Chat now with support
Chat mit Support

Identity Manager 9.1.1 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

HTTP Header

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-on Lösungen, die mit einer Proxy-basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Berechtigungen werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter SysConfig | Logon | DefaultUser ermittelt.

Datenänderungen werden der angemeldeten Person zugeordnet.

HTTP Header (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-on Lösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

  • Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

  • Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

OAuth 2.0/OpenID Connect

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist der Systembenutzer eingetragen.

  • Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und Berechtigungen werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

HINWEIS: Wenn für den Claim-Wert keine passende Person gefunden wird, sucht das Authentifizierungsmodul den Claim-Wert in den zulässigen Anmeldungen der Systembenutzer (DialogUser.AuthentifierLogons). Gibt es dort einen Eintrag, wird dieser Systembenutzer angemeldet. Für Zuordnung von Datenänderungen werden die Werte aus den entsprechenden Claims genutzt. Wenn eine passende Person gefunden wird, wird der Fallback nicht mehr angewendet.

Verwandte Themen

OAuth 2.0/OpenID Connect (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

  • Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • Die Person ist mindestens einer Anwendungsrolle zugewiesen.

  • Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

HINWEIS: Wenn für den Claim-Wert keine passende Person gefunden wird, sucht das Authentifizierungsmodul den Claim-Wert in den zulässigen Anmeldungen der Systembenutzer (DialogUser.AuthentifierLogons). Gibt es dort einen Eintrag, wird dieser Systembenutzer angemeldet. Für Zuordnung von Datenänderungen werden die Werte aus den entsprechenden Claims genutzt. Wenn eine passende Person gefunden wird, wird der Fallback nicht mehr angewendet.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen