Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Blind SQL-Injection verhindern

Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.

Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.

Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen (Risikowert = 0,0). Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich.

Soll es bestimmten Benutzern möglich sein, sicherheitskritische Abfragen auszuführen, können Sie die Berechtigungen über Berechtigungsgruppen an die Benutzer vergeben.

  • Für die nicht-rollenbasierte Anmeldung wird die Berechtigungsgruppe QBM_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Nehmen Sie die Systembenutzer, die sicherheitskritische Abfragen ausführen dürfen, in die Berechtigungsgruppe auf. Administrative Systembenutzer erhalten diese Berechtigungsgruppe automatisch.

  • Für die rollenbasierte Anmeldung wird die Berechtigungsgruppe QER_4_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Die Berechtigungsgruppe ist mit der Anwendungsrolle Basisrollen | Sicherheitskritische Abfragen verbunden. Nehmen Sie die Personen, die sicherheitskritische Abfragen ausführen dürfen, in die Anwendungsrolle auf.

Mit welchem Risiko die Ausführung von SQL-Anweisungen bewertet wird, können Sie zusätzlich über Konfigurationsparameter steuern.

HINWEIS: Die Konfigurationsparameter wirken nur für Benutzer, die die Programmfunktion Common_AllowRiskyWhereClauses besitzen.

  • Über den Konfigurationsparameter QBM | SQLCheck | RiskEvaluation legen Sie die Risikobewertung der ausgeführten SQL-Anweisungen fest. Zulässige Werte sind:

    • Low: SQL-Anweisungen mit gewissem Risiko sind zulässig.

    • Medium: Das Risiko von SQL-Anweisungen wird in abgeschwächter Höhe bewertet. Somit wird der Schwellwert zur Sperrung des Benutzers später erreicht und es sind mehr Abfragen möglich.

    • Strict: Das Risiko von SQL-Anweisungen wird in voller Höhe bewertet. Eine Sperrung des Benutzers erfolgt aber erst nach Erreichen eines gewissen Schwellwertes.

    Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Risikobewertung mit dem Wert Strict.

  • Über den Konfigurationsparameter QBM | SQLCheck | SubSelect legen Sie fest, wie die Bewertung von SQL-Anweisungen mit Unterabfragen erfolgen soll. Ist der Konfigurationsparameter aktiviert, werden Fundstellen in SQL-Anweisungen mit Unterabfragen als höheres Risiko eingestuft.

Hinweise für kundenspezifische Anpassungen
  • Datenbankabfragen, die beispielsweise auf kundenspezifischen Formularen benötigt werden oder Datenbankabfragen, die über die API des Anwendungsservers ausgeführt werden, müssen im One Identity Manager als vordefinierte Datenbankabfragen formuliert werden. Die Ausführung der Datenbankabfragen erfolgt immer mit den Berechtigungen des angemeldeten Benutzers. Ausführliche Informationen zum Verwenden vordefinierter Datenbankabfragen finden Sie im One Identity Manager Konfigurationshandbuch.

  • Beispiele für die Verwendung von vordefinierten Datenbankabfragen finden Sie auf dem Installationsmedium im Verzeichnis QBM\dvd\AddOn\ApiSamples.

  • Für die alphabetische Darstellung von beispielsweise Personen oder Unternehmensstrukturen können Sie in kundenspezifischen Menüanpassungen die Tabelle QERVFirstUnicodeChar nutzen.

Programmfunktionen zum Starten der One Identity Manager-Werkzeuge

Das Starten der One Identity Manager-Werkzeuge ist nur zulässig, wenn der Benutzer die entsprechenden Programmfunktionen besitzt. Die folgenden Programmfunktionen erlauben das Starten der One Identity Manager-Werkzeuge.

Um den Benutzern die Programmfunktion zur Verfügung zu stellen

  • Prüfen Sie im Designer in der Kategorie Berechtigungen > Programmfunktionen, welche Berechtigungsgruppe die erforderliche Programmfunktion besitzt und weisen Sie bei Bedarf die Programmfunktionen an weitere Berechtigungsgruppen zu.

  • Für nicht-rollenbasierte Anmeldung: Nehmen Sie im Designer in der Kategorie Berechtigungen > Systembenutzer den Systembenutzer in die Berechtigungsgruppe auf.

  • Für rollenbasierte Anmeldung: Stellen Sie sicher, dass der Benutzer der Anwendungsrolle zugewiesen ist, welche die Programmfunktion über ihre Berechtigungsgruppe besitzt.

Tabelle 41: Programmfunktionen zum Starten der One Identity Manager-Werkzeuge

Programmfunktion

Beschreibung

ApplicationStart_Analyzer

Erlaubt das Starten des Programms Analyzer (Analyzer.exe).

ApplicationStart_ConfigWizard

Erlaubt das Starten des Programms Configuration Wizard (ConfigWizard.exe).

ApplicationStart_CryptoConfig

Erlaubt das Starten des Programms Crypto Configuration (CryptoConfig.exe).

ApplicationStart_DataImporter

Erlaubt das Starten des Programms Data Import (DataImporter.exe).

ApplicationStart_DBClone

Erlaubt das Starten des Programms DBClone.exe.

ApplicationStart_DBComparer

Erlaubt das Starten des Programms DBComparer.exe.

ApplicationStart_DBCompiler

Erlaubt das Starten des Programms Database Compiler (DBCompiler.exe).

ApplicationStart_Designer

Erlaubt das Starten des Programms Designer (Designer.exe).

ApplicationStart_JobQueueInfo

Erlaubt das Starten des Programms Job Queue Info (JobQueueInfo.exe).

ApplicationStart_LaunchPad

Erlaubt das Starten des Programms Launchpad (LaunchPad.exe).

ApplicationStart_LicenseMeter

Erlaubt das Starten des Programms License Meter (LicenseMeter.exe).

ApplicationStart_Manager

Erlaubt das Starten des Programms Manager (Manager.exe).

ApplicationStart_ObjectBrowser

Erlaubt das Starten des Programms Object Browser (ObjectBrowser.exe).

ApplicationStart_OpSupport

Erlaubt das Starten des Web Portal für Betriebsunterstützung.

ApplicationStart_ReportEdit

Erlaubt das Starten des Programms Report Editor (ReportEdit2.exe).

ApplicationStart_SchemaExtension

Erlaubt das Starten des Programms Schema Extension (SchemaExtension.exe).

ApplicationStart_ServerInstaller

Erlaubt das Starten des Programms Server Installer (ServerInstaller.exe).

ApplicationStart_SoftwareLoader

Erlaubt das Starten des Programms Software Loader (SoftwareLoader.exe).

ApplicationStart_SynchronizationEditor

Erlaubt das Starten des Programms Synchronization Editor (SynchronizationEditor.exe).

ApplicationStart_SystemDebugger

Erlaubt das Starten des Programms System Debugging (SystemDebugger.exe).

ApplicationStart_Transporter

Erlaubt das Starten des Programms Database Transporter (Transporter.exe).

ApplicationStart_WebDesignerCompiler

Erlaubt das Starten des Programms VI.WebDesigner.CompilerCmd.exe.

ApplicationStart_WebConfig

Erlaubt das Starten des Programms Web Designer Configuration Editor (WebConfigEditor.exe).

ApplicationStart_WebDesigner

Erlaubt das Starten des Programms Web Designer (WebDesigner.exe).

ApplicationStart_WebDesignerInstall

Erlaubt das Starten des Programms Web Installer (WebDesigner.Installer.exe).

Verwandte Themen

Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

HINWEIS:

  • Verbindungen, die nicht die erwartete Berechtigungsebene für SQL Server-Anmeldungen verwenden, werden nicht im Verbindungsdialog angezeigt.

  • Wenn Sie im Verbindungsdialog eine vorhandene Datenbankverbindung wählen, wird die Berechtigungsebene der verwendeten Anmeldung im Tooltipp angezeigt.

Die folgenden minimalen Berechtigungsebenen werden für die One Identity Manager-Werkzeuge benötigt.

Tabelle 42: Berechtigungsebenen der One Identity Manager-Werkzeuge
Werkzeug Minimale Berechtigungsebene

Analyzer

Endbenutzer

Anwendungsserver

Endbenutzer oder Konfigurationsbenutzer (abhängig von der Aufgabe des Anwendungsservers)

API Server

Endbenutzer

Configuration Wizard

Administrativer Benutzer

Crypto Configuration

Konfigurationsbenutzer

Data Import

Endbenutzer

Konfigurationsbenutzer (Speichern der Importdefinition)

Database Transporter

Konfigurationsbenutzer

Database Compiler

Konfigurationsbenutzer

DBClone

Administrativer Benutzer

DBComparer

Konfigurationsbenutzer

Designer

Konfigurationsbenutzer

Einige Konsistenzprüfungen benötigen die Berechtigungsebene für administrative Benutzer.

Job Queue Info

Konfigurationsbenutzer

Launchpad

Endbenutzer

Einige der Anwendungen, die aus dem Launchpad gestartet werden, benötigen abweichende Berechtigungsebenen.

License Meter

Endbenutzer

Manager

Endbenutzer

Einige Funktionen benötigen die Berechtigungsebene für Konfigurationsbenutzer, beispielsweise das Öffnen der Synchronisationsprojekte für Zielsysteme. Einige Konsistenzprüfungen benötigen die Berechtigungsebene für Konfigurationsbenutzer oder administrative Benutzer.

HistoryDB Manager

Endbenutzer

Object Browser

Endbenutzer

One Identity Manager Service

Konfigurationsbenutzer für die Prozessabholung über MSSQLJobProvider

Report Editor

Konfigurationsbenutzer

Schema Extension

Konfigurationsbenutzer

Server Installer

Konfigurationsbenutzer

Software Loader

Konfigurationsbenutzer

Synchronization Editor

Konfigurationsbenutzer

System Debugger

Konfigurationsbenutzer

Web Designer

Konfigurationsbenutzer

Web Designer Configuration Editor

Konfigurationsbenutzer

Web Portal

Endbenutzer

Kennwortrücksetzungsportal

Endbenutzer

Web Portal für Betriebsunterstützung

Endbenutzer

AppServer.Installer.CMD.exe

Konfigurationsbenutzer

AutoUpdate.exe

Konfigurationsbenutzer

DBCompilerCMD.exe

Konfigurationsbenutzer

DBConsCheckCmd.exe

Endbenutzer

Einige Konsistenzprüfungen benötigen die Berechtigungsebene für Konfigurationsbenutzer oder administrative Benutzer.

DataImporterCMD.exe

Endbenutzer

DBTransporterCMD.exe

Konfigurationsbenutzer

Quantum.MigratorCmd.exe

Administrativer Benutzer

SchemaExtensionCmd.exe

Konfigurationsbenutzer

SoftwareLoaderCMD.exe

Konfigurationsbenutzer

VI.WebDesigner.CompilerCmd.exe

Konfigurationsbenutzer

WebDesigner.InstallerCMD.exe

Konfigurationsbenutzer

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen