Chat now with support
Chat mit Support

Identity Manager 9.3 - Installationshandbuch

Über dieses Handbuch Überblick über den One Identity Manager Installationsvoraussetzungen Installieren des One Identity Manager Installieren und Konfigurieren des One Identity Manager Service Automatisches Aktualisieren des One Identity Manager Aktualisieren des One Identity Manager Installieren zusätzlicher Module für eine bestehende One Identity Manager Installation Installieren und Aktualisieren eines Anwendungsservers Installieren und Aktualisieren eines API Servers Installieren und Aktualisieren der Manager Webanwendung Anmelden an den One Identity Manager-Werkzeugen Fehlerbehebung Erweiterte Konfiguration der Manager Webanwendung Maschinenrollen und Installationspakete Konfigurationsparameter für das E-Mail-Benachrichtigungssystem Einsatz der One Identity Manager-Datenbank mit SQL Server AlwaysOn-Verfügbarkeitsgruppen konfigurieren

Installieren und Aktualisieren eines API Servers

Der API Server stellt das Web Portal, das Kennwortrücksetzungsportal, das Administrationsportal sowie das Web Portal für Betriebsunterstützung und Ihre HTML-Webanwendungen zur Verfügung. Zudem stellt er eine API zur Verfügung.

Sie können den API Server mithilfe des Web Installers oder des ImxClient-Kommandozeilenprogramms installieren (Kommando install-apiserver). Lesen Sie in den nachfolgenden Abschnitten, wie Sie den API Server mithilfe des Web Installers auf einem Windows Server installieren und in der Standardkonfiguration in Betrieb nehmen. Weitere Informationen über die Installation mithilfe des ImxClient-Kommandozeilenprogramms finden Sie im One Identity Manager API-Entwicklungshandbuch.

Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server gewährleistet sind.

HINWEIS: Auf Linux Betriebssystemen wird die Verwendung des Docker-Images oneidentity/oneim-api empfohlen.

Detaillierte Informationen zum Thema

API Server installieren

WICHTIG: Starten Sie die Installation des API Servers lokal auf dem Server.

HINWEIS: Auf Linux Betriebssystemen wird die Verwendung des Docker-Images oneidentity/oneim-api empfohlen.

Um den API Server zu installieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Auf der Startseite des Installationsassistenten nehmen Sie folgende Aktionen vor.

    1. Klicken Sie Installation.

    2. Im Bereich Web-basierte Komponenten klicken Sie Installieren.

    Der Web Installer wird gestartet.

  3. Auf der Startseite des Web Installers klicken Sie API Server installieren und klicken Sie Weiter.

  4. Auf der Seite Datenbankverbindung nehmen Sie eine der folgenden Aktionen vor.

    TIPP: One Identity empfiehlt die Verwendung einer Verbindung über einen Anwendungsserver.

    1. Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.

      - ODER -

      Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.

    2. Unter Authentifizierungsverfahren geben Sie das Verfahren und die Anmeldedaten an, mit denen Sie sich anmelden möchten.

  5. Auf der Seite Installationsquelle im Bereich Installationsquelle legen Sie fest, woher die Installationsdaten ermittelt werden.

    • Um die Installationsdaten aus der Datenbank zu beziehen, aktivieren Sie die Option Datenbank.

    • Um die Installationsdaten aus dem Installationsmedium (beispielsweise von der Festplatte) zu beziehen, aktivieren Sie die Option Dateisystem und geben Sie einen Pfad an.

  6. Auf der Seite Installationsquelle im Bereich Zusätzliche Verbindungen erfassen Sie zusätzliche Informationen zur Authentifizierung. Es wird angezeigt, wie viele Verbindungen konfiguriert werden können.

    1. Um die zusätzliche Authentifizierungsdaten zu konfigurieren, klicken Sie .

    2. Im Dialog Authentifizierungsdaten wählen Sie die Projekte, für die Sie Authentifizierungen eintragen möchten und erfassen Sie die Authentifizierungsdaten.

      HINWEIS: Sie können die Authentifizierungsdaten für optionale Projekte auch zu einem späteren Zeitpunkt konfigurieren. Für rot markierte Projekte müssen die Authentifizierungsdaten erfasst werden.

      • Multifaktor-Authentifizierung mit OneLogin (OneLogin): Für bestimmte sicherheitskritische Aktionen im One Identity Manager kann die Multifaktor-Authentifizierung mit OneLogin eingerichtet werden. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch für Webanwendungen.

        Erfassen Sie Authentifizierungsdaten zur Anmeldung an der OneLogin Domäne.

        • Verbindungsparameter: Verbindungsparameter zur Anmeldung an der OneLogin Domäne.

          Syntax: Domain=<domain>;ClientId=<clientid>;ClientSecret=<clientSecret>

          - ODER -

        • Domäne: Geben Sie den DNS Namen der synchronisierten OneLogin Domäne an.

          Beispiel: <your domain>.onelogin.com

        • Client-ID: Erfassen Sie die Client-ID, mit der die Anwendung bei OneLogin registriert ist. Die Client-ID erhalten Sie bei der Registrierung Ihrer Anwendung bei OneLogin.

        • Sicherheitstoken: Erfassen Sie das Sicherheitstoken der OneLogin Anwendung. Das Sicherheitstoken erhalten Sie bei der Registrierung Ihrer Anwendung bei OneLogin.

      • Authentifizierung zur Selbstregistrierung neuer Benutzer (sub:register): Für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal, wird ein Benutzer benötigt, mit dem die neuen Benutzerkonten erstellt werden.

        HINWEIS: Es wird empfohlen, den Systembenutzer IdentityRegistration zu verwenden. Dieser Systembenutzer hat die vorgegebenen Berechtigungen, die für die Selbstregistrierung neuer Benutzer im Kennwortrücksetzungsportal benötigt werden.

        Wenn Sie einen eigenen Systembenutzer, stellen Sie sicher, dass dieser die erforderlichen Berechtigungen besitzt. Ausführliche Informationen zu Systembenutzern und Berechtigungen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

        • Wenn Sie den Systembenutzer IdentityRegistration verwenden, erfassen Sie ein Kennwort für den Systembenutzer.

        • Wenn Sie einen eigenen Systembenutzer verwenden möchten, wählen Sie unter Authentifizierungsverfahren das Authentifizierungsmodul für die Anmeldung. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager-Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

    3. Um die Daten zu testen, klicken Sie Verbindung testen.

    4. Um die Daten zu übernehmen, klicken Sie OK.

  7. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor.

    Tabelle 28: Einstellungen für das Installationsziel
    Einstellung Beschreibung

    Anwendungsname

    Geben Sie den Namen ein, der als Anwendungsname im Browser verwendet werden soll.

    Zielpfad im IIS

    Wählen Sie die Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird.

    SSL erzwingen

    Gibt an, ob sichere oder unsichere Webseiten zur Installation angeboten werden.

    Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert.

    Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden.

    URL

    Geben Sie die URL der Anwendung ein.

    Dedizierten Anwendungspool einrichten

    Aktivieren Sie die Option, wenn für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert.

    Anwendungspool

    Wählen Sie den Anwendungspool aus, der verwendet werden soll. Die Angabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.

    Wenn Sie den Standardwert DefaultAppPool verwenden, wird der Anwendungspool nach folgender Syntax gebildet:

    <Anwendungsname>_POOL

    Identität

    Legen Sie die Berechtigung für die Ausführung des Anwendungspools fest. Sie können eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwenden.

    Wenn Sie den Standardwert ApplicationPoolIdentity verwenden, wird das Benutzerkonto nach folgender Syntax gebildet:

    IIS APPPOOL\<Anwendungsname>_POOL

    Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie neben dem Eingabefeld auf ..., aktivieren Sie die Option Benutzerdefiniertes Konto und geben Sie den Benutzer und sein Kennwort ein.

    Dateiberechtigungen für die Identität des Anwendungspools zuweisen

    Legen Sie fest, ob die Identität, mit der der Anwendungspool ausgeführt hat, die Dateiberechtigungen erhält.

    Standard-IIS-Anforderungslimits überschreiben

    Legen Sie fest, ob die Standardwerte des IIS für URL-Länge, Abfragezeichenfolge-Länge und Inhaltslänge überschrieben werden sollen. Wenn die Werte nicht ausreichend sind, gibt der IIS einen HTTP 404-Fehler zurück. Ausführliche Informationen finden Sie unter HTTP 404 Error Substatus Codes.

    Passen Sie bei Bedarf die Werte an ihre Anforderungen an.

    • Max.URL-Länge [B]: Maximale Länge einer URL in Byte. Standardwert ist 4096 Bytes.

    • Max. Länge einer Abfragezeichenfolge [B]: Maximale Länge einer Abfragezeichenfolge in Byte. Standardwert ist 32768 Bytes.

    • Max. Inhaltslänge [B]: Maximale Länge eine Inhaltes in Bytes. Standardwert ist 30000000 Bytes.

    HINWEIS: Sie können die Werte auch zu einem späteren Zeitpunkt konfigurieren.

    Web-Authentifizierung

    Legen Sie fest, welche Authentifizierungsart gegenüber der Webanwendung verwendet werden soll. Zur Auswahl stehen:

    • Windows Authentifizierung (Single Sign-On)

      Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows-Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Identität rollenbasiert an. Sollte dieses Single Sign-on nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows-Authentifizierung installiert ist.

    • Anonym

      Eine Anmeldung ohne Windows-Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um.

    Datenbank-Authentifizierung

    HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie auf der Seite Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

    Legen Sie fest, welche Authentifizierungsart gegenüber der One Identity Manager-Datenbank verwendet werden soll. Zur Auswahl stehen:

    • Windows Authentifizierung

      Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows-Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.

    • SQL-Authentifizierung

      Die Authentifizierung erfolgt mittels SQL-Anmeldung und Kennwort. Es wird die SQL-Anmeldung aus der Verbindung zur Datenbank verwendet. Über die Schaltfläche [...] können Sie eine abweichende SQL-Anmeldung angeben, beispielsweise wenn die Anwendung mit einer Berechtigungsebene für Endbenutzer ausgeführt werden soll. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert.

  8. Auf der Seite Anwendungsserver wählen nehmen Sie die folgenden Aktionen vor.

    HINWEIS: Die Seite wird nur angezeigt, wenn Sie eine direkte Datenbankverbindung ausgewählt haben.

    HINWEIS: Wenn Sie die Volltextsuche verwenden möchten, müssen Sie einen Anwendungsserver angeben.

    1. Klicken Sie Anwendungsserver eintragen.

    2. Im Dialogfenster im Feld URL geben Sie die Webadresse des Anwendungsservers ein, auf dem der Suchdienst für die Volltextsuche installiert ist.

    3. Klicken Sie OK.

  9. Auf der Seite Setze das Session-Token-Zertifikat wählen Sie das Zertifikat, das für die Erstellung und Prüfung von Sitzungstoken verwendet wird.

    HINWEIS: Das Zertifikat muss mindestens eine Schlüssellänge von 1024 Bit haben.

    • Um ein bestehendes Zertifikat zu verwenden, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Nutze bestehendes Zertifikat.

      2. Zertifikat auswählen: Wählen Sie das Zertifikat. 

        HINWEIS: Es wird dringend empfohlen, das bereits in anderen Anwendungsservern und API Servern zum Einsatz kommende Zertifikat hier ebenfalls zu nutzen.

      3. Zeige auch ungültige Zertifikate: (Optional) Aktivieren Sie die Option, um weitere Zertifikate anzuzeigen.

    • Um ein neues Zertifikat zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neues Zertifikat.

      2. Zertifikatsherausgeber: Erfassen Sie den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat zu exportieren und in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

    • Um eine neue Zertifikatsdatei zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neue Zertifikatsdatei.

      2. Zertifikatsherausgeber: Erfassen Sie unter den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      4. Zertifikatsdatei: Tragen Sie den Ablagepfad und Namen der Zertifikatsdatei ein.

      Die Zertifikatsdatei wird im angegebenen Verzeichnis der Webanwendung abgelegt.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

  10. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest.

    Die Maschinenrolle SCIM Provider wird für das SCIM Plugin im API Server benötigt. Ausführliche Informationen zum SCIM Plugin finden Sie im One Identity Manager Konfigurationshandbuch.

    HINWEIS: Sie können das SCIM Plugin auch zu einem späteren Zeitpunkt konfigurieren.

  11. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung fest, indem Sie eine der folgenden Optionen aktivieren:

    HINWEIS: Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.

    • Nutze die IIS-Berechtigungen für Aktualisierungen: Um das Benutzerkonto, unter dem der Anwendungspool ausgeführt wird, für die Aktualisierungen zu nutzen, aktivieren Sie diese Option.

    • Nutze ein spezielles Konto für die Aktualisierungen: Um ein anderes Benutzerkonto zu verwenden, aktivieren Sie diese Option. Geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.

  12. Auf der Seite Anwendungstoken geben Sie im Eingabefeld das Anwendungstoken für den API Server ein. Das Anwendungstoken wird vom Kennwortrücksetzungsportal benötigt.

    HINWEIS: Behandeln Sie das Anwendungstoken wie ein Kennwort. Sobald das Anwendungstoken in der Datenbank gespeichert wird, kann es nicht mehr im Klartext angezeigt werden. Notieren Sie sich das Anwendungstoken gegebenenfalls.

    TIPP: Um ein neues Token zu verwenden und das bestehende Token in der Datenbank zu ersetzen, aktivieren Sie die Option Ersetze das Anwendungstoken in der Datenbank. Beachten Sie dabei, dass das bisherig verwendete Token an allen bereits verwendeten Stellen ungültig wird und Sie diese Stellen gegebenenfalls mit dem neuen Token aktualisieren müssen.

  13. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter.

  14. Auf der Seite Beenden des Assistenten klicken Sie Fertig.

  15. Schließen Sie das Autorun-Programm.

Verwandte Themen

Überblick über die HTML-Webanwendungen anzeigen

Der API Server stellt das Web Portal, das Kennwortrücksetzungsportal sowie das Web Portal für Betriebsunterstützung sowie ein Administrationsportal zur Verfügung.

Um alle installierten HTML-Anwendungen anzuzeigen

  • Rufen Sie die Web-Adressse (URL) Ihres API Servers in einem Browser auf.

    http://<Servername>/<Anwendungsname>

    https://<Servername>/<Anwendungsname>

    In der Webanwendungsübersicht werden alle HTML-Anwendungen angezeigt. Sie können die einzelnen Webanwendungen hier starten.

Im Administrationsportal erhalten Sie Überblick über den Status des API Servers, die Konfiguration und können die Protokolle einsehen. Sie können den API Server sowie die dazugehörigen API-Projekte mithilfe des Administrationsportals konfigurieren und Informationen anzeigen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch für Webanwendungen.

Verwandte Themen

API Server für Lastverteilung konfigurieren

Ein API Server kann als Teil eines Anwendungspool konfiguriert werden und an einer Lastverteilung teilnehmen.

Voraussetzungen für die Lastverteilung

  • Alle API Server, die an der Lastverteilung teilnehmen, müssen bei der Installation mit demselben Zertifikat konfiguriert sein.

    Mit diesem Zertifikat können alle API Server aus dem Anwendungspool ihre Daten auf sichere Weise verschlüsseln und entschlüsseln. Beim Wechsel des API Servers kann ein anderer API Servers die Sitzung wiederherstellen, damit Benutzer der Webanwendungen nahtlos arbeiten können. Das Zertifikat setzen Sie bei der Installation eines API Servers im Schritt Setze das Session-Token-Zertifikat.

    HINWEIS: Dieses Zertifikat ist unabhängig von dem für SSL verwendeten Zertifikat.

  • Für bestmögliche Performance muss die Lastverteilung Sitzungsbindungen (Sticky Sessions) unterstützen. Alle HTTP-Anfragen einer Sitzung sollten auf den gleichen API Server geleitet werden, weil der Neuaufbau einer Sitzung zu Performance-Verlusten führt.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen