Chat now with support
Chat mit Support

Identity Manager 8.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Authentifizierung anderer Anwendungen über OAuth 2.0/OpenID Connect Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Authentifizierungsmodule für Anwendungen deaktivieren oder aktivieren

HINWEIS: Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.

Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, muss die Zuweisung des Authentifizierungsmoduls zur Anwendung aktiviert sein.

Um ein Authentifizierungsmodul für eine Anwendung zu aktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogProductHasAuthentifier.

  3. Wählen Sie im Listeneditor das Authentifizierungsmodul.

  4. Wählen Sie in der Bearbeitungsansicht Anwendung die zugewiesene Anwendung.

  5. Deaktivieren Sie die Option Deaktiviert.

  6. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Um ein Authentifizierungsmodul für eine Anwendung zu deaktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogProductHasAuthentifier.

  3. Wählen Sie im Listeneditor das Authentifizierungsmodul.

  4. Wählen Sie in der Bearbeitungsansicht Anwendung die zugewiesene Anwendung.

  5. Aktivieren Sie die Option Deaktiviert.

  6. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Eigenschaften von Authentifizierungsmodulen

Tabelle 32: Eigenschaften von Authentifizierungsmodulen
Eigenschaft Bedeutung

Aktiviert

Gibt an, ob das Authentifizierungsmoduls zur Verwendung aktiviert ist.

Anzeigename

Anzeigename zur Anzeige des Authentifizierungsmoduls im Verbindungsdialog der Administrationswerkzeuge.

Authentifizierungsmodul

Interner Name des Authentifizierungsmoduls.

Authentifizierungstyp

Typ des Authentifizierungsmoduls. Zur Auswahl stehen Dynamisch und Rollenbasiert.

Bearbeitungsstatus

Der Bearbeitungsstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt.

Initiale Daten

Initiale Daten für die Anmeldung mit diesem Authentifizierungsmodul.

Klasse

Klasse des Authentifizierungsmoduls.

Name des Assemblies

Name des Assemblies.

Reihenfolge

Reihenfolge für die Anzeige im Anmeldedialog.

Single Sign-On

Gibt an, ob das Authentifizierungsmodul ohne Angabe eines Kennwortes authentifizieren darf.

Wählbar im Frontend

Gibt an, ob das Authentifizierungsmodul im Anmeldedialog zur Auswahl angeboten werden soll.

Verwandte Themen

Initiale Daten für Authentifizierungsmodule

Die initialen Daten sind ein Teil des Authentication-Strings (Parameter-/Wert-Paare). Initiale Daten aus dem Authentication-String werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.

Der Authentication-String ist nach folgendem Muster aufgebaut:

Module=<Name>;<Property1>=<Wert1>;<Property2>=<Wert2>,…

Beispiel:

Module=DialogUser;User=<user name>;Password=<password>

Um initiale Daten festzulegen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie das Authentifizierungsmodul und geben Sie im Eingabefeld Initiale Daten die Daten ein.

    Syntax:

    Property1=Wert1;Property2=Wert2

    Beispiel:

    User=<user name>;Password=<password>

Abhängig vom Authentifizierungsmodul können verschiedene initiale Daten verwendet werden.

Tabelle 33: Initiale Daten für Authentifizierungsmodule
Anzeigename des Moduls Authentifizierungsmodul Parameter Bedeutung/ Anmerkung

Systembenutzer

DialogUser

User

Benutzername.

Password

Kennwort des Benutzers.

Active Directory Benutzerkonto

ADSAccount

 

 

Active Directory Benutzerkonto (dynamisch)

DynamicADSAccount

Product

Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

Active Directory Benutzerkonto (manuelle Eingabe)

DynamicManualADS

Product

Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User

Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password

Kennwort des Benutzers.

Active Directory Benutzerkonto (rollenbasiert)

RoleBasedADSAccount

 

Keine Parameter erforderlich.

Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

RoleBasedManualADS

User

Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password

Kennwort des Benutzers.

Person

Person

User

Zentrales Benutzerkonto der Person.

Password

Kennwort des Benutzers.

Person (dynamisch)

DynamicPerson

Product

Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User

Benutzername.

Password

Kennwort des Benutzers.

Person (rollenbasiert)

RoleBasedPerson

User

Benutzername.

Password

Kennwort des Benutzers.

HTTP Header

HTTPHeader

Header

Zu nutzender HTTP Header.

KeyColumn

Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

HTTP Header (rollenbasiert)

RoleBasedHTTPHeader

 

Zu nutzender HTTP-Header.

KeyColumn

Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

LDAP Benutzerkonto (dynamisch)

DynamicLdap

User

Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password

Kennwort des Benutzers.

LDAP Benutzerkonto (rollenbasiert)

 

RoleBasedLdap

 

User

Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password

Kennwort des Benutzers.

Single Sign-on generisch (rollenbasiert)

RoleBasedGeneric

SearchTable

Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK mit der Bezeichnung UID_Person enthalten, der auf die Tabelle Person zeigt.

SearchColumn

Spalte aus der SearchTable, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird.

DisabledBy

Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren.

EnabledBy

Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten.

OAuth 2.0/OpenID Connect

OAuth

 

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

OAuth 2.0/OpenID Connect (rollenbasiert)

OAuthRoleBased

 

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Kontobasierter Systembenutzer

DialogUserAccountBased

 

Keine Parameter erforderlich.

Benutzerkonto

QERAccount

 

Keine Parameter erforderlich.

Benutzerkonto (rollenbasiert)

RoleBasedQERAccount

 

Keine Parameter erforderlich.

Kennwortrücksetzung

PasswordReset

 

Keine Parameter erforderlich.

Kennwortrücksetzung (rollenbasiert)

RoleBasedPasswordReset

 

Keine Parameter erforderlich.

Dezentrale Identität

 

DecentralizedId

 

Email

Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier

Dezentrale Identität der Person (Person.DecentralizedIdentifier).

Dezentrale Identität (rollenbasiert)

 

RoleBasedDecentralizedId

 

Email

Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier

Dezentrale Identität der Person (Person.DecentralizedIdentifier).

Verwandte Themen

Konfigurationsdaten zur dynamischen Ermittlung eines Systembenutzers

Bei den dynamischen Authentifizierungsmodulen wird nicht der an einer Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern der anzuwendende Systembenutzer über spezielle Konfigurationsdaten der Benutzeroberfläche bestimmt.

Um Konfigurationsdaten festzulegen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Anwendungen.

  2. Wählen Sie die Anwendung und passen Sie die Konfigurationsdaten an.

Die Konfigurationsdaten erfassen Sie in XML-Syntax:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

<Usermapping

DialogUser = "Name des Systembenutzers"

/>

...

</Usermappings>

</DialogUserDetect>

In der Sektion Usermappings geben Sie die Systembenutzer (DialogUser) an. Über ein Auswahlkriterium (Selection) legen Sie fest, welche Personen den angegebenen Systembenutzer verwenden sollen. Die Angabe eines Auswahlkriteriums für die Zuordnung ist nicht zwingend erforderlich. Es wird der Systembenutzer aus der ersten zutreffenden Zuordnung zur Anmeldung verwendet.

Für eine komplexe Berechtigungs- und Benutzeroberflächenstruktur können Sie eine Zuordnung von Funktionsgruppen zu Berechtigungsgruppen vornehmen. Über Funktionsgruppen bilden Sie die Funktionen der Personen in einem Unternehmen ab, beispielsweise IT Controller oder Niederlassungsleiter. Die Funktionsgruppen ordnen Sie den Berechtigungsgruppen zu. Eine Funktionsgruppe kann auf mehrere Berechtigungsgruppen verweisen und es können mehrere Funktionsgruppen auf eine Berechtigungsgruppe verweisen.

Ist die Sektion FunctionGroupMapping in den Konfigurationsdaten enthalten, so wird diese zuerst ausgewertet und der ermittelte Systembenutzer verwendet. Das Authentifizierungsmodul verwendet den Systembenutzer zur Anmeldung, der genau in den ermittelten Berechtigungsgruppen Mitglied ist. Wird so kein Systembenutzer ermittelt, wird die Sektion Usermapping ausgewertet.

<DialogUserDetect>

<FunctionGroupMapping

PersonToFunction = "View Mapping Person auf Funktionsgruppe"

FunctionToGroup = "View Mapping Funktionsgruppe auf Berechtigungsgruppe"

/>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

...

</Usermappings>

</DialogUserDetect>

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen