasierte Berechtigungsgruppen aufnehmen. Für die rollenbasierte Anmeldung werden dynamische Systembenutzer errechnet.

  • Administrative Systembenutzer werden automatisch in alle nicht-rollenbasierten Berechtigungsgruppen aufgenommen.

  • Die Berechtigungsgruppe QBM_BaseRights definiert die Basisberechtigungen, die für die Anmeldung eines Systembenutzers an den One Identity Manager-Werkzeugen erforderlich sind. Diese Berechtigungsgruppe ist implizit immer zugewiesen.

  • Der Systembenutzer viadmin hat die kompletten vorgegebenen Berechtigungen und die komplette Benutzeroberfläche. Der Systembenutzer erhält implizit die Berechtigungen und Benutzeroberflächenanteile der kundenspezifischen Berechtigungsgruppen.

Die Mitgliedschaften eines Systembenutzers in Berechtigungsgruppen werden im Designer im Benutzer-& Berechtigungsgruppeneditor dargestellt. Über das Menü Optionen > Berechtigungsgruppenvererbung können Sie festlegen, ob die direkten und die vererbten Mitgliedschaften in Berechtigungsgruppen für einen Systembenutzer angezeigt werden.

Abbildung 2: Mitgliedschaften in Berechtigungsgruppen eines Systembenutzers

Tabelle 25: Bedeutung der Symbole in der hierarchischen Darstellung
Symbol Bedeutung

Der ausgewählte Systembenutzer ist der Berechtigungsgruppe nicht zugeordnet.

Der ausgewählte Systembenutzer ist der Berechtigungsgruppe direkt zugeordnet.

Der ausgewählte Systembenutzer ist der Berechtigungsgruppe indirekt zugeordnet.

Der ausgewählte Systembenutzer ist der Berechtigungsgruppe direkt und indirekt zugeordnet.

Um einen Systembenutzer an eine Berechtigungsgruppe zuzuweisen

  1. Wählen Sie im Designer die Kategorie Berechtigungen > Systembenutzer.

  2. Wählen Sie den Systembenutzer und starten Sie den Benutzer-& Berechtigungsgruppeneditor über die Aufgabe Systembenutzer bearbeiten.

  3. Wählen Sie in der hierarchischen Ansicht die Berechtigungsgruppe. Per Mausklick auf das Symbol können Sie den ausgewählten Systembenutzer in die Berechtigungsgruppe aufnehmen oder aus der Berechtigungsgruppe entfernen.

  4. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

TIPP: Um einen Systembenutzer an mehrere Berechtigungsgruppen zuzuweisen, verwenden Sie das Menü Benutzer > Berechtigungsgruppen zuweisen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen