Chat now with support
Chat mit Support

Identity Manager 9.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Eigenschaften von Authentifizierungsmodulen

Tabelle 33: Eigenschaften von Authentifizierungsmodulen
Eigenschaft Bedeutung

Aktiviert

Gibt an, ob das Authentifizierungsmoduls zur Verwendung aktiviert ist.

Anzeigename

Anzeigename zur Anzeige des Authentifizierungsmoduls im Verbindungsdialog der Administrationswerkzeuge.

Authentifizierungsmodul

Interner Name des Authentifizierungsmoduls.

Authentifizierungstyp

Typ des Authentifizierungsmoduls. Zur Auswahl stehen Dynamisch und Rollenbasiert.

Bearbeitungsstatus

Der Bearbeitungsstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt.

Initiale Daten

Initiale Daten für die Anmeldung mit diesem Authentifizierungsmodul.

Syntax:

Property1=Value1;Property2=Value2

Beispiel:

User=<user name>;Password=<password>

Klasse

Klasse des Authentifizierungsmoduls.

Name des Assemblies

Name des Assemblies.

Reihenfolge

Reihenfolge für die Anzeige im Anmeldedialog.

Single Sign-On

Gibt an, ob das Authentifizierungsmodul ohne Angabe eines Kennwortes authentifizieren darf.

Wählbar im Frontend

Gibt an, ob das Authentifizierungsmodul im Anmeldedialog zur Auswahl angeboten werden soll.

Verwandte Themen

Initiale Daten für Authentifizierungsmodule

Die Authentifizierungsdaten werden aus dem Authentifizierungsmodul und seinen Parameter mit den Werten gebildet. Für die Parameter und ihre Werte können Sie initiale Daten vorgeben. Die initialen Daten werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.

Syntax für Authentifizierungsdaten:

Module=<Authenticiation module>;<Property1>=<Value1>;<Property2>=<Value2>,…

Beispiel:

Module=DialogUser;User=<user name>;Password=<password>

Tabelle 34: Authentifizierungsdaten für Authentifizierungsmodule
Authentifizierungsmodul Anzeigename Parameter und Bedeutung

DialogUser

Systembenutzer

User: Benutzername

Password: Kennwort des Benutzers.

ADSAccount

Active Directory Benutzerkonto

Keine Parameter erforderlich.

DynamicADSAccount

Active Directory Benutzerkonto (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

DynamicManualADS

Active Directory Benutzerkonto (manuelle Eingabe)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

RoleBasedADSAccount

Active Directory Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

RoleBasedManualADS

Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

Person

Identität

User: Zentrales Benutzerkonto der Identität.

Password: Kennwort des Benutzers.

DynamicPerson

Identität (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername.

Password: Kennwort des Benutzers.

RoleBasedPerson

Identität (rollenbasiert)

User: Benutzername.

Password: Kennwort des Benutzers.

HTTPHeader

HTTP Header

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

RoleBasedHTTPHeader

HTTP Header (rollenbasiert)

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

DynamicLdap

LDAP Benutzerkonto (dynamisch)

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedLdap

 

LDAP Benutzerkonto (rollenbasiert)

 

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedGeneric

Single Sign-on generisch (rollenbasiert)

SearchTable: Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK mit der Bezeichnung UID_Person enthalten, der auf die Tabelle Person zeigt.

SearchColumn: Spalte aus der SearchTable, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird.

DisabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren.

EnabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten.

OAuth

OAuth 2.0/OpenID Connect

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

OAuthRoleBased

OAuth 2.0/OpenID Connect (rollenbasiert)

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

DialogUserAccountBased

Kontobasierter Systembenutzer

Keine Parameter erforderlich.

QERAccount

Benutzerkonto

Keine Parameter erforderlich.

RoleBasedQERAccount

Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

RoleBasedManualQERAccount

Benutzerkonto (manuelle Eingabe/rollenbasiert)

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

PasswordReset

Kennwortrücksetzung

Keine Parameter erforderlich.

RoleBasedPasswordReset

Kennwortrücksetzung (rollenbasiert)

Keine Parameter erforderlich.

DecentralizedId

 

Dezentrale Identität

 

Email: Standard-E-Mail-Adresse der Identität (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Identität (Person.ContactEmail).

Identifier: Dezentrale Identität der Identität (Person.DecentralizedIdentifier).

RoleBasedDecentralizedId

 

Dezentrale Identität (rollenbasiert)

 

Email: Standard-E-Mail-Adresse der Identität (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Identität (Person.ContactEmail).

Identifier: Dezentrale Identität der Identität (Person.DecentralizedIdentifier).

Token

 

 

 

Internes Authentifizierungsmodul im Anwendungsserver für die Authentifizierung über OAuth 2.0/OpenID Connect Zugriffstoken. Weitere Informationen finden Sie unter OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers.

URL: URL des Anwendungsservers

ClientId: ID der Anwendung beim Identitätsanbieter.

ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt.

TokenEndpoint: URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung

Verwandte Themen

Konfigurationsdaten zur dynamischen Ermittlung eines Systembenutzers

Bei den dynamischen Authentifizierungsmodulen wird nicht der an einer Identität direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern der anzuwendende Systembenutzer über spezielle Konfigurationsdaten der Benutzeroberfläche bestimmt.

TIPP: Aktivieren Sie für Systembenutzer, die für dynamische Authentifizierungsmodule verwendet werden, die Option Für direkte Anmeldung gesperrt. Damit wird eine direkte Anmeldung an den One Identity Manager-Werkzeugen mit diesen Systembenutzern verhindert.

Um Konfigurationsdaten festzulegen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Anwendungen.

  2. Wählen Sie die Anwendung und passen Sie die Konfigurationsdaten an.

Die Konfigurationsdaten erfassen Sie in XML-Syntax:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

<Usermapping

DialogUser = "Name des Systembenutzers"

/>

...

</Usermappings>

</DialogUserDetect>

In der Sektion Usermappings geben Sie die Systembenutzer (DialogUser) an. Über ein Auswahlkriterium (Selection) legen Sie fest, welche Identitäten den angegebenen Systembenutzer verwenden sollen. Die Angabe eines Auswahlkriteriums für die Zuordnung ist nicht zwingend erforderlich. Es wird der Systembenutzer aus der ersten zutreffenden Zuordnung zur Anmeldung verwendet.

Für eine komplexe Berechtigungs- und Benutzeroberflächenstruktur können Sie eine Zuordnung von Funktionsgruppen zu Berechtigungsgruppen vornehmen. Über Funktionsgruppen bilden Sie die Funktionen der Identitäten in einem Unternehmen ab, beispielsweise IT Controller oder Niederlassungsleiter. Die Funktionsgruppen ordnen Sie den Berechtigungsgruppen zu. Eine Funktionsgruppe kann auf mehrere Berechtigungsgruppen verweisen und es können mehrere Funktionsgruppen auf eine Berechtigungsgruppe verweisen.

Ist die Sektion FunctionGroupMapping in den Konfigurationsdaten enthalten, so wird diese zuerst ausgewertet und der ermittelte Systembenutzer verwendet. Das Authentifizierungsmodul verwendet den Systembenutzer zur Anmeldung, der genau in den ermittelten Berechtigungsgruppen Mitglied ist. Wird so kein Systembenutzer ermittelt, wird die Sektion Usermapping ausgewertet.

<DialogUserDetect>

<FunctionGroupMapping

PersonToFunction = "View Mapping Identität auf Funktionsgruppe"

FunctionToGroup = "View Mapping Funktionsgruppe auf Berechtigungsgruppe"

/>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

...

</Usermappings>

</DialogUserDetect>

Verwandte Themen

Beispiel für eine einfache Zuordnung zum Systembenutzer

In einem Webfrontend soll die Benutzeroberfläche für den IT Shop für alle Identitäten, ohne Berücksichtigung von Rechten auf Tabellen und Spalten angezeigt werden.

Dazu richten Sie eine neue Anwendung ein, beispielsweise WebShop_Customer_Prd, und passen die Konfigurationsdaten wie folgt an:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "dlg_all"

/>

</Usermappings>

</DialogUserDetect>

Legen Sie eine neue Berechtigungsgruppe WebShop_Customer_Grp an, welche die Benutzeroberfläche für die Anwendung, bestehend aus den Menüeinträgen, Oberflächenformularen und Methodendefinitionen, erhält. Die Benutzeroberfläche könnte aus den folgenden Menüeinträgen bestehen:

  • Kontaktdaten des Mitarbeiters

  • Bestellen eines Artikels

  • Abbestellen eines Artikels

Definieren Sie einen neuen Systembenutzer dlg_all und nehmen Sie diesen in die Berechtigungsgruppen vi_DE-CentralPwd, vi_DE-ITShopOrder und WebShop_Customer_Grp auf.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen