Sie können mehrere Instanzen des Redistributable Secure Token Server auf einem Server installieren.
Um den Redistributable Secure Token Server zu installieren
-
Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.
-
Wechseln Sie auf den Tabreiter Andere Produkte.
-
Wählen Sie One Identity Redistributable STS und klicken Sie Installieren.
-
Auf der Startseite des Installationsassistenten klicken Sie Weiter.
-
Auf der Seite Deinstallation des STS haben Sie die Möglichkeit, einen vorhandenen STS-Dienst zu deinstallieren oder eine weitere Instanz des Redistributable STS zu installieren.
HINWEIS: Die Seite wird nur angezeigt, wenn Sie bereits einen STS-Dienst installiert haben.
-
Auf der Seite Datenbank auswählen wählen Sie die One Identity Manager-Datenbankverbindung. Verwenden Sie zur Anmeldung einen Benutzer, der mindestens administrative Berechtigungen auf die Datenbank hat.
-
Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.
- ODER -
-
Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.
-
Auf der Seite Einstellungen für die Installation erfassen Sie alle erforderlichen Informationen.
-
Installationsordner: Wählen Sie das Verzeichnis, in dem der STS installiert werden soll.
-
Signatur-Zertifikat: Dieses Zertifikat wird zur Signierung von Authentifizierungsantworten verwendet.
-
SSL-Zertifikat: Dieses Zertifikat wird für die SSL-Transportverschlüsselung verwendet. Wenn am IIS bereits eine SSL-Webseite eingerichtet ist, wird die SSL-Konfiguration des IIS verwendet.
HINWEIS: Das Zertifikat Redistributable STS Demo (nur zu Testzwecken) darf nur zu Testzwecken eingesetzt werden.
-
URL: Legen Sie die URL fest, unter der der STS erreichbar ist.
-
Client-Kennung: Geben Sie die Client-Kennung ein.
-
Konfigurationskennwort und Kennwortwiederholung: Erfassen Sie ein Kennwort, mit dem Sie später über die RSTS Administrationsoberfläche auf die Konfiguration des STS zugreifen können.
-
Benutzerkonto: Der STS-Dienst wird unter den hier angegebenem Benutzerkonto ausgeführt. Es muss ein Domänenkonto verwendet werden, wenn Kerberos-Authentifizierung unterstützt werden soll. Beachten Sie, dass das Benutzerkonto das Benutzerrecht besitzen muss, sich als Dienst anzumelden. Erfassen Sie den Benutzernamen und das Kennwort.
-
Auf der Seite Identitätsanbieter konfigurieren Sie den RSTS als Identitätsanbieter für One Identity Manager.
-
Name des Identitätsanbieters: Geben Sie einen Namen des Identitätsanbieters ein.
-
Standard-OAuth 2.0/OpenID Connect Anwendung einrichten: Legen Sie fest, ob der Identitätsanbieter in der One Identity Manager erstellt und konfiguriert werden soll. Aktivieren Sie die Option, um eine OAuth 2.0/OpenID Connect Konfiguration zu erstellen.
-
Auf der Seite Installation sehen den Installationsfortschritt. Wenn die Installation beendet ist, klicken Sie Weiter.
-
Um den Installationsassistenten zu beenden, klicken Sie Fertig.
HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung Redistributable Secure Token Server in der Dienstverwaltung des Servers eingetragen. Weitere Instanzen des Dienstes werden mit einer fortlaufenden Nummerierung in der Dienstverwaltung des Servers eingetragen, beispielsweise mit der Bezeichnung Redistributable Secure Token Server1, Redistributable Secure Token Server2 und so weiter.
Verwandte Themen
Wenn Sie mehrere Instanzen des Dienstes installiert haben, können Sie die Instanz wählen, die deinstalliert werden soll. Um den RSTS zu aktualisieren, deinstallieren Sie vorhandenen Dienst und installieren Sie anschließend den Dienst neu.
Um einen Redistributable Secure Token Service zu deinstallieren
-
Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.
-
Wechseln Sie auf den Tabreiter Andere Produkte.
-
Wählen Sie One Identity Redistributable STS und klicken Sie Installieren.
-
Auf der Startseite des Installationsassistenten klicken Sie Weiter.
-
Auf der Seite Deinstallation des STS wählen Sie die Instanz, die Sie deinstallieren möchten und klicken Sie Weiter.
-
Auf der Seite Installation sehen den Fortschritt der Deinstallation. Wenn die Deinstallation beendet ist, klicken Sie Weiter.
-
Um den Installationsassistenten zu beenden, klicken Sie Fertig.
Verwandte Themen
Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.
Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.
Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen (Risikowert = 0,0). Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich.
Soll es bestimmten Benutzern möglich sein, sicherheitskritische Abfragen auszuführen, können Sie die Berechtigungen über Berechtigungsgruppen an die Benutzer vergeben.
-
Für die nicht-rollenbasierte Anmeldung wird die Berechtigungsgruppe QBM_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Nehmen Sie die Systembenutzer, die sicherheitskritische Abfragen ausführen dürfen, in die Berechtigungsgruppe auf. Administrative Systembenutzer erhalten diese Berechtigungsgruppe automatisch.
-
Für die rollenbasierte Anmeldung wird die Berechtigungsgruppe QER_4_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Die Berechtigungsgruppe ist mit der Anwendungsrolle Basisrollen | Sicherheitskritische Abfragen verbunden. Nehmen Sie die Identitäten, die sicherheitskritische Abfragen ausführen dürfen, in die Anwendungsrolle auf.
Mit welchem Risiko die Ausführung von SQL-Anweisungen bewertet wird, können Sie zusätzlich über Konfigurationsparameter steuern.
HINWEIS: Die Konfigurationsparameter wirken nur für Benutzer, die die Programmfunktion Common_AllowRiskyWhereClauses besitzen.
-
Über den Konfigurationsparameter QBM | SQLCheck | RiskEvaluation legen Sie die Risikobewertung der ausgeführten SQL-Anweisungen fest. Zulässige Werte sind:
-
Low: SQL-Anweisungen mit gewissem Risiko sind zulässig.
-
Medium: Das Risiko von SQL-Anweisungen wird in abgeschwächter Höhe bewertet. Somit wird der Schwellwert zur Sperrung des Benutzers später erreicht und es sind mehr Abfragen möglich.
-
Strict: Das Risiko von SQL-Anweisungen wird in voller Höhe bewertet. Eine Sperrung des Benutzers erfolgt aber erst nach Erreichen eines gewissen Schwellwertes.
Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Risikobewertung mit dem Wert Strict.
-
Über den Konfigurationsparameter QBM | SQLCheck | SubSelect legen Sie fest, wie die Bewertung von SQL-Anweisungen mit Unterabfragen erfolgen soll. Ist der Konfigurationsparameter aktiviert, werden Fundstellen in SQL-Anweisungen mit Unterabfragen als höheres Risiko eingestuft.
Hinweise für kundenspezifische Anpassungen
-
Datenbankabfragen, die beispielsweise auf kundenspezifischen Formularen benötigt werden oder Datenbankabfragen, die über die API des Anwendungsservers ausgeführt werden, müssen im One Identity Manager als vordefinierte Datenbankabfragen formuliert werden. Die Ausführung der Datenbankabfragen erfolgt immer mit den Berechtigungen des angemeldeten Benutzers. Ausführliche Informationen zum Verwenden vordefinierter Datenbankabfragen finden Sie im One Identity Manager Konfigurationshandbuch.
-
Beispiele für die Verwendung von vordefinierten Datenbankabfragen finden Sie auf dem Installationsmedium im Verzeichnis QBM\dvd\AddOn\ApiSamples.
-
Für die alphabetische Darstellung von beispielsweise Identitäten oder Unternehmensstrukturen können Sie in kundenspezifischen Menüanpassungen die Tabelle QERVFirstUnicodeChar nutzen.
Das Starten der One Identity Manager-Werkzeuge ist nur zulässig, wenn der Benutzer die entsprechenden Programmfunktionen besitzt. Die folgenden Programmfunktionen erlauben das Starten der One Identity Manager-Werkzeuge.
Um den Benutzern die Programmfunktion zur Verfügung zu stellen
-
Prüfen Sie im Designer in der Kategorie Berechtigungen > Programmfunktionen, welche Berechtigungsgruppe die erforderliche Programmfunktion besitzt und weisen Sie bei Bedarf die Programmfunktionen an weitere Berechtigungsgruppen zu.
-
Für nicht-rollenbasierte Anmeldung: Nehmen Sie im in der Kategorie Berechtigungen > Systembenutzer den Systembenutzer in die Berechtigungsgruppe auf.
-
Für rollenbasierte Anmeldung: Stellen Sie sicher, dass der Benutzer der Anwendungsrolle zugewiesen ist, welche die Programmfunktion über ihre Berechtigungsgruppe besitzt.
Tabelle 41: Programmfunktionen zum Starten der One Identity Manager-Werkzeuge
ApplicationStart_Analyzer |
Erlaubt das Starten des Programms Analyzer (Analyzer.exe). |
ApplicationStart_ConfigWizard |
Erlaubt das Starten des Programms (ConfigWizard.exe). |
ApplicationStart_CryptoConfig |
Erlaubt das Starten des Programms Crypto Configuration (CryptoConfig.exe). |
ApplicationStart_DataImporter |
Erlaubt das Starten des Programms Data Import (DataImporter.exe). |
ApplicationStart_DBClone |
Erlaubt das Starten des Programms DBClone.exe. |
ApplicationStart_DBComparer |
Erlaubt das Starten des Programms DBComparer.exe. |
ApplicationStart_DBCompiler |
Erlaubt das Starten des Programms Database Compiler (DBCompiler.exe). |
ApplicationStart_Designer |
Erlaubt das Starten des Programms Designer (Designer.exe). |
ApplicationStart_JobQueueInfo |
Erlaubt das Starten des Programms Job Queue Info (JobQueueInfo.exe). |
ApplicationStart_LaunchPad |
Erlaubt das Starten des Programms Launchpad (LaunchPad.exe). |
ApplicationStart_LicenseMeter |
Erlaubt das Starten des Programms License Meter (LicenseMeter.exe). |
ApplicationStart_Manager |
Erlaubt das Starten des Programms Manager (Manager.exe). |
ApplicationStart_ObjectBrowser |
Erlaubt das Starten des Programms Object Browser (ObjectBrowser.exe). |
ApplicationStart_OpSupport |
Erlaubt das Starten des Web Portal für Betriebsunterstützung. |
ApplicationStart_ReportEdit |
Erlaubt das Starten des Programms Report Editor (ReportEdit2.exe). |
ApplicationStart_SchemaExtension |
Erlaubt das Starten des Programms Schema Extension (SchemaExtension.exe). |
ApplicationStart_ServerInstaller |
Erlaubt das Starten des Programms Server Installer (ServerInstaller.exe). |
ApplicationStart_SoftwareLoader |
Erlaubt das Starten des Programms Software Loader (SoftwareLoader.exe). |
ApplicationStart_SynchronizationEditor |
Erlaubt das Starten des Programms Synchronization Editor (SynchronizationEditor.exe). |
ApplicationStart_SystemDebugger |
Erlaubt das Starten des Programms (SystemDebugger.exe). |
ApplicationStart_Transporter |
Erlaubt das Starten des Programms Database Transporter (Transporter.exe). |
ApplicationStart_WebDesignerCompiler |
Erlaubt das Starten des Programms VI.WebDesigner.CompilerCmd.exe. |
ApplicationStart_WebConfig |
Erlaubt das Starten des Programms Web Designer Configuration Editor (WebConfigEditor.exe). |
ApplicationStart_WebDesigner |
Erlaubt das Starten des Programms Web Designer (WebDesigner.exe). |
ApplicationStart_WebDesignerInstall |
Erlaubt das Starten des Programms Web Installer (WebDesigner.Installer.exe). |
Verwandte Themen