Chat now with support
Chat mit Support

Identity Manager 8.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Authentifizierung anderer Anwendungen über OAuth 2.0/OpenID Connect Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Konfiguration des Identitätsanbieters und der OAuth 2.0/OpenID Connect Anwendungen anzeigen

Um die Konfiguration eines Identitätsanbieters anzuzeigen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor den Identitätsanbieter. Die Konfigurationsdaten werden in der Bearbeitungsansicht auf folgenden Tabreitern angezeigt.

    • Allgemein: Zeigt die allgemeinen Konfigurationsdaten des Identitätsanbieters.

    • Zertifikat: Zeigt die Informationen zum Zertifikat des Identitätsanbieters.

    • Anwendungen: Zeigt die Konfiguration der OAuth 2.0/OpenID Connect Anwendungen.

    • Aktivierende Spalten: Zeigt die Tabelle und die Spalten, die ein Benutzerkonto als aktiviert kennzeichnen.

    • Deaktivierende Spalten: Zeigt die Tabelle und die Spalten, die ein Benutzerkonto als deaktiviert kennzeichnen.

Um die Konfiguration einer OAuth 2.0/OpenID Connect Anwendung anzuzeigen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor den Identitätsanbieter.

  3. Wählen Sie in der Bearbeitungsansicht den Tabreiter Anwendungen.

  4. Um die Konfiguration einer Anwendung anzuzeigen, wählen Sie im Bereich Anwendung die OAuth 2.0/OpenID Connect Anwendung.

HINWEIS:

Über die Schaltfläche Hinzufügen können Sie eine neue OAuth 2.0/OpenID Connect Anwendung zur Konfiguration des Identitätsbieters hinzufügen.

Über die Schaltfläche Entfernen können Sie eine nicht mehr benötigte OAuth 2.0/OpenID Connect Anwendung aus der Konfiguration des Identitätsbieters entfernen.

Verwandte Themen

Aktivierende und deaktivierende Spalten für die Anmeldung festlegen

Bei der Ermittlung des Benutzerkontos für die OAuth 2.0/OpenID Connect Authentifizierung wird geprüft, ob das Benutzerkonto aktiviert oder deaktiviert ist. Legen Sie fest, welche Spalten ein Benutzerkonto als aktiviert oder als deaktiviert kennzeichnen.

Beachten Sie:

  • Es werden nur die Spalten der Tabelle angeboten, welche Sie in der OAuth 2.0/OpenID Connect Konfiguration des Identitätsanbieters in der Spalte für die Suche ausgewählt haben.

  • Eine Spalte kann entweder als aktivierende Spalte oder als deaktivierende Spalte genutzt werden.

  • Sie können nur aktivierende Spalten oder nur deaktivierende Spalten oder eine Kombination aus aktivierenden und deaktivierenden Spalten festlegen.

Beispiel:

Die Spalte für die Suche bezieht sich auf die Tabelle ADSAccount.

Fall a) Die Anmeldung soll nur für aktive Active Directory Benutzerkonten erlaubt sein.

  • Wählen Sie als deaktivierende Spalte ADSAccount.AccountDisabled.

    Wenn am Benutzerkonto die Spalte ADSAccount.AccountDisabled gesetzt ist, dann ist die Anmeldung nicht erlaubt.

Fall b) Die Anmeldung soll nur erlaubt sein, wenn es sich um ein privilegiertes Active Directory Benutzerkonto handelt.

  • Wählen Sie als aktivierende Spalte ADSAccount.IsPrivilegedAccount.

    Wenn am Benutzerkonto die Spalte ADSAccount.IsPrivilegedAccount gesetzt ist, dann ist die Anmeldung erlaubt.

Fall c) Die Anmeldung soll nur für aktive, privilegierte Active Directory Benutzerkonten erlaubt sein.

  • Wählen Sie als aktivierende Spalte ADSAccount.IsPrivilegedAccount und als deaktivierende Spalte ADSAccount.AccountDisabled.

    Wenn am Benutzerkonto die Spalte ADSAccount.IsPrivilegedAccount gesetzt ist und die Spalte ADSAccount.AccountDisabled nicht gesetzt ist, dann ist die Anmeldung erlaubt.

Um festzulegen, welche Spalten ein Benutzerkonto für die Anmeldung aktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor die Konfiguration.

  3. Wählen Sie im Bearbeitungsbereich den Tabreiter Aktivierende Spalten.

  4. Weisen Sie im Bereich Zuordnung hinzufügen die Spalten zu, die das Benutzerkonto für die Anmeldung aktivieren.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Um festzulegen, welche Spalten ein Benutzerkonto für die Anmeldung deaktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor die Konfiguration.

  3. Wählen Sie im Bearbeitungsbereich den Tabreiter Deaktivierende Spalten.

  4. Weisen Sie im Bereich Zuordnung hinzufügen die Spalten zu, die das Benutzerkonto für die Anmeldung deaktivieren.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Informationen für OAuth 2.0/OpenID Connect Authentifizierung aufzeichnen

Zur Unterstützung bei der Fehlersuche zur OAuth 2.0/OpenID Connect Authentifizierung können persönliche Anmeldeinformationen, wie beispielsweise Informationen zum Token oder zum Aussteller, aufgezeichnet werden. Die Aufzeichnung erfolgt in der Objektprotokolldatei der jeweiligen One Identity Manager-Komponente <appName>_object.log.

Um Informationen zur Authentifizierung im Protokoll auszuzeichnen

  • Aktivieren Sie im Designer den Konfigurationsparameter QBM | DebugMode | OAuth2 | LogPersonalInfoOnException.

Multifaktor-Authentifizierung im One Identity Manager

Tabelle 40: Konfigurationsparameter für die Multifaktor-Authentifizierung

Konfigurationsparameter

Bedeutung

QER | Person | Defender

Gibt an, ob die klassische Starling Two-Factor Authentication Integration unterstützt wird.

QER | Person | Defender | ApiEndpoint

URL des Starling 2FA API Endpunktes, über den neue Benutzer registriert werden.

QER | Person | Defender | ApiKey

Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.

QER | Person | Starling

Gibt an, ob One Identity Starling Cloud unterstützt wird.

Starten Sie Ihr Abonnement in Ihrem One Identity On-Prem-Produkt und verbinden Sie Ihre On-Prem-Lösungen mit unserer One Identity Starling Cloud-Plattform. Ermöglichen Sie Ihrem Unternehmen den sofortigen Zugriff auf eine Reihe von in der Cloud bereitgestellten Microservices, die die Funktionen Ihrer On-Prem-Lösungen von One Identity erweitern. Wir werden unserer Starling Cloud-Plattform ständig neue Produkte und Funktionen zur Verfügung stellen. Eine kostenlose Testversion unserer One Identity Starling-Angebote sowie die neuesten Produktfeatures erhalten Sie unter cloud.oneidentity.com.

QER | Person | Starling | ApiEndpoint

Tokenendpunkt für die Anmeldung an der One Identity Starling-Plattform. Der Wert wird durch den Starling Konfigurationsassistenten ermittelt.

QER | Person | Starling | ApiKey

Credential String für die Anmeldung an der One Identity Starling-Plattform. Der Wert wird durch den Starling Konfigurationsassistenten ermittelt.

Für bestimmte sicherheitskritische Aktionen im One Identity Manager kann die Multifaktor-Authentifizierung eingerichtet werden. Diese kann beispielsweise für Attestierungen oder für die Entscheidung von Bestellungen im Web Portal genutzt werden.

Für die Multifaktor-Authentifizierung nutzt der One Identity Manager One Identity Starling Two-Factor Authentication. Dieser Service wird standardmäßig über eine One Identity Starling Cloud-Plattform zur Verfügung gestellt. Sollte Ihr Unternehmen keine Starling Cloud nutzen, wählen Sie die klassische Starling Two-Factor Authentication Integration. Über Konfigurationsparameter geben Sie an, welche der beiden Lösungen in Ihrem Unternehmen angewendet wird.

Um die Multifaktor-Authentifizierung nutzen zu können

  1. Registrieren Sie Ihr Unternehmen bei Starling Two-Factor Authentication.

    Ausführliche Informationen entnehmen Sie der Starling Two-Factor Authentication Dokumentation.

  2. Legen Sie fest, welche Authentifizierungslösung genutzt wird.

    • Um Starling Cloud zu nutzen

      1. Starten Sie das Launchpad.

      2. Wählen Sie Verbindung zu Starling Cloud und klicken Sie Starten.

        Der Starling Cloud Konfigurationsassistent wird gestartet.

      3. Folgen Sie den Anweisungen des Starling Cloud Konfigurationsassistenten.

      Die Konfigurationsparameter unter QER | Person | Starling sind aktiviert und die Authentifizierungsinformationen sind eingetragen.

    • Um die klassische Starling Two-Factor Authentication Integration zu nutzen

      1. Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Defender.

        • Aktivieren Sie den Konfigurationsparameter QER | Person | Defender | ApiKey und erfassen Sie als Wert den Abonnementschlüssel Ihres Unternehmens zum Zugriff auf die Starling Two-Factor Authentication Schnittstelle.

        Die Standard-URL des Starling 2FA API Endpunktes ist bereits im Konfigurationsparameter QER | Person | Defender | ApiEndpoint eingetragen.

  3. Aktivieren Sie für die Tabelle PersonHasQERResource die Zuweisung per Ereignis. Weitere Informationen finden Sie unter Tabelleneigenschaften bearbeiten.

  4. (Optional) Legen Sie fest, ob der Sicherheitscode über die Starling 2FA App angefordert werden muss. Weitere Informationen finden Sie unter Sicherheitscode anfordern.

  5. Aktivieren Sie im Manager die Leistungsposition Neues Starling 2FA Token. Weitere Informationen finden Sie unter Bestellung des Starling 2FA Tokens vorbereiten.

Wenn sich die Telefonnummer des Benutzers geändert hat, bestellen Sie den aktuellen Starling 2FA Token ab und bestellen Sie ihn erneut. Wenn der Starling 2FA Token nicht mehr benötigt wird, bestellen Sie ihn ebenfalls ab.

Ausführliche Informationen finden Sie in den folgenden Handbüchern:

Thema

Handbuch

Vorbereitung des IT Shops für die Multifaktor-Authentifizierung

One Identity Manager Administrationshandbuch für IT Shop

Einrichten der Multifaktor-Authentifizierung für Attestierung

One Identity Manager Administrationshandbuch für Attestierungen

Einrichten der Starling Two-Factor Authentication im Webprojekt

One Identity Manager Konfigurationshandbuch für Webanwendungen

Bestellung des Starling 2FA Tokens

Bestellung von Produkten, die eine Multifaktor-Authentifizierung benötigen

Entscheiden von Bestellungen mit Multifaktor-Authentifizierung

Attestierung mit Multifaktor-Authentifizierung

One Identity Manager Web Designer Web Portal Anwenderhandbuch

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen