Chat now with support
Chat mit Support

Identity Manager 9.2 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Kennwortrücksetzung

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul wird zur Anmeldung am Kennwortrücksetzungsportal verwendet. Das Authentifizierungsmodul prüft den Zugangscode oder die Antworten auf die Kennwortabfragen der Identität. Erfolgt die Anmeldung über den Zugangscode wird dieser nach erfolgreicher Anmeldung gelöscht.

Anmeldeinformationen

Zentrales Benutzerkonto und Zugangscode.

- ODER -

Zentrales Benutzerkonto und Antworten auf die Kennwortabfragen.

- ODER -

Zielsystembenutzerkonto und Zugangscode.

- ODER -

Zielsystembenutzerkonto und Antworten auf die Kennwortabfragen.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • Bei Verwendung des zentralen Benutzerkontos: In den Identitätenstammdaten ist das zentrale Benutzerkonto eingetragen.

  • Bei Verwendung des Zielsystembenutzerkontos: Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen.

  • Die Identität ist nicht deaktiviert oder hat den Zertifizierungsstatus Neu.

  • Die Identität hat einen Zugangscode oder die Fragen und Antworten zur Kennwortabfrage sind hinterlegt.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Das Anwendungstoken für das Kennwortrücksetzungsportal muss eingetragen sein. Das Anwendungstoken setzen Sie bei der Installation des Kennwortrücksetzungsportals. Das Anwendungstoken wird in der Datenbank im Konfigurationsparameter QER | Person | PasswordResetAuthenticator | ApplicationToken als Hashwert gespeichert und in der Datei web.config der Webanwendung verschlüsselt abgelegt. Ausführliche Informationen zur Einrichtung des Kennwortrücksetzungsportals finden Sie im One Identity Manager Konfigurationshandbuch für Webanwendungen.

Für die Verwendung eines Zielsystembenutzerkontos zur Anmeldung passen Sie im Designer die folgenden Konfigurationsparameter an. Sind die Konfigurationsparameter nicht aktiviert, wird das zentrale Benutzerkonto der Identität zur Anmeldung verwendet.

Tabelle 31: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

QER | Person | PasswordResetAuthenticator | SearchTable

Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person (oder CCC_UID_Person) enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER | Person | PasswordResetAuthenticator | SearchColumn

Pipe (|) getrennte Liste von Spalten aus der One Identity Manager Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet werden.

Beispiel: CN|SamAccountName

HINWEIS: Als Suchtabelle kann die Tabelle QBMSplittedLookup genutzt werden. Als Suchspalte kann SplittedElement verwendet werden.

QER | Person | PasswordResetAuthenticator | EnabledBy

Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktivieren.

QER | Person | PasswordResetAuthenticator | DisabledBy

Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktivieren.

Beispiel: AccountDisabled

Kennwortrücksetzung (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul wird zur Anmeldung am Kennwortrücksetzungsportal verwendet. Das Authentifizierungsmodul prüft den Zugangscode oder die Antworten auf die Kennwortabfragen der Identität. Erfolgt die Anmeldung über den Zugangscode wird dieser nach erfolgreicher Anmeldung gelöscht.

Anmeldeinformationen

Zentrales Benutzerkonto und Zugangscode.

- ODER -

Zentrales Benutzerkonto und Antworten auf die Kennwortabfragen.

- ODER -

Zielsystembenutzerkonto und Zugangscode.

- ODER -

Zielsystembenutzerkonto und Antworten auf die Kennwortabfragen.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • Bei Verwendung des zentralen Benutzerkontos: In den Identitätenstammdaten ist das zentrale Benutzerkonto eingetragen.

  • Bei Verwendung des Zielsystembenutzerkontos: Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen.

  • Die Identität ist nicht deaktiviert oder hat den Zertifizierungsstatus Neu.

  • Die Identität hat einen Zugangscode oder die Fragen und Antworten zur Kennwortabfrage sind hinterlegt.

  • Die Identität ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Das Anwendungstoken für das Kennwortrücksetzungsportal muss eingetragen sein. Das Anwendungstoken setzen Sie bei der Installation des Kennwortrücksetzungsportals. Das Anwendungstoken wird in der Datenbank im Konfigurationsparameter QER | Person | PasswordResetAuthenticator | ApplicationToken als Hashwert gespeichert und in der Datei web.config der Webanwendung verschlüsselt abgelegt. Ausführliche Informationen zur Einrichtung des Kennwortrücksetzungsportals finden Sie im One Identity Manager Konfigurationshandbuch für Webanwendungen.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Identität ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Für die Verwendung eines Zielsystembenutzerkontos zur Anmeldung passen Sie im Designer die folgenden Konfigurationsparameter an. Sind die Konfigurationsparameter nicht aktiviert, wird das zentrale Benutzerkonto der Identität zur Anmeldung verwendet.

Tabelle 32: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

QER | Person | PasswordResetAuthenticator | SearchTable

Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person (oder CCC_UID_Person) enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER | Person | PasswordResetAuthenticator | SearchColumn

Pipe (|) getrennte Liste von Spalten aus der One Identity Manager Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet werden.

Beispiel: CN|SamAccountName

HINWEIS: Als Suchtabelle kann die Tabelle QBMSplittedLookup genutzt werden. Als Suchspalte kann SplittedElement verwendet werden.

QER | Person | PasswordResetAuthenticator | EnabledBy

Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktivieren.

QER | Person | PasswordResetAuthenticator | DisabledBy

Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktivieren.

Beispiel: AccountDisabled

Dezentrale Identität

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul kann zur Anmeldung über eine dezentrale Identität genutzt werden.

Anmeldeinformationen

E-Mail-Adresse und dezentrale Identität der Identität.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • In den Identitätenstammdaten ist die dezentrale Identität eingetragen.

  • In den Identitätenstammdaten ist die Standard-E-Mail-Adresse oder die Kontakt-E-Mail-Adresse eingetragen.

  • In den Identitätenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Um die Identität zu ermitteln, wird die E-Mail-Adresse, die bei der Anmeldung angegeben wird, gegen die Standard-E-Mail-Adresse und die Kontakt-E-Mail-Adresse geprüft.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Die Benutzeroberfläche und die Berechtigungen werden über den Systembenutzer geladen, der der angemeldeten Identität direkt zugeordnet ist.

Datenänderungen werden der angemeldeten Identität zugeordnet.

Dezentrale Identität (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul kann zur Anmeldung über eine dezentrale Identität genutzt werden.

Anmeldeinformationen

E-Mail-Adresse und dezentrale Identität der Identität.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • In den Identitätenstammdaten ist die dezentrale Identität eingetragen.

  • In den Identitätenstammdaten ist die Standard-E-Mail-Adresse oder die Kontakt-E-Mail-Adresse eingetragen.

  • Die Identität ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Um die Identität zu ermitteln, wird die E-Mail-Adresse, die bei der Anmeldung angegeben wird, gegen die Standard-E-Mail-Adresse und die Kontakt-E-Mail-Adresse geprüft.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Identität ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Identität zugeordnet.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen