Chat now with support
Chat mit Support

Identity Manager 9.3 - Konfigurationshandbuch für Webanwendungen

Über dieses Handbuch API Server verwalten API-Projekte und Webanwendungen konfigurieren
Allgemeine Konfiguration Administrationsportal konfigurieren Application Governance Modul konfigurieren Kennwortrücksetzungsportal konfigurieren Web Portal konfigurieren
Abteilungen konfigurieren Adressbuch konfigurieren Ansichten konfigurieren Anwendungsrollen konfigurieren Application Governance Modul konfigurieren Attestierung konfigurieren Authentifizierung beim Akzeptieren von Nutzungsbedingungen konfigurieren Bestellfunktionen konfigurieren Delegierungen konfigurieren Eigene API-Filter konfigurieren Eigene Filter konfigurieren Empfehlungen für das Hinzufügen von Berechtigungen zu Objekten konfigurieren Geräte konfigurieren Geschäftsrollen konfigurieren Helpdeskmodul/Tickets konfigurieren Hyperviews konfigurieren Identitäten konfigurieren Kennwortfragen konfigurieren Kostenstellen konfigurieren Leistungspositionen konfigurieren Programmfunktionen für das Web Portal Software konfigurieren Standorte konfigurieren Statistiken konfigurieren Systemrollen konfigurieren Tabellensortierung überspringen Teamrollen konfigurieren Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren Webauthn-Sicherheitsschlüssel konfigurieren
Web Portal für Betriebsunterstützung konfigurieren
Empfehlungen für einen sicheren Betrieb von Webanwendungen

HTTP-Header mit Cross-Site-Request-Forgery-Schutz-Token konfigurieren

Um Cross-Site-Request-Forgery-Angriffe (CSRF) zu verhindern, wird ein Token verwendet, das mit jeder Anfrage gesendet und vom Server überprüft wird. So wird sichergestellt, dass die Anfrage aus einer vertrauenswürdigen Quelle stammt. Dieses Token wird im HTTP-Header gesendet.

Damit der CSRF-Schutz ordnungsgemäß funktioniert, müssen Sie den HTTP-Header festlegen, der den CSRF-Schutz-Token enthält.

Benötigte Konfigurationsschlüssel:

  • Name des HTTP-Headers, der das vom Client übermittelte CSRF-Schutz-Token enthält (XsrfProtectionHeaderName): Legt den HTTP-Header fest, der das vom Client übermittelte CSRF-Schutz-Token enthält.

Um HTTP-Header mit Cross-Site-Request-Forgery-Schutz-Token zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt API Server aus.

  4. Klappen Sie den Konfigurationsschlüssel Name des HTTP-Headers, der das vom Client übermittelte CSRF-Schutz-Token enthält auf.

  5. Im Eingabefeld Wert geben Sie den Namen des HTTP-Headers ein, der das vom Client übermittelte CSRF-Schutz-Token enthält.

  6. Klicken Sie Übernehmen.

  7. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  8. Klicken Sie Übernehmen.

Detaillierte Informationen zum Thema

HTTP-Methoden ohne Cross-Site-Request-Forgery-Schutz konfigurieren

Sie können festlegen, welche HTTP-Methoden KEINEN Cross-Site-Request-Forgery-Schutz (CSRF) benötigen.

Typischerweise sollten Aktionen, die Datenänderungen oder andere kritische Operationen auslösen, über HTTP-Methoden durchgeführt werden, die CSRF-Schutz bieten.

Benötigte Konfigurationsschlüssel:

  • HTTP-Methoden, die keine CSRF-Schutz-Token erfordern (XsrfProtectionDisabledMethods): Legt fest, für welche HTTP-Methoden keine CSRF-Schutz-Token erforderlich sind.

Um den CSRF-Schutz zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt API Server aus.

  4. Klappen Sie den Konfigurationsschlüssel HTTP-Methoden, die keine CSRF-Schutz-Token erfordern auf.

  5. Im Eingabefeld Wert geben Sie die HTTP-Methoden kommasepariert ein, für die keine CSRF-Schutz-Token erforderlich sind.

  6. Klicken Sie Übernehmen.

  7. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  8. Klicken Sie Übernehmen.

Detaillierte Informationen zum Thema

Verhalten bei Cross-Site-Request-Forgery-Angriff konfigurieren

Um das Verhalten bei einem Cross-Site-Request-Forgery-Angriff (CSRF) zu konfigurieren, können Sie festlegen, dass die Sitzungen von Anwendern beendet werden, sobald bei einer Anfrage eine Abweichung vom CSRF-Schutz-Token festgestellt wird.

Benötigte Konfigurationsschlüssel:

  • Sitzung beenden, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird (XsrfProtectionEndOnMismatch): Legt fest, ob die Sitzung beendet werden soll, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird.

Um das Verhalten bei einem CSRF-Angriff zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt API Server aus.

  4. Klappen Sie den Konfigurationsschlüssel Sitzung beenden, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird auf.

  5. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn die Sitzung beendet werden soll, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird, aktivieren Sie das Kontrollkästchen Sitzung beenden, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird.

    • Wenn die Sitzung erhalten werden soll, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird, deaktivieren Sie das Kontrollkästchen Sitzung beenden, wenn eine Abweichung vom CSRF-Schutz-Token festgestellt wird.

  6. Klicken Sie Übernehmen.

  7. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  8. Klicken Sie Übernehmen.

Cross-Site-Request-Forgery-Schutz-Cookie konfigurieren

Um sicherzustellen, dass der Cross-Site-Request-Forgery-Schutz (CSRF) effektiv implementiert wird, können Sie den CSRF-Schutz-Cookie konfigurieren.

Das CSRF-Schutz-Cookie wird verwendet, um ein spezielles Token auf dem Client zu speichern und bei Bedarf mit Anfragen an den Server zu senden. Dieses Token wird dann vom Server überprüft, um sicherzustellen, dass die Anfrage tatsächlich vom authentifizierten Benutzer stammt und nicht von einem potenziellen Angreifer, der versucht, einen CSRF-Angriff durchzuführen.

Benötigte Konfigurationsschlüssel:

  • Name des Cookies, der das vom Server ausgestellte CSRF-Schutz-Token enthält (XsrfProtectionCookieName): Legt den Cookie fest, der das vom Server ausgestellte CSRF-Schutz-Token enthält.

  • Pfad für den CSRF-Schutz-Cookie (XsrfProtectionCookiePath): Legt den URL-Pfad fest, der in der angeforderten URL vorhanden sein muss, damit der Cookie-Header gesendet werden kann.

  • Domäne für den CSRF-Schutz-Cookie (XsrfProtectionCookieDomain): Legt die Domäne fest, deren Hosts ein Cookie erhalten können.

Um den CSRF-Schutz zu konfigurieren

  1. Melden Sie sich am Administrationsportal an (siehe Am Administrationsportal anmelden).

  2. In der Navigation klicken Sie Konfiguration.

  3. Auf der Seite Konfiguration wählen Sie in der Auswahlliste Konfiguration für das folgende API-Projekt anzeigen das API-Projekt API Server aus.

  4. Klappen Sie den Konfigurationsschlüssel Name des Cookies, der das vom Server ausgestellte CSRF-Schutz-Token enthält auf.

  5. Im Eingabefeld Wert geben Sie den Namen des Cookies ein, der das vom Server ausgestellte CSRF-Schutz-Token enthält.

  6. Klappen Sie den Konfigurationsschlüssel Pfad für den CSRF-Schutz-Cookie auf.

  7. Im Eingabefeld Wert geben Sie den URL-Pfad ein, der in der angeforderten URL vorhanden sein muss, damit der Cookie-Header gesendet werden kann.

  8. Klappen Sie den Konfigurationsschlüssel Domäne für den CSRF-Schutz-Cookie auf.

  9. Im Eingabefeld Wert geben Sie den Namen der Domäne ein, deren Hosts ein Cookie erhalten können.

  10. Klicken Sie Übernehmen.

  11. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie die Änderungen nur lokal übernehmen möchten, klicken Sie Lokal übernehmen.

    • Wenn Sie die Änderungen global übernehmen möchten, klicken Sie Global übernehmen.

  12. Klicken Sie Übernehmen.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen