Chat now with support
Chat mit Support

Identity Manager 9.2 - Konfigurationshandbuch für Webanwendungen

Über dieses Handbuch API Server verwalten API-Projekte und Webanwendungen konfigurieren Empfehlungen für einen sicheren Betrieb von Webanwendungen

Primäre Authentifizierung mit Single Sign-on konfigurieren

Sie können für API-Projekte die Authentifizierung mit Single Sign-on über das Administrationsportal konfigurieren. In diesem Fall ist keine eigene Anfrage an die Methode imx/login erforderlich.

Benötigte Konfigurationsschlüssel:

  • Single-Sign-on-Authentifizierungsmodule (SsoAuthentifiers): Legt fest, welche Authentifizierungsmodule für Single Sign-on verwendet werden.

Um die Authentifizierung mit Single Sign-on zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt aus, für das Sie die Authentifizierung mit Single Sign-on konfigurieren möchten.

  4. Klappen Sie den Konfigurationsschlüssel Single-Sign-on-Authentifizierungsmodule auf.

  5. Klicken Sie Neu.

  6. In der Auswahlliste wählen Sie das Authentifizierungsmodul aus, das Sie verwenden möchten.

    TIPP: Sie können weitere Authentifizierungsmodule festlegen. Klicken Sie dazu Neu.

  7. Klicken Sie Übernehmen.

  8. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  9. Klicken Sie Übernehmen.

Multifaktor-Authentifizierung konfigurieren

Für Attestierungen oder die Entscheidung von Bestellungen kann die Multifaktor-Authentifizierung mit OneLogin eingerichtet werden.

Voraussetzung

  • Das OneLogin Modul ist vorhanden und die Synchronisation ist eingerichtet.

Ausführliche Informationen zum Einrichten der Multifaktor-Authentifizierung finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung. Ausführliche Informationen zum Einrichten und Starten der Synchronisation mit einer OneLogin Domäne finden Sie im One Identity Manager Administrationshandbuch für die Integration mit OneLogin Cloud Directory.

Um die Multifaktor-Authentifizierung mit OneLogin zu konfigurieren

  1. Im Administrationsportal setzen Sie den Konfigurationsschlüssel ServerConfig/ITShopConfig/StepUpAuthenticationProvider auf den Wert OneLogin MFA.

    1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

    2. In der Navigation klicken Sie Konfiguration.

    3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt aus, für das Sie die Multifaktor-Authentifizierung konfigurieren möchten.

    4. Klappen Sie den Konfigurationsschlüssel Bestell-Konfiguration / Zusätzliche Authentifizierung für die Zustimmung zu Nutzungsbedingungen sowie Workflow-Entscheidungen auf.

    5. In der Auswahlliste wählen Sie OneLogin MFA.

    6. Klicken Sie Übernehmen.

    7. Nehmen Sie eine der folgenden Aktionen vor:

      • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

      • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

    8. Klicken Sie Übernehmen.

  2. Stellen Sie sicher, dass die Authentifizierungsdaten zur Anmeldung an der OneLogin Domäne vorhanden sind. Die Authentifizierungsdaten können Sie bei der Installation des API Servers mit dem Web Installer einrichten oder nachträglich anpassen. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

Authentifizierungstoken konfigurieren

Benutzer erhalten nach erfolgreicher Authentifizierung an einer Webanwendung ein Authentifizierungstoken. Solange dieses Token gültig ist, müssen sich Benutzer nicht erneut authentifizieren.

Benötigte Konfigurationsschlüssel:

  • Dauerhafte Authentifizierungstoken (AuthTokensEnabled): Legt fest, ob dauerhafte Authentifizierungs-Tokens verwendet werden sollen, die zwischen Sitzungen aufbewahrt werden.

  • Gültigkeitsdauer von dauerhaften Authentifizierungstoken (in Minuten) (AuthTokensLifetimeMinutes): Legt fest, wie lange dauerhafte Authentifizierungstoken gültig sind.

Um die Verwendung von Authentifizierungstoken zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt API Server aus.

  4. Konfigurieren Sie die folgenden Konfigurationsschlüssel:

    • Dauerhafte Authentifizierungstoken: Legen Sie fest, ob dauerhafte Authentifizierungstoken verwendet werden soll. Aktivieren oder deaktivieren Sie dazu das entsprechende Kontrollkästchen.

    • Gültigkeitsdauer von dauerhaften Authentifizierungstoken (in Minuten): Legen Sie fest, wie viele Minuten dauerhafte Authentifizierungstoken gültig sind. Nach Ablauf der Gültigkeit, muss sich der Benutzer wieder authentifizieren.

  5. Klicken Sie Übernehmen.

  6. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  7. Klicken Sie Übernehmen.

Selbstregistrierung neuer Benutzer konfigurieren

Noch nicht registrierte Benutzer haben im Kennwortrücksetzungsportal die Möglichkeit sich selbst zu registrieren und neue Benutzerkonten zu erstellen. Nachdem sich ein Benutzer registriert hat erhält er eine Bestätigungs-E-Mail mit einem Link auf eine Bestätigungsseite. Auf dieser Seite kann der Benutzer die Registrierung selbstständig abschließen und anschließend das Kennwort zur Anmeldung initial setzen.

HINWEIS: Um diese Funktion nutzen zu können, muss der neue Benutzer eine E-Mail-Adresse angeben (können), da ansonsten keine Bestätigungs-E-Mail versendet werden kann.

HINWEIS: Ausführliche Informationen zur Selbstregistrierung neuer Benutzer und des zugehörigen Attestierungsprozesses finden Sie im One Identity Manager Administrationshandbuch für Attestierungen.

HINWEIS: Wie ein Benutzer sich selbst registriert beziehungsweise ein neues Benutzerkonto erstellt, erfahren Sie im One Identity Manager Web Portal Anwenderhandbuch.

Um die Selbstregistrierung zu konfigurieren

  1. Starten Sie das Programm Designer.

  2. Verbinden Sie sich mit der entsprechenden Datenbank.

  3. Konfigurieren Sie die folgenden Konfigurationsparameter:

    TIPP: Wie Sie Konfigurationsparameter im Designer bearbeiten, erfahren Sie im One Identity Manager Konfigurationshandbuch.

    • QER | WebPortal | PasswordResetURL: Legen Sie die Web-Adresse des Kennwortrücksetzungsportals fest. Diese URL wird beispielsweise in der E-Mail-Benachrichtigung an den neuen Benutzer verwendet.

    • QER | Attestation | MailTemplateIdents | NewExternalUserVerification:

      Standardmäßig wird die Bestätigungsmeldung und der Bestätigungs-Link mit der Mail-Vorlage Bestätigungslink für neuen externen Benutzer versendet.

      Um eine andere Vorlage für diese Benachrichtigung zu verwenden, ändern Sie den Wert des Konfigurationsparameters.

      TIPP: Die eigentliche Mail-Vorlage können Sie im Designer in der Kategorie Mailvorlagen > Person konfigurieren. Ausführliche Informationen zu Mail-Vorlagen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

    • QER | Attestation | ApproveNewExternalUsers: Legen Sie fest, ob selbstregistrierte Benutzer attestiert werden müssen, bevor sie aktiviert werden. Ein Manager entscheidet dann über die Registrierung des neuen Benutzers.

    • QER | Attestation | NewExternalUserTimeoutInHours: Legen Sie fest, wie viele Stunden der Bestätigungs-Link für neue selbstregistrierte Benutzer gültig ist.

    • QER | Attestation | NewExternalUserFinalTimeoutInHours: Legen Sie fest, nach wie viele Stunden die Selbstregistrierung neuer Benutzer abgebrochen wird, sofern die Registrierung noch nicht erfolgreich abgeschlossen wurde.

  4. Weisen Sie der Anwendungsrolle Identity & Access Governance | Attestierung | Attestierer für externe Benutzer mindestens eine Identität zu.

  5. Stellen Sie sicher, dass ein Anwendungstoken vorhanden ist. Das Anwendungstoken setzen Sie bei der Installation des API Servers mit dem Web Installer. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

    Das Anwendungstoken wird in der Datenbank im Konfigurationsparameter QER | Person | PasswordResetAuthenticator | ApplicationToken als Hashwert gespeichert und in der Datei web.config des API Servers verschlüsselt abgelegt.

  6. Stellen Sie sicher, dass ein Benutzer konfiguriert ist, mit dem die neuen Benutzerkonten erstellt werden. Den Benutzer und die Authentifizierungsdaten können Sie bei der Installation des API Servers mit dem Web Installer einrichten oder nachträglich anpassen. Ausführliche Informationen finden Sie im One Identity Manager Installationshandbuch.

    HINWEIS: Es wird empfohlen, den Systembenutzer IdentityRegistration zu verwenden. Der Systembenutzer IdentityRegistration hat die vorgegebenen Berechtigungen, die für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal benötigt werden. Wenn Sie einen benutzerdefinierten Systembenutzer benötigen, stellen Sie sicher, dass dieser die erforderlichen Berechtigungen besitzt. Ausführliche Informationen zu Systembenutzern und Berechtigungen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen