Chat now with support
Chat mit Support

Identity Manager 8.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Authentifizierung anderer Anwendungen über OAuth 2.0/OpenID Connect Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Tabelleneigenschaften bearbeiten

HINWEIS: Wenn die Option Zuweisung per Ereignis aktiviert ist, wird der Prozess HandleObjectComponent in die Jobqueue eingestellt, sobald eine Zuweisung einer Ressource an eine Person hinzugefügt oder entfernt wird.

Um die Zuweisung per Ereignis für eine Tabelle zu aktivieren

  1. Wählen Sie im Designer die Kategorie One Identity Manager Schema.

  2. Wählen Sie die Tabelle PersonHasQERResource und starten Sie den Schemaeditor über die Aufgabe Tabellendefinition anzeigen.

  3. Wählen Sie in der Ansicht Tabelleneigenschaften den Tabreiter Tabelle und aktivieren Sie die Option Zuweisung per Ereignis.

  4. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Ausführliche Informationen zur Bearbeitung von Tabellendefinitionen finden Sie im One Identity Manager Konfigurationshandbuch.

Bestellung des Starling 2FA Tokens vorbereiten

Damit ein One Identity Manager Benutzer die Multifaktor-Authentifizierung nutzen kann, muss er bei Starling Two-Factor Authentication registriert sein. Um sich zu registrieren, bestellt der Benutzer im Web Portal das Starling 2FA Token. Sobald die Bestellung genehmigt ist, erhält er einen Link zur Starling Two-Factor Authentication App und eine Starling 2FA Benutzerkennung. Mit der App können die Sicherheitscodes generiert werden, die für die Authentifizierung benötigt werden. Die Starling 2FA Benutzerkennung wird in den Personenstammdaten des Benutzers gespeichert.

HINWEIS: In den Personenstammdaten des Benutzers müssen Standard-E-Mail-Adresse, Mobiltelefon und Land hinterlegt sein. Diese Angaben werden für die Registrierung benötigt.

Um die Bestellung des Starling 2FA Tokens zu ermöglichen

  1. Wählen Sie im Manager die Kategorie IT Shop > Servicekatalog > Vordefiniert.

  2. Wählen Sie in der Ergebnisliste Neues Starling 2FA Token.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Deaktivieren Sie Nicht bestellbar.

  5. Speichern Sie die Änderungen.

Die Bestellung des Starling 2FA Tokens muss durch den Manager des Empfängers der Bestellung genehmigt werden.

Sicherheitscode anfordern

Tabelle 41: Konfigurationsparameter für die Anforderung des Starling 2FA Sicherheitscodes

Konfigurationsparameter

Bedeutung

QER | Person | Defender | DisableForceParameter

QER | Person | Starling | DisableForceParameter

Die Konfigurationsparameter legen fest, ob Starling 2FA gezwungen werden soll, den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn für die Multifaktor-Authentifizierung eine dieser Optionen ausgewählt ist. Wenn die Konfigurationsparameter aktiviert sind, kann Starling 2FA diese Anforderung zurückweisen; der Benutzer muss dann den Sicherheitscode über die Starling 2FA App anfordern.

Wenn für eine Attestierung, Bestellung oder die Entscheidung einer Bestellung der Sicherheitscode angefordert wird, entscheidet der Benutzer, auf welchem Weg der Sicherheitscode zugestellt wird. Folgende Möglichkeiten können genutzt werden:

  • Über die Starling 2FA App

  • Per SMS

  • Per Telefonanruf

Standardmäßig wird Starling 2FA gezwungen den Sicherheitscode per SMS oder Telefonanruf zu senden, wenn der Benutzer eine dieser Optionen ausgewählt hat. Aus Sicherheitsgründen sollte der Benutzer jedoch die Starling 2FA App nutzen, um den Sicherheitscode zu generieren. Wenn die App auf dem Mobiltelefon des Benutzers installiert ist, kann Starling 2FA die Anforderung von SMS oder Telefonanruf zurückweisen. Der Benutzer muss dann den Sicherheitscode über die App generieren.

Um dieses Verhalten zu nutzen

  • Wenn Sie Starling Cloud nutzen, aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Starling | DisableForceParameter.

    - ODER -

  • Wenn Sie die klassische Starling Two-Factor Authentication Integration nutzen, aktivieren Sie im Designer den Konfigurationsparameter QER | Person | Defender | DisableForceParameter.

    Starling 2FA kann die Übermittlung des Sicherheitscodes per SMS oder Telefonanruf zurückweisen, wenn auf dem Mobiltelefon die Starling 2FA App installiert ist. Der Sicherheitscode muss dann über die App generiert werden.

Wenn der Konfigurationsparameter deaktiviert ist (Standard), wird Starling 2FA gezwungen, den Sicherheitscode per SMS oder Telefonanruf zu senden.

Multifaktor-Authentifizierung mit One Identity Defender

Für die Multifaktor-Authentifizierung an den One Identity Manager-Werkzeugen und dem Web Portal kann One Identity Defender genutzt werden. Es wird ein Redistributable STS (RSTS) eingerichtet, um die Active Directory Authentifizierung über einen RADIUS Server bereitzustellen.

Voraussetzung
  • One Identity Defender ist installiert und eingerichtet.

Um die Multifaktor-Authentifizierung über Defender einzurichten

  1. Installieren Sie den RSTS.

    Im Installationsassistenten auf der Seite Einstellungen für die Installation erfassen Sie das Signatur-Zertifikat, die URL und das Konfigurationskennwort für die RSTS Administrationsoberfläche. Für Test- oder Demonstrationsumgebungen können Sie das Signatur-Zertifikat Redistributable STS Demo nutzen.

  2. Konfigurieren Sie den RSTS.

  3. Erstellen Sie eine OAuth 2.0/OpenID Connect Konfiguration.

    Dabei erstellen Sie einen neuen Identitätsanbieter. Diesen Identitätsanbieter benötigen Sie für die Konfiguration der Authentifizierung mit OAuth 2.0/OpenID Connect.

  4. Konfigurieren Sie die Authentifizierung mit OAuth 2.0/OpenID Connect für das Web Portal.

  5. Konfigurieren Sie die Authentifizierung mit OAuth 2.0/OpenID Connect für die One Identity Manager-Administrationswerkzeuge.

  6. Testen Sie den Zugang zum Web Portal.

    • Nachdem Sie im Web-Browser die URL des Web Portals eingegeben haben, sollten Sie auf die Anmeldeseite des RSTS weitergeleitet werden.

    • Nach der Anmeldung mit Benutzername und Kennwort sollten Sie aufgefordert werden Ihren Defender Token einzugeben.

    Wenn beide Authentifizierungen erfolgreich waren, können Sie mit dem Web Portal arbeiten.

  7. Testen Sie den Zugang zu den One Identity Manager-Administrationswerkzeugen.

    • Starten Sie ein Administrationswerkzeug, beispielsweise das Launchpad, und wählen Sie das Authentifizierungsverfahren OAuth 2.0/OpenID Connect.

    • Nach der Anmeldung mit Benutzername und Kennwort sollten Sie aufgefordert werden Ihren Defender Token einzugeben.

    Wenn beide Authentifizierungen erfolgreich waren, können Sie mit dem Administrationswerkzeug arbeiten.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen