Authentifizierung externer Anwendungen am API Server über OAuth 2.0/OpenID Connect
Um über externe Anwendungen auf die REST API im API Server zuzugreifen, wird die Authentifizierung über die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) unterstützt. Stellen Sie sicher, dass die Authentifizierung an der REST API über OAuth 2.0/OpenID Connect eingerichtet ist.
Um eine externe Anwendung über OAuth 2.0/OpenID Connect am One Identity Manager zu authentifizieren
-
Melden Sie sich beim externen Identitätsanbieter an, beispielsweise mit Redistributable STS (RSTS), und holen Sie das Zugriffstoken.
-
Stellen Sie sicher, dass das Token als Inhabertoken im Authentifizierungs-Header aller Anfragen übergeben wird.
HINWEIS: Die Sitzung muss bei der Anmeldung über ein Inhabertoken mittels eines Sitzungs-Cookies behandelt werden. Clients, die auf die REST API per Inhabertoken zugreifen, müssen also das beim ersten Zugriff vergebene Cookie aufbewahren und bei den nächsten Zugriffen mitschicken. Anderenfalls wird für jeden Zugriff eine neue Sitzung aufgebaut, was sehr viele Ressourcen kostet.
Verwandte Themen
Multifaktor-Authentifizierung im One Identity Manager
Für die Multifaktor-Authentifizierung an den One Identity Manager-Werkzeugen und dem Web Portal kann One Identity Defender genutzt werden. Weitere Informationen finden Sie unter Multifaktor-Authentifizierung mit One Identity Defender.
Für Attestierungen oder die Entscheidung von Bestellungen kann die Multifaktor-Authentifizierung mit OneLogin eingerichtet werden. Weitere Informationen finden Sie unter Multifaktor-Authentifizierung mit OneLogin.
Multifaktor-Authentifizierung mit OneLogin
Für bestimmte sicherheitskritische Aktionen im One Identity Manager kann die Multifaktor-Authentifizierung mit OneLogin eingerichtet werden. Diese kann beispielsweise für Attestierungen oder für die Entscheidung von Bestellungen im Web Portal genutzt werden. Jede Identität, die diese Funktion nutzen möchte, muss mit einem OneLogin Benutzerkonto verbunden sein.
Voraussetzung
In OneLogin:
In One Identity Manager:
Um die Multifaktor-Authentifizierung für Attestierungen oder Bestellungen nutzen zu können
-
Richten Sie die Synchronisation mit einer OneLogin Domäne ein und starten Sie die Synchronisation.
-
Verbinden Sie Identitäten mit ihren OneLogin Benutzerkonten.
-
Konfigurieren Sie den API Server und das Web Portal für die Nutzung von OneLogin für die Multifaktor-Authentifizierung.
-
Richten Sie die Multifaktor-Authentifizierung für Attestierungen und Bestellungen im IT Shop ein.
Ausführliche Informationen finden Sie in den folgenden Handbüchern:
|
Einrichten und Starten der Synchronisation mit einer OneLogin Domäne |
One Identity Manager Administrationshandbuch für die Integration mit OneLogin Cloud Directory |
|
Konfiguration der Multifaktor-Authentifizierung in der Webanwendung |
One Identity Manager Konfigurationshandbuch für Webanwendungen |
|
Vorbereitung des IT Shops für die Multifaktor-Authentifizierung |
One Identity Manager Administrationshandbuch für IT Shop |
|
Einrichten der Multifaktor-Authentifizierung für Attestierung |
One Identity Manager Administrationshandbuch für Attestierungen |
|
Bestellung von Produkten, die eine Multifaktor-Authentifizierung benötigen
Entscheiden von Bestellungen mit Multifaktor-Authentifizierung
Attestierung mit Multifaktor-Authentifizierung |
One Identity Manager Web Portal Anwenderhandbuch |
Multifaktor-Authentifizierung mit One Identity Defender
Für die Multifaktor-Authentifizierung an den One Identity Manager-Werkzeugen und dem Web Portal kann One Identity Defender genutzt werden. Es wird ein Redistributable STS (RSTS) eingerichtet, um die Active Directory Authentifizierung über einen RADIUS Server bereitzustellen.
Voraussetzung
Um die Multifaktor-Authentifizierung über Defender einzurichten
-
Installieren Sie den RSTS.
Im Installationsassistenten auf der Seite Einstellungen für die Installation erfassen Sie das Signatur-Zertifikat, die URL und das Konfigurationskennwort für die RSTS Administrationsoberfläche. Für Test- oder Demonstrationsumgebungen können Sie das Signatur-Zertifikat Redistributable STS Demo nutzen.
-
Konfigurieren Sie den RSTS.
-
Erstellen Sie eine OAuth 2.0/OpenID Connect Konfiguration.
Dabei erstellen Sie einen neuen Identitätsanbieter. Diesen Identitätsanbieter benötigen Sie für die Konfiguration der Authentifizierung mit OAuth 2.0/OpenID Connect.
-
Konfigurieren Sie die Authentifizierung mit OAuth 2.0/OpenID Connect für das Web Portal.
-
Konfigurieren Sie die Authentifizierung mit OAuth 2.0/OpenID Connect für die One Identity Manager-Administrationswerkzeuge.
-
Testen Sie den Zugang zum Web Portal.
-
Nachdem Sie im Web-Browser die URL des Web Portals eingegeben haben, sollten Sie auf die Anmeldeseite des RSTS weitergeleitet werden.
-
Nach der Anmeldung mit Benutzername und Kennwort sollten Sie aufgefordert werden Ihren Defender Token einzugeben.
Wenn beide Authentifizierungen erfolgreich waren, können Sie mit dem Web Portal arbeiten.
-
Testen Sie den Zugang zu den One Identity Manager-Administrationswerkzeugen.
-
Starten Sie ein Administrationswerkzeug, beispielsweise das Launchpad, und wählen Sie das Authentifizierungsverfahren OAuth 2.0/OpenID Connect.
-
Nach der Anmeldung mit Benutzername und Kennwort sollten Sie aufgefordert werden Ihren Defender Token einzugeben.
Wenn beide Authentifizierungen erfolgreich waren, können Sie mit dem Administrationswerkzeug arbeiten.
Detaillierte Informationen zum Thema
