Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Berechtigungsgruppen die Benutzeroberfläche und die Berechtigungen auf Ressourcen der Datenbank.
-
Für die Anmeldung an den One Identity Manager-Werkzeugen mit einem Authentifizierungsmodul, das einen definierten Systembenutzer erwartet, werden die Berechtigungen aus den Berechtigungsgruppen ermittelt, die dem Systembenutzer zugewiesen sind.
-
Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Identität werden zunächst die Mitgliedschaften der Identität in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Berechtigungsgruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Berechtigungsgruppen für die Identität gültig sind. Aus diesen Berechtigungsgruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Identität benutzt wird.
Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, sind folgende Voraussetzungen zu erfüllen:
-
Das Authentifizierungsmodul muss aktiviert sein.
-
Das Authentifizierungsmodul muss der Anwendung zugewiesen sein.
-
Die Zuweisung des Authentifizierungsmoduls zur Anwendung muss aktiviert sein.
Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicher, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Programmfunktionen besitzen, die Anwendung zu benutzen.
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule Systembenutzer und Component Authenticator sowie die rollenbasierten Authentifizierungsmodule aktiviert.
Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.
HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.
|
Anmeldeinformationen |
Bezeichnung und Kennwort des Systembenutzers. |
|
Voraussetzungen |
- Der Systembenutzer mit Berechtigungen ist in der -Datenbank vorhanden.
|
|
Aktiviert im Standard |
ja |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
nein |
|
Bemerkungen |
Die Benutzeroberfläche und Berechtigungen werden über den Systembenutzer geladen.
Datenänderungen werden dem Systembenutzer zugeordnet. |
WICHTIG: Standardmäßig ist der Systembenutzer viadmin vorhanden. Der Systembenutzer hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Berechtigungen für den Systembenutzer sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierung überschrieben wird.
TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen.
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.
|
Anmeldeinformationen |
Das Authentifizierungsmodul verwendet die Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzers. |
|
Voraussetzungen |
-
Die Identität ist in der -Datenbank vorhanden.
-
Die Identität ist mindestens einer Anwendungsrolle zugewiesen.
-
Das Benutzerkonto ist in der -Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen. |
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
ja |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Identität, die dem Benutzerkonto zugeordnet ist.
Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.
-
Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.
-
Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.
HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.
Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Identität ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.
Datenänderungen werden der angemeldeten Identität zugeordnet. |
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.
Tabelle 28: Konfigurationsparameter für das Authentifizierungsmodul
|
QER | Person | GenericAuthenticator |
Gibt an, ob die Authentifizierung über Single Sign-on unterstützt wird. |
|
QER | Person | GenericAuthenticator | SearchTable |
Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person (oder CCC_UID_Person) enthalten, der auf die Tabelle Person zeigt.
Beispiel: ADSAccount |
|
QER | Person | GenericAuthenticator | SearchColumn |
Spalte aus der One Identity Manager Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.
Beispiel: CN |
|
QER | Person | GenericAuthenticator | EnabledBy |
Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. |
|
QER | Person | GenericAuthenticator | DisabledBy |
Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.
Beispiel: AccountDisabled |
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.
|
Anmeldeinformationen |
Zentrales Benutzerkonto und Kennwort der Identität. |
|
Voraussetzungen |
-
Der Systembenutzer mit Berechtigungen ist in der -Datenbank vorhanden.
-
Die Identität ist in der -Datenbank vorhanden.
-
In den Identitätenstammdaten ist das zentrale Benutzerkonto eingetragen.
-
In den Identitätenstammdaten ist der Systembenutzer eingetragen.
-
In den Identitätenstammdaten ist das Systembenutzerkennwort eingetragen. |
|
Aktiviert im Standard |
ja |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.
-
Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.
-
Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.
HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.
Die Benutzeroberfläche und die Berechtigungen werden über den Systembenutzer geladen, der der angemeldeten Identität direkt zugeordnet ist.
Datenänderungen werden der angemeldeten Identität zugeordnet. |
