Chat now with support
Chat mit Support

Identity Manager 9.2 - Installationshandbuch

Über dieses Handbuch Überblick über den One Identity Manager Installationsvoraussetzungen Installieren des One Identity Manager Installieren und Konfigurieren des One Identity Manager Service Automatisches Aktualisieren des One Identity Manager Aktualisieren des One Identity Manager Installieren zusätzlicher Module für eine bestehende One Identity Manager Installation Installieren und Aktualisieren eines Anwendungsservers Installieren des API Servers Installieren, Konfigurieren und Warten des Web Designer Web Portals Installieren und Aktualisieren der Manager Webanwendung Anmelden an den One Identity Manager-Werkzeugen Fehlerbehebung Erweiterte Konfiguration der Manager Webanwendung Maschinenrollen und Installationspakete Konfigurationsparameter für das E-Mail-Benachrichtigungssystem Einsatz der One Identity Manager-Datenbank mit SQL Server AlwaysOn-Verfügbarkeitsgruppen konfigurieren

Anwendungsserver aktualisieren

HINWEIS:

  • Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführt werden kann.

  • Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:

    • Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis.

    • Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie Anmelden als Stapelverarbeitungsauftrag.

    • Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien Ersetzen eines Tokens auf Prozessebene und Anpassen von Speicherkontingenten für einen Prozess.

Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.

Die Prüfung erfolgt abhängig vom gewählten Modus für die automatische Aktualisierung. Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Die Dateien können nicht aktualisiert werden, solange die Anwendung läuft. Die Aktualisierung wartet bis die Anwendung neu gestartet wird.

Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder durch ununterbrochene Benutzeranfragen verhindert werden.

Die automatische Aktualisierung konfigurieren Sie in der Datei web.config des Anwendungsservers. In der Sektion <autoupdate> können Sie das Verhalten für die Aktualisierung beeinflussen.

Tabelle 28: Attribute für die Konfiguration der automatischen Aktualisierung

Attibut

Beschreibung

off

Gibt an, ob die automatische Aktualisierung deaktiviert ist (True) oder aktiviert ist (False).

mode

Modus für die automatische Aktualisierung. Zulässige Werte sind:

  • timer: Zeitgesteuerte Prüfung (Standard). Die Prüfung auf aktualisierte Dateien in der Datenbank erfolgt bei Start der Anwendung und wird danach im definierten Prüfintervall (Attribut checkinterval) durchgeführt.

  • manual: Manuell Prüfung. Die Prüfung wird über die Statusseite des Anwendungsservers gestartet. Eine regelmäßige Prüfung auf aktualisierte Dateien in der Datenbank findet nicht statt.

checkinterval

Zeitspanne, nach der im Modus timer nach Aktualisierungen gesucht wird. Standard: 5 Minuten

inactivitytime

Zeitspanne, in der keine Benutzeraktivität erfolgen darf, damit die Aktualisierung gestartet werden kann. Standard: 10 Sekunden.

Beispiel:

<autoupdate>

<!-- <add key="off" value="true" /> -->

<add key="mode" value="timer" /> <!-- Valid options: timer, manual -->

<add key="checkinterval" value="00:05:00"/>

<add key="inactivitytime" value="00:00:10"/>

</autoupdate>

Um die Aktualisierung manuell zu starten

  1. Öffnen Sie die Statusseite des Anwendungsservers im Browser.

  2. Klicken Sie im Menü des angemeldeten Benutzers Update immediately.

Verwandte Themen

Anwendungsserver deinstallieren

Führen Sie die folgenden Schritte aus, um die Webanwendung zu deinstallieren.

Um eine Webanwendung zu deinstallieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Auf der Startseite des Installationsassistenten:

    1. Wechseln Sie zum Tabreiter Installation.

    2. Im Bereich Web-basierte Komponenten klicken Sie Installieren.

    Der Web Installer wird gestartet.

  3. Auf der Startseite des Web Installer klicken Sie Deinstallieren einer Webanwendung und klicken Sie Weiter.

  4. Auf der Seite Deinstallieren einer Webanwendung doppelklicken Sie die Webanwendung, die Sie entfernen möchten.

    Vor der Anwendung wird das Symbol angezeigt.

  5. Klicken Sie Weiter.

  6. Auf der Seite Datenbankverbindung wählen Sie die Datenbankverbindung und das Authentifizierungsverfahren und geben Sie die entsprechenden Anmeldedaten ein.

  7. Klicken Sie Weiter.

  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  9. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt.

  10. Nachdem der Installationsvorgang abgeschlossen wurde, klicken Sie Weiter.

  11. Auf der Seite Beenden des Assistenten klicken Sie Fertig.

  12. Schließen Sie das Autorun-Programm.

Installieren des API Servers

Der API Server stellt das Web Portal, das Kennwortrücksetzungsportal sowie das Web Portal für Betriebsunterstützung und Ihre HTML-Webanwendungen zur Verfügung. Zudem stellt er eine API zur Verfügung.

Sie können den API Server mithilfe des Web Installers oder des ImxClient-Kommandozeilenprogramms installieren (Kommando install-apiserver). Lesen Sie in den nachfolgenden Abschnitten, wie Sie den API Server mithilfe des Web Installers auf einem Windows Server installieren und in der Standardkonfiguration in Betrieb nehmen. Weitere Informationen über die Installation mithilfe des ImxClient-Kommandozeilenprogramms finden Sie im One Identity Manager API-Entwicklungshandbuch.

Stellen Sie vor der Installation sicher, dass die minimalen minimalen Hardware- und Softwarevoraussetzungen auf dem Server gewährleistet sind.

HINWEIS: Auf Linux Betriebssystemen wird die Verwendung des Docker-Images oneidentity/oneim-api empfohlen.

Detaillierte Informationen zum Thema

API Server installieren

WICHTIG: Starten Sie die Installation des API Servers lokal auf dem Server.

HINWEIS: Auf Linux Betriebssystemen wird die Verwendung des Docker-Images oneidentity/oneim-api empfohlen.

Um den API Server zu installieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Auf der Startseite des Installationsassistenten nehmen Sie folgende Aktionen vor.

    1. Klicken Sie Installation.

    2. Im Bereich Web-basierte Komponenten klicken Sie Installieren.

    Der Web Installer wird gestartet.

  3. Auf der Startseite des Web Installers klicken Sie API Server installieren und klicken Sie Weiter.

  4. Auf der Seite Datenbankverbindung nehmen Sie eine der folgenden Aktionen vor.

    TIPP: One Identity empfiehlt die Verwendung einer Verbindung über einen Anwendungsserver.

    • Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.

      - ODER -

    • Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.

  5. Unter Authentifizierungsverfahren geben Sie das Verfahren und die Anmeldedaten an, mit denen Sie sich an der Datenbank anmelden möchten.

  6. Auf der Seite Installationsquelle im Bereich Installationsquelle legen Sie fest, woher die Installationsdaten ermittelt werden.

    • Um die Installationsdaten aus der Datenbank zu beziehen, aktivieren Sie die Option Datenbank.

    • Um die Installationsdaten aus dem Installationsmedium (beispielsweise von der Festplatte) zu beziehen, aktivieren Sie die Option Dateisystem und geben Sie einen Pfad an.

  7. Auf der Seite Installationsquelle im Bereich Zusätzliche Verbindungen erfassen Sie zusätzliche Informationen zur Authentifizierung. Es wird angezeigt, wie viele Verbindungen konfiguriert werden können.

    1. Um die zusätzliche Authentifizierungsdaten zu konfigurieren, klicken Sie .

    2. Im Dialog Authentifizierungsdaten wählen Sie die Projekte, für die Sie Authentifizierungen eintragen möchten und erfassen Sie die Authentifizierungsdaten.

      HINWEIS: Sie können die Authentifizierungsdaten für optionale Projekte auch zu einem späteren Zeitpunkt konfigurieren. Für rot markierte Projekte müssen die Authentifizierungsdaten erfasst werden.

      • Multifaktor-Authentifizierung mit OneLogin (OneLogin): Für bestimmte sicherheitskritische Aktionen im One Identity Manager kann die Multifaktor-Authentifizierung mit OneLogin eingerichtet werden. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch für Webanwendungen.

        Erfassen Sie Authentifizierungsdaten zur Anmeldung an der OneLogin Domäne.

        • Verbindungsparameter: Verbindungsparameter zur Anmeldung an der OneLogin Domäne.

          Syntax: Domain=<domain>;ClientId=<clientid>;ClientSecret=<clientSecret>

          - ODER -

        • Domäne: Geben Sie den DNS Namen der synchronisierten OneLogin Domäne an.

          Beispiel: <your domain>.onelogin.com

        • Client-ID: Erfassen Sie die Client-ID, mit der die Anwendung bei OneLogin registriert ist. Die Client-ID erhalten Sie bei der Registrierung Ihrer Anwendung bei OneLogin.

        • Sicherheitstoken: Erfassen Sie das Sicherheitstoken der OneLogin Anwendung. Das Sicherheitstoken erhalten Sie bei der Registrierung Ihrer Anwendung bei OneLogin.

      • Authentifizierung zur Selbstregistrierung neuer Benutzer (sub:register): Für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal, wird ein Benutzer benötigt, mit dem die neuen Benutzerkonten erstellt werden.

        HINWEIS: Es wird empfohlen, den Systembenutzer IdentityRegistration zu verwenden. Dieser Systembenutzer hat die vorgegebenen Berechtigungen, die für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal benötigt werden.

        Wenn Sie einen eigenen Systembenutzer, stellen Sie sicher, dass dieser die erforderlichen Berechtigungen besitzt. Ausführliche Informationen zu Systembenutzern und Berechtigungen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

        • Wenn Sie den Systembenutzer IdentityRegistration verwenden, erfassen Sie ein Kennwort für den Systembenutzer.

        • Wenn Sie einen eigenen Systembenutzer verwenden möchten, wählen Sie unter Authentifizierungsverfahren das Authentifizierungsmodul für die Anmeldung. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager-Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

    3. Um die Daten zu testen, klicken Sie Verbindung testen.

    4. Um die Daten zu übernehmen, klicken Sie OK.

  8. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor.

    Tabelle 29: Einstellungen für das Installationsziel
    Einstellung Beschreibung

    Anwendungsname

    Geben Sie den Namen ein, der als Anwendungsname im Browser verwendet werden soll.

    Zielpfad im IIS

    Wählen Sie die Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird.

    SSL erzwingen

    Gibt an, ob sichere oder unsichere Webseiten zur Installation angeboten werden.

    Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert.

    Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden.

    URL

    Geben Sie die URL der Anwendung ein.

    Dedizierten Anwendungspool einrichten

    Aktivieren Sie die Option, wenn für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert.

    Anwendungspool

    Wählen Sie den Anwendungspool aus, der verwendet werden soll. Die Angabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.

    Wenn Sie den Standardwert DefaultAppPool verwenden, wird der Anwendungspool nach folgender Syntax gebildet:

    <Anwendungsname>_POOL

    Identität

    Legen Sie die Berechtigung für die Ausführung des Anwendungspools fest. Sie können eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwenden.

    Wenn Sie den Standardwert ApplicationPoolIdentity verwenden, wird das Benutzerkonto nach folgender Syntax gebildet:

    IIS APPPOOL\<Anwendungsname>_POOL

    Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie neben dem Eingabefeld auf ..., aktivieren Sie die Option Benutzerdefiniertes Konto und geben Sie den Benutzer und sein Kennwort ein.

    Dateiberechtigungen für die Identität des Anwendungspools zuweisen

    Legen Sie fest, ob die Identität, mit der der Anwendungspool ausgeführt hat, die Dateiberechtigungen erhält.

    Standard-IIS-Anforderungslimits überschreiben

    Legen Sie fest, ob die Standardwerte des IIS für URL-Länge, Abfragezeichenfolge-Länge und Inhaltslänge überschrieben werden sollen. Wenn die Werte nicht ausreichend sind, gibt der IIS einen HTTP 404-Fehler zurück. Ausführliche Informationen finden Sie unter HTTP 404 Error Substatus Codes.

    Passen Sie bei Bedarf die Werte an ihre Anforderungen an.

    • Max.URL-Länge [B]: Maximale Länge einer URL in Byte. Standardwert ist 4096 Bytes.

    • Max. Länge einer Abfragezeichenfolge [B]: Maximale Länge einer Abfragezeichenfolge in Byte. Standardwert ist 32768 Bytes.

    • Max. Inhaltslänge [B]: Maximale Länge eine Inhaltes in Bytes. Standardwert ist 30000000 Bytes.

    HINWEIS: Sie können die Werte auch zu einem späteren Zeitpunkt konfigurieren.

    Web-Authentifizierung

    Legen Sie fest, welche Authentifizierungsart gegenüber der Webanwendung verwendet werden soll. Zur Auswahl stehen:

    • Windows Authentifizierung (Single Sign-On)

      Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows-Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Identität rollenbasiert an. Sollte dieses Single Sign-on nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows-Authentifizierung installiert ist.

    • Anonym

      Eine Anmeldung ohne Windows-Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um.

    Datenbank-Authentifizierung

    HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie auf der Seite Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

    Legen Sie fest, welche Authentifizierungsart gegenüber der One Identity Manager-Datenbank verwendet werden soll. Zur Auswahl stehen:

    • Windows Authentifizierung

      Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows-Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.

    • SQL-Authentifizierung

      Die Authentifizierung erfolgt mittels SQL Server-Anmeldung und Kennwort. Es wird die SQL Server-Anmeldung aus der Verbindung zur Datenbank verwendet. Über die Schaltfläche [...] können Sie eine abweichende SQL-Anmeldung angeben, beispielsweise wenn die Anwendung mit einer Berechtigungsebene für Endbenutzer ausgeführt werden soll. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert.

  9. (Optional) Auf der Seite Anwendungsserver wählen nehmen Sie die folgenden Aktionen vor.

    HINWEIS: Die Seite wird nur angezeigt, wenn Sie eine direkte Datenbankverbindung ausgewählt haben.

    HINWEIS: Wenn Sie die Volltextsuche verwenden möchten, müssen Sie einen Anwendungsserver angeben.

    1. Klicken Sie Anwendungsserver eintragen.

    2. Im Dialogfenster im Feld URL geben Sie die Webadresse des Anwendungsservers ein, auf dem der Suchdienst für die Volltextsuche installiert ist.

    3. Klicken Sie OK.

  10. Auf der Seite Setze das Session-Token-Zertifikat wählen Sie das Zertifikat, das für die Erstellung und Prüfung von Sitzungstoken verwendet wird.

    HINWEIS: Das Zertifikat muss mindestens eine Schlüssellänge von 1024 Bit haben.

    • Um ein bestehendes Zertifikat zu verwenden, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Nutze bestehendes Zertifikat.

      2. Zertifikat auswählen: Wählen Sie das Zertifikat. 

        HINWEIS: Es wird dringend empfohlen, das bereits in anderen Anwendungsservern und API Servern zum Einsatz kommende Zertifikat hier ebenfalls zu nutzen.

    • Um ein neues Zertifikat zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neues Zertifikat.

      2. Zertifikatsherausgeber: Erfassen Sie den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat zu exportieren und in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

    • Um eine neue Zertifikatsdatei zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neue Zertifikatsdatei.

      2. Zertifikatsherausgeber: Erfassen Sie unter den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      4. Zertifikatsdatei: Tragen Sie den Ablagepfad und Namen der Zertifikatsdatei ein.

      Die Zertifikatsdatei wird im angegebenen Verzeichnis der Webanwendung abgelegt.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

  11. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest.

    Die Maschinenrolle SCIM Provider wird für das SCIM Plugin im API Server benötigt. Ausführliche Informationen zum SCIM Plugin finden Sie im One Identity Manager Konfigurationshandbuch.

    HINWEIS: Sie können das SCIM Plugin auch zu einem späteren Zeitpunkt konfigurieren.

  12. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung fest, indem Sie eine der folgenden Optionen aktivieren:

    HINWEIS: Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.

    • Nutze die IIS-Berechtigungen für Aktualisierungen: Um das Benutzerkonto, unter dem der Anwendungspool ausgeführt wird, für die Aktualisierungen zu nutzen, aktivieren Sie diese Option.

    • Nutze ein spezielles Konto für die Aktualisierungen: Um ein anderes Benutzerkonto zu verwenden, aktivieren Sie diese Option. Geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.

  13. Auf der Seite Anwendungstoken geben Sie im Eingabefeld das Anwendungstoken für den API Server ein. Das Anwendungstoken wird vom Kennwortrücksetzungsportal benötigt.

    HINWEIS: Behandeln Sie das Anwendungstoken wie ein Kennwort. Sobald das Anwendungstoken in der Datenbank gespeichert wird, kann es nicht mehr im Klartext angezeigt werden. Notieren Sie sich das Anwendungstoken gegebenenfalls.

    TIPP: Um ein neues Token zu verwenden und das bestehende Token in der Datenbank zu ersetzen, aktivieren Sie die Option Ersetze das Anwendungstoken in der Datenbank. Beachten Sie dabei, dass das bisherig verwendete Token an allen bereits verwendeten Stellen ungültig wird und Sie diese Stellen gegebenenfalls mit dem neuen Token aktualisieren müssen.

  14. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter.

  15. Auf der Seite Beenden des Assistenten klicken Sie Fertig.

  16. Schließen Sie das Autorun-Programm.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen