Chat now with support
Chat mit Support

Identity Manager 9.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

One Identity Redistributable Secure Token Server installieren

Sie können mehrere Instanzen des Redistributable Secure Token Server auf einem Server installieren.

Um den Redistributable Secure Token Server zu installieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Wechseln Sie auf den Tabreiter Andere Produkte.

  3. Wählen Sie One Identity Redistributable STS und klicken Sie Installieren.

  4. Auf der Startseite des Installationsassistenten klicken Sie Weiter.

  5. Auf der Seite Deinstallation des STS haben Sie die Möglichkeit, einen vorhandenen STS-Dienst zu deinstallieren oder eine weitere Instanz des Redistributable STS zu installieren.

    HINWEIS: Die Seite wird nur angezeigt, wenn Sie bereits einen STS-Dienst installiert haben.

    • Wählen Sie Eine neue Instanz des Secure Token Server installieren, um eine weitere Instanz zu installieren und klicken Sie Weiter.

  6. Auf der Seite Datenbank auswählen wählen Sie die One Identity Manager-Datenbankverbindung. Verwenden Sie zur Anmeldung einen Benutzer, der mindestens administrative Berechtigungen auf die Datenbank hat.

    • Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.

      - ODER -

    • Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.

  7. Auf der Seite Einstellungen für die Installation erfassen Sie alle erforderlichen Informationen.

    • Installationsordner: Wählen Sie das Verzeichnis, in dem der STS installiert werden soll.

    • Signatur-Zertifikat: Dieses Zertifikat wird zur Signierung von Authentifizierungsantworten verwendet.

    • SSL-Zertifikat: Dieses Zertifikat wird für die SSL-Transportverschlüsselung verwendet. Wenn am IIS bereits eine SSL-Webseite eingerichtet ist, wird die SSL-Konfiguration des IIS verwendet.

      HINWEIS: Das Zertifikat Redistributable STS Demo (nur zu Testzwecken) darf nur zu Testzwecken eingesetzt werden.

    • URL: Legen Sie die URL fest, unter der der STS erreichbar ist.

    • Client-Kennung: Geben Sie die Client-Kennung ein.

    • Konfigurationskennwort und Kennwortwiederholung: Erfassen Sie ein Kennwort, mit dem Sie später über die RSTS Administrationsoberfläche auf die Konfiguration des STS zugreifen können.

    • Benutzerkonto: Der STS-Dienst wird unter den hier angegebenem Benutzerkonto ausgeführt. Es muss ein Domänenkonto verwendet werden, wenn Kerberos-Authentifizierung unterstützt werden soll. Beachten Sie, dass das Benutzerkonto das Benutzerrecht besitzen muss, sich als Dienst anzumelden. Erfassen Sie den Benutzernamen und das Kennwort.

  8. Auf der Seite Identitätsanbieter konfigurieren Sie den RSTS als Identitätsanbieter für One Identity Manager.

    • Name des Identitätsanbieters: Geben Sie einen Namen des Identitätsanbieters ein.

    • Standard-OAuth 2.0/OpenID Connect Anwendung einrichten: Legen Sie fest, ob der Identitätsanbieter in der One Identity Manager erstellt und konfiguriert werden soll. Aktivieren Sie die Option, um eine OAuth 2.0/OpenID Connect Konfiguration zu erstellen.

  9. Auf der Seite Installation sehen den Installationsfortschritt. Wenn die Installation beendet ist, klicken Sie Weiter.

  10. Um den Installationsassistenten zu beenden, klicken Sie Fertig.

HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung Redistributable Secure Token Server in der Dienstverwaltung des Servers eingetragen. Weitere Instanzen des Dienstes werden mit einer fortlaufenden Nummerierung in der Dienstverwaltung des Servers eingetragen, beispielsweise mit der Bezeichnung Redistributable Secure Token Server1, Redistributable Secure Token Server2 und so weiter.

Verwandte Themen

One Identity Redistributable Secure Token Server aktualisieren und deinstallieren

Wenn Sie mehrere Instanzen des Dienstes installiert haben, können Sie die Instanz wählen, die deinstalliert werden soll. Um den RSTS zu aktualisieren, deinstallieren Sie vorhandenen Dienst und installieren Sie anschließend den Dienst neu.

Um einen Redistributable Secure Token Service zu deinstallieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Wechseln Sie auf den Tabreiter Andere Produkte.

  3. Wählen Sie One Identity Redistributable STS und klicken Sie Installieren.

  4. Auf der Startseite des Installationsassistenten klicken Sie Weiter.

  5. Auf der Seite Deinstallation des STS wählen Sie die Instanz, die Sie deinstallieren möchten und klicken Sie Weiter.

  6. Auf der Seite Installation sehen den Fortschritt der Deinstallation. Wenn die Deinstallation beendet ist, klicken Sie Weiter.

  7. Um den Installationsassistenten zu beenden, klicken Sie Fertig.

Verwandte Themen

Blind SQL-Injection verhindern

Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.

Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.

Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen (Risikowert = 0,0). Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich.

Soll es bestimmten Benutzern möglich sein, sicherheitskritische Abfragen auszuführen, können Sie die Berechtigungen über Berechtigungsgruppen an die Benutzer vergeben.

  • Für die nicht-rollenbasierte Anmeldung wird die Berechtigungsgruppe QBM_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Nehmen Sie die Systembenutzer, die sicherheitskritische Abfragen ausführen dürfen, in die Berechtigungsgruppe auf. Administrative Systembenutzer erhalten diese Berechtigungsgruppe automatisch.

  • Für die rollenbasierte Anmeldung wird die Berechtigungsgruppe QER_4_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Die Berechtigungsgruppe ist mit der Anwendungsrolle Basisrollen | Sicherheitskritische Abfragen verbunden. Nehmen Sie die Identitäten, die sicherheitskritische Abfragen ausführen dürfen, in die Anwendungsrolle auf.

Mit welchem Risiko die Ausführung von SQL-Anweisungen bewertet wird, können Sie zusätzlich über Konfigurationsparameter steuern.

HINWEIS: Die Konfigurationsparameter wirken nur für Benutzer, die die Programmfunktion Common_AllowRiskyWhereClauses besitzen.

  • Über den Konfigurationsparameter QBM | SQLCheck | RiskEvaluation legen Sie die Risikobewertung der ausgeführten SQL-Anweisungen fest. Zulässige Werte sind:

    • Low: SQL-Anweisungen mit gewissem Risiko sind zulässig.

    • Medium: Das Risiko von SQL-Anweisungen wird in abgeschwächter Höhe bewertet. Somit wird der Schwellwert zur Sperrung des Benutzers später erreicht und es sind mehr Abfragen möglich.

    • Strict: Das Risiko von SQL-Anweisungen wird in voller Höhe bewertet. Eine Sperrung des Benutzers erfolgt aber erst nach Erreichen eines gewissen Schwellwertes.

    Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Risikobewertung mit dem Wert Strict.

  • Über den Konfigurationsparameter QBM | SQLCheck | SubSelect legen Sie fest, wie die Bewertung von SQL-Anweisungen mit Unterabfragen erfolgen soll. Ist der Konfigurationsparameter aktiviert, werden Fundstellen in SQL-Anweisungen mit Unterabfragen als höheres Risiko eingestuft.

Hinweise für kundenspezifische Anpassungen

  • Datenbankabfragen, die beispielsweise auf kundenspezifischen Formularen benötigt werden oder Datenbankabfragen, die über die API des Anwendungsservers ausgeführt werden, müssen im One Identity Manager als vordefinierte Datenbankabfragen formuliert werden. Die Ausführung der Datenbankabfragen erfolgt immer mit den Berechtigungen des angemeldeten Benutzers. Ausführliche Informationen zum Verwenden vordefinierter Datenbankabfragen finden Sie im One Identity Manager Konfigurationshandbuch.

  • Beispiele für die Verwendung von vordefinierten Datenbankabfragen finden Sie auf dem Installationsmedium im Verzeichnis QBM\dvd\AddOn\ApiSamples.

  • Für die alphabetische Darstellung von beispielsweise Identitäten oder Unternehmensstrukturen können Sie in kundenspezifischen Menüanpassungen die Tabelle QERVFirstUnicodeChar nutzen.

Programmfunktionen zum Starten der One Identity Manager-Werkzeuge

Das Starten der One Identity Manager-Werkzeuge ist nur zulässig, wenn der Benutzer die entsprechenden Programmfunktionen besitzt. Die folgenden Programmfunktionen erlauben das Starten der One Identity Manager-Werkzeuge.

Um den Benutzern die Programmfunktion zur Verfügung zu stellen

  • Prüfen Sie im Designer in der Kategorie Berechtigungen > Programmfunktionen, welche Berechtigungsgruppe die erforderliche Programmfunktion besitzt und weisen Sie bei Bedarf die Programmfunktionen an weitere Berechtigungsgruppen zu.

  • Für nicht-rollenbasierte Anmeldung: Nehmen Sie im Designer in der Kategorie Berechtigungen > Systembenutzer den Systembenutzer in die Berechtigungsgruppe auf.

  • Für rollenbasierte Anmeldung: Stellen Sie sicher, dass der Benutzer der Anwendungsrolle zugewiesen ist, welche die Programmfunktion über ihre Berechtigungsgruppe besitzt.

Tabelle 41: Programmfunktionen zum Starten der One Identity Manager-Werkzeuge

Programmfunktion

Beschreibung

ApplicationStart_Analyzer

Erlaubt das Starten des Programms Analyzer (Analyzer.exe).

ApplicationStart_ConfigWizard

Erlaubt das Starten des Programms Configuration Wizard (ConfigWizard.exe).

ApplicationStart_CryptoConfig

Erlaubt das Starten des Programms Crypto Configuration (CryptoConfig.exe).

ApplicationStart_DataImporter

Erlaubt das Starten des Programms Data Import (DataImporter.exe).

ApplicationStart_DBClone

Erlaubt das Starten des Programms DBClone.exe.

ApplicationStart_DBComparer

Erlaubt das Starten des Programms DBComparer.exe.

ApplicationStart_DBCompiler

Erlaubt das Starten des Programms Database Compiler (DBCompiler.exe).

ApplicationStart_Designer

Erlaubt das Starten des Programms Designer (Designer.exe).

ApplicationStart_JobQueueInfo

Erlaubt das Starten des Programms Job Queue Info (JobQueueInfo.exe).

ApplicationStart_LaunchPad

Erlaubt das Starten des Programms Launchpad (LaunchPad.exe).

ApplicationStart_LicenseMeter

Erlaubt das Starten des Programms License Meter (LicenseMeter.exe).

ApplicationStart_Manager

Erlaubt das Starten des Programms Manager (Manager.exe).

ApplicationStart_ObjectBrowser

Erlaubt das Starten des Programms Object Browser (ObjectBrowser.exe).

ApplicationStart_OpSupport

Erlaubt das Starten des Web Portal für Betriebsunterstützung.

ApplicationStart_ReportEdit

Erlaubt das Starten des Programms Report Editor (ReportEdit2.exe).

ApplicationStart_SchemaExtension

Erlaubt das Starten des Programms Schema Extension (SchemaExtension.exe).

ApplicationStart_ServerInstaller

Erlaubt das Starten des Programms Server Installer (ServerInstaller.exe).

ApplicationStart_SoftwareLoader

Erlaubt das Starten des Programms Software Loader (SoftwareLoader.exe).

ApplicationStart_SynchronizationEditor

Erlaubt das Starten des Programms Synchronization Editor (SynchronizationEditor.exe).

ApplicationStart_SystemDebugger

Erlaubt das Starten des Programms System Debugging (SystemDebugger.exe).

ApplicationStart_Transporter

Erlaubt das Starten des Programms Database Transporter (Transporter.exe).

ApplicationStart_WebDesignerCompiler

Erlaubt das Starten des Programms VI.WebDesigner.CompilerCmd.exe.

ApplicationStart_WebConfig

Erlaubt das Starten des Programms Web Designer Configuration Editor (WebConfigEditor.exe).

ApplicationStart_WebDesigner

Erlaubt das Starten des Programms Web Designer (WebDesigner.exe).

ApplicationStart_WebDesignerInstall

Erlaubt das Starten des Programms Web Installer (WebDesigner.Installer.exe).

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen