| Eigenschaft | Bedeutung |
|---|---|
|
Aktiviert |
Gibt an, ob das Authentifizierungsmoduls zur Verwendung aktiviert ist. |
|
Anzeigename |
Anzeigename zur Anzeige des Authentifizierungsmoduls im Verbindungsdialog der Administrationswerkzeuge. |
|
Authentifizierungsmodul |
Interner Name des Authentifizierungsmoduls. |
|
Authentifizierungstyp |
Typ des Authentifizierungsmoduls. Zur Auswahl stehen Dynamisch und Rollenbasiert. |
|
Bearbeitungsstatus |
Der Bearbeitungsstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt. |
|
Initiale Daten |
Initiale Daten für die Anmeldung mit diesem Authentifizierungsmodul. Syntax: Property1=Value1;Property2=Value2 Beispiel: User=<user name>;Password=<password> |
|
Klasse |
Klasse des Authentifizierungsmoduls. |
|
Name des Assemblies |
Name des Assemblies. |
|
Reihenfolge |
Reihenfolge für die Anzeige im Anmeldedialog. |
|
Single Sign-On |
Gibt an, ob das Authentifizierungsmodul ohne Angabe eines Kennwortes authentifizieren darf. |
|
Wählbar im Frontend |
Gibt an, ob das Authentifizierungsmodul im Anmeldedialog zur Auswahl angeboten werden soll. |
Über dieses Handbuch
One Identity Manager Anwendungsrollen
Überblick über die Anwendungsrollen
Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen
Anwendungsrollen für Basisfunktionen
Anwendungsrollen für das Web Portal für Betriebsunterstützung
Anwendungsrolle für Compliance & Security Officer
Anwendungsrolle für Auditoren
Anwendungsrollen für Identity Audit
Anwendungsrollen für Unternehmensrichtlinien
Anwendungsrollen für Attestierung
Anwendungsrolle für abonnierbare Berichte
Anwendungsrolle für Führungsebene
Anwendungsrollen für Geschäftsrollen
Anwendungsrollen für Organisationen
Anwendungsrolle für Anwendungsrollen
Anwendungsrolle für Personenadministratoren
Anwendungsrollen für IT Shop
Anwendungsrollen für Zielsysteme
Anwendungsrollen für das Universal Cloud Interface
Anwendungsrolle für Privileged Account Governance
Anwendungsrollen für Application Governance
Anwendungsrollen für benutzerspezifische Aufgaben
Inbetriebnahme der Anwendungsrollen
Anwendungsrollen erstellen und bearbeiten
Stammdaten von Anwendungsrollen
Personen an Anwendungsrollen zuweisen
Unternehmensspezifische Erweiterung der Berechtigungen von Anwendungsrollen
Dynamische Rollen für Anwendungsrollen erstellen und bearbeiten
Festlegen sich gegenseitig ausschließender Anwendungsrollen
Abonnierbare Berichte an Anwendungsrollen zuweisen
Zusatzeigenschaften an Anwendungsrollen zuweisen
Zuweisungsressourcen für Anwendungsrollen erzeugen
Zertifizierung von Anwendungsrollen
Berichte über Anwendungsrollen
Vordefinierte Berechtigungsgruppen und Systembenutzer
Regeln für die Ermittlung der gültigen Berechtigungen für Tabellen und Spalten
Bearbeitung von Berechtigungsgruppen
Steuern von Berechtigungen über Programmfunktionen
Abhängigkeiten zwischen Berechtigungsgruppen
Abhängigkeiten zwischen Berechtigungsgruppen bearbeiten
Berechtigungsgruppen kopieren
Berechtigungsgruppen erstellen
Eigenschaften von Berechtigungsgruppen
Bearbeitung von Systembenutzern
Systembenutzer erstellen
Kennwörter von Systembenutzern
Eigenschaften von Systembenutzern
Systembenutzer in Berechtigungsgruppen aufnehmen
Welche Personen verwenden den Systembenutzer?
Dynamische Systembenutzer
Berechtigungen für Tabellen und Spalten
Berechtigungen von Berechtigungsgruppen anzeigen
Berechtigungen für Tabellen anzeigen
Tabellenberechtigungen bearbeiten
Spaltenberechtigungen bearbeiten
Tabellenberechtigungen und Spaltenberechtigungen kopieren
Berechtigungen für Systembenutzer simulieren
Berechtigungen für Objekte anzeigen
Berechtigungen der angemeldeten Benutzer anzeigen
Rollenbasierte Berechtigungsgruppen an Anwendungen zuweisen
Programmfunktionen des angemeldeten Benutzers anzeigen
Programmfunktionen an Berechtigungsgruppen zuweisen
Berechtigungen zum Ausführen von Skripten
Berechtigungen zum Ausführen von Methoden
Berechtigungen zum Auslösen von Prozessen
Berechtigungen zum Ausführen von Aktionen im Launchpad
One Identity Manager Authentifizierungsmodule
Systembenutzer
Single Sign-on generisch (rollenbasiert)
Person
Person (rollenbasiert)
Person (dynamisch)
Benutzerkonto
Benutzerkonto (rollenbasiert)
Benutzerkonto (manuelle Eingabe/rollenbasiert)
Kontobasierter Systembenutzer
Active Directory Benutzerkonto
Active Directory Benutzerkonto (rollenbasiert)
Active Directory Benutzerkonto (manuelle Eingabe)
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)
Active Directory Benutzerkonto (dynamisch)
LDAP Benutzerkonto (rollenbasiert)
LDAP Benutzerkonto (dynamisch)
HTTP Header
HTTP Header (rollenbasiert)
OAuth 2.0/OpenID Connect
OAuth 2.0/OpenID Connect (rollenbasiert)
Synchronisationsauthenticator
Web Agent Authenticator
Component Authenticator
Crawler
Kennwortrücksetzung
Kennwortrücksetzung (rollenbasiert)
Dezentrale Identität
Dezentrale Identität (rollenbasiert)
Bearbeiten der Authentifizierungsmodule
OAuth 2.0/OpenID Connect Authentifizierung
Authentifizierungsmodule aktivieren
Authentifizierungsmodule zu Anwendungen zuweisen
Authentifizierungsmodule für Anwendungen deaktivieren oder aktivieren
Eigenschaften von Authentifizierungsmodulen
Initiale Daten für Authentifizierungsmodule
Konfigurationsdaten zur dynamischen Ermittlung eines Systembenutzers
Überprüfung der Authentifizierung
Ablauf der OAuth 2.0/OpenID Connect Authentifizierung
OAuth 2.0/OpenID Connect Konfiguration erstellen
OAuth 2.0/OpenID Connect Konfiguration an Webanwendungen zuweisen
Konfiguration des Identitätsanbieters und der OAuth 2.0/OpenID Connect Anwendungen anzeigen
Aktivierende und deaktivierende Spalten für die Anmeldung festlegen
Informationen für OAuth 2.0/OpenID Connect Authentifizierung aufzeichnen
OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers
Multifaktor-Authentifizierung im One Identity Manager
Abgestufte Berechtigungen für SQL Server und Datenbank
Anmeldungen für den Datenbankserver anzeigen
Berechtigungsebene des Benutzers anzeigen
Berechtigungen der Serverrollen und der Datenbankrollen anzeigen
One Identity Redistributable STS installieren
Blind SQL-Injection verhindern
Programmfunktionen zum Starten der One Identity Manager-Werkzeuge
Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge
Eigenschaften von Authentifizierungsmodulen
Initiale Daten für Authentifizierungsmodule
Die Authentifizierungsdaten werden aus dem Authentifizierungsmodul und seinen Parameter mit den Werten gebildet. Für die Parameter und ihre Werte können Sie initiale Daten vorgeben. Die initialen Daten werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.
Syntax für Authentifizierungsdaten:
Module=<Authenticiation module>;<Property1>=<Value1>;<Property2>=<Value2>,…
Beispiel:
Module=DialogUser;User=<user name>;Password=<password>
Initiale Daten für Authentifizierungsmodule festlegenUm initiale Daten für Authentifizierungsmodule festzulegen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.
-
Wählen Sie das Authentifizierungsmodul und geben Sie im Eingabefeld Initiale Daten die Daten ein.
Syntax:
Property1=Value1;Property2=Value2
Beispiel:
User=<user name>;Password=<password>
| Authentifizierungsmodul | Anzeigename | Parameter und Bedeutung |
|---|---|---|
|
DialogUser |
Systembenutzer |
User: Benutzername Password: Kennwort des Benutzers. |
|
ADSAccount |
Active Directory Benutzerkonto |
Keine Parameter erforderlich. |
|
DynamicADSAccount |
Active Directory Benutzerkonto (dynamisch) |
Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. |
|
DynamicManualADS |
Active Directory Benutzerkonto (manuelle Eingabe) |
Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an. Password: Kennwort des Benutzers. |
|
RoleBasedADSAccount |
Active Directory Benutzerkonto (rollenbasiert) |
Keine Parameter erforderlich. |
|
RoleBasedManualADS |
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert) |
User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an. Password: Kennwort des Benutzers. |
|
Person |
Person |
User: Zentrales Benutzerkonto der Person. Password: Kennwort des Benutzers. |
|
DynamicPerson |
Person (dynamisch) |
Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. User: Benutzername. Password: Kennwort des Benutzers. |
|
RoleBasedPerson |
Person (rollenbasiert) |
User: Benutzername. Password: Kennwort des Benutzers. |
|
HTTPHeader |
HTTP Header |
Header: Zu nutzender HTTP Header. KeyColumn: Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll. Standard: CentralAccount, PersonnelNumber |
|
RoleBasedHTTPHeader |
HTTP Header (rollenbasiert) |
Header: Zu nutzender HTTP Header. KeyColumn: Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll. Standard: CentralAccount, PersonnelNumber |
|
DynamicLdap |
LDAP Benutzerkonto (dynamisch) |
User: Benutzername. Standard: CN, DistinguishedName, UserID, UIDLDAP Password: Kennwort des Benutzers. |
|
RoleBasedLdap
|
LDAP Benutzerkonto (rollenbasiert)
|
User: Benutzername. Standard: CN, DistinguishedName, UserID, UIDLDAP Password: Kennwort des Benutzers. |
|
RoleBasedGeneric |
Single Sign-on generisch (rollenbasiert) |
SearchTable: Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK mit der Bezeichnung UID_Person enthalten, der auf die Tabelle Person zeigt. SearchColumn: Spalte aus der SearchTable, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. DisabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren. EnabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten. |
|
OAuth |
OAuth 2.0/OpenID Connect |
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. |
|
OAuthRoleBased |
OAuth 2.0/OpenID Connect (rollenbasiert) |
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. |
|
DialogUserAccountBased |
Kontobasierter Systembenutzer |
Keine Parameter erforderlich. |
|
QERAccount |
Benutzerkonto |
Keine Parameter erforderlich. |
|
RoleBasedQERAccount |
Benutzerkonto (rollenbasiert) |
Keine Parameter erforderlich. |
|
RoleBasedManualQERAccount |
Benutzerkonto (manuelle Eingabe/rollenbasiert) |
User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an. Password: Kennwort des Benutzers. |
|
PasswordReset |
Kennwortrücksetzung |
Keine Parameter erforderlich. |
|
RoleBasedPasswordReset |
Kennwortrücksetzung (rollenbasiert) |
Keine Parameter erforderlich. |
|
DecentralizedId
|
Dezentrale Identität
|
Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail) Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier). |
|
RoleBasedDecentralizedId
|
Dezentrale Identität (rollenbasiert)
|
Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail) Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier). |
|
Token
|
|
Internes Authentifizierungsmodul im Anwendungsserver für die Authentifizierung über OAuth 2.0/OpenID Connect Zugriffstoken. Weitere Informationen finden Sie unter OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers. URL: URL des Anwendungsservers ClientId: ID der Anwendung beim Identitätsanbieter. ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt. TokenEndpoint: URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung |
Verwandte Themen
Konfigurationsdaten zur dynamischen Ermittlung eines Systembenutzers
Bei den dynamischen Authentifizierungsmodulen wird nicht der an einer Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern der anzuwendende Systembenutzer über spezielle Konfigurationsdaten der Benutzeroberfläche bestimmt.
TIPP: Aktivieren Sie für Systembenutzer, die für dynamische Authentifizierungsmodule verwendet werden, die Option Für direkte Anmeldung gesperrt. Damit wird eine direkte Anmeldung an den One Identity Manager-Werkzeugen mit diesen Systembenutzern verhindert.
Um Konfigurationsdaten festzulegen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Anwendungen.
-
Wählen Sie die Anwendung und passen Sie die Konfigurationsdaten an.
Die Konfigurationsdaten erfassen Sie in XML-Syntax:
<DialogUserDetect>
<Usermappings>
<Usermapping
DialogUser = "Name des Systembenutzers"
Selection = "Auswahlkriterium"
/>
<Usermapping
DialogUser = "Name des Systembenutzers"
/>
...
</Usermappings>
</DialogUserDetect>
In der Sektion Usermappings geben Sie die Systembenutzer (DialogUser) an. Über ein Auswahlkriterium (Selection) legen Sie fest, welche Personen den angegebenen Systembenutzer verwenden sollen. Die Angabe eines Auswahlkriteriums für die Zuordnung ist nicht zwingend erforderlich. Es wird der Systembenutzer aus der ersten zutreffenden Zuordnung zur Anmeldung verwendet.
Für eine komplexe Berechtigungs- und Benutzeroberflächenstruktur können Sie eine Zuordnung von Funktionsgruppen zu Berechtigungsgruppen vornehmen. Über Funktionsgruppen bilden Sie die Funktionen der Personen in einem Unternehmen ab, beispielsweise IT Controller oder Niederlassungsleiter. Die Funktionsgruppen ordnen Sie den Berechtigungsgruppen zu. Eine Funktionsgruppe kann auf mehrere Berechtigungsgruppen verweisen und es können mehrere Funktionsgruppen auf eine Berechtigungsgruppe verweisen.
Ist die Sektion FunctionGroupMapping in den Konfigurationsdaten enthalten, so wird diese zuerst ausgewertet und der ermittelte Systembenutzer verwendet. Das Authentifizierungsmodul verwendet den Systembenutzer zur Anmeldung, der genau in den ermittelten Berechtigungsgruppen Mitglied ist. Wird so kein Systembenutzer ermittelt, wird die Sektion Usermapping ausgewertet.
<DialogUserDetect>
<FunctionGroupMapping
PersonToFunction = "View Mapping Person auf Funktionsgruppe"
FunctionToGroup = "View Mapping Funktionsgruppe auf Berechtigungsgruppe"
/>
<Usermappings>
<Usermapping
DialogUser = "Name des Systembenutzers"
Selection = "Auswahlkriterium"
/>
...
</Usermappings>
</DialogUserDetect>
Verwandte Themen
Beispiel für eine einfache Zuordnung zum Systembenutzer
In einem Webfrontend soll die Benutzeroberfläche für den IT Shop für alle Personen, ohne Berücksichtigung von Rechten auf Tabellen und Spalten angezeigt werden.
Dazu richten Sie eine neue Anwendung ein, beispielsweise WebShop_Customer_Prd, und passen die Konfigurationsdaten wie folgt an:
<DialogUserDetect>
<Usermappings>
<Usermapping
DialogUser = "dlg_all"
/>
</Usermappings>
</DialogUserDetect>
Legen Sie eine neue Berechtigungsgruppe WebShop_Customer_Grp an, welche die Benutzeroberfläche für die Anwendung, bestehend aus den Menüeinträgen, Oberflächenformularen und Methodendefinitionen, erhält. Die Benutzeroberfläche könnte aus den folgenden Menüeinträgen bestehen:
-
Kontaktdaten des Mitarbeiters
-
Bestellen eines Artikels
-
Abbestellen eines Artikels
Definieren Sie einen neuen Systembenutzer dlg_all und nehmen Sie diesen in die Berechtigungsgruppen vi_DE-CentralPwd, vi_DE-ITShopOrder und WebShop_Customer_Grp auf.