Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind.
Detaillierte Informationen zum Thema
Beachten Sie für die Installation eines Anwendungsservers die folgenden Hinweise.
-
Wenn Sie den One Identity Manager Service oder den Designer über einen Anwendungsserver betreiben wollen, dann benötigt der Anwendungsserver mindestens die Berechtigungen eines Konfigurationsbenutzers. Verwenden Sie bei der Installation des Anwendungsservers für die Verbindung zur One Identity Manager-Datenbank und zur Authentifizierung gegen die One Identity Manager-Datenbank die SQL-Anmeldung für den Konfigurationsbenutzer.
-
Um die Berechtigungen für Endbenutzer einzuschränken, können Sie einen weiteren Anwendungsserver bereitstellen, der die SQL-Anmeldung für Endbenutzer verwendet.
-
Um ein Web Portal zu betreiben oder die Volltextsuche im Manager zu nutzen, benötigen Sie einen Anwendungsserver mit installiertem Suchdienst.
-
Starten Sie die Installation des Anwendungsservers lokal auf dem Server.
-
Legen Sie über den Konfigurationsparameter QBM | AppServer | SessionTimeout den Zeitraum in Stunden fest, nach dem nicht mehr benutzte Sitzungen eines Anwendungsservers geschlossen werden. Der Standardwert ist 24 Stunden. Bearbeiten Sie den Konfigurationsparameter im Designer.
WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server.
Um einen Anwendungsserver zu installieren
-
Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.
-
Auf der Startseite des Installationsassistenten nehmen Sie folgende Aktionen vor.
-
Wechseln Sie zum Tabreiter Installation.
-
Im Bereich Web-basierte Komponenten klicken Sie Installieren.
Der Web Installer wird gestartet.
-
Auf der Startseite des Web Installers wählen Sie Anwendungsserver installieren und klicken Sie Weiter.
-
Auf der Seite Datenbankverbindung nehmen Sie eine der folgenden Aktionen vor.
-
Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.
- ODER -
Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.
-
Unter Authentifizierungsverfahren geben Sie das Verfahren und die Anmeldedaten an, mit denen Sie sich anmelden möchten.
-
Auf der Seite Installationsquelle im Bereich Installationsquelle legen Sie fest, woher die Installationsdaten ermittelt werden.
-
Um die Installationsdaten aus der Datenbank zu beziehen, aktivieren Sie die Option Datenbank.
-
Um die Installationsdaten aus dem Installationsmedium (beispielsweise von der Festplatte) zu beziehen, aktivieren Sie die Option Dateisystem und geben Sie einen Pfad an.
-
Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor.
Tabelle 26: Einstellungen für das Installationsziel
|
Anwendungsname |
Geben Sie den Namen ein, der als Anwendungsname im Browser verwendet werden soll. |
|
Zielpfad im IIS |
Wählen Sie die Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird. |
|
SSL erzwingen |
Gibt an, ob sichere oder unsichere Webseiten zur Installation angeboten werden.
Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert.
Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden. |
|
URL |
Geben Sie die URL der Anwendung ein. |
|
Dedizierten Anwendungspool einrichten |
Aktivieren Sie die Option, wenn für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert. |
|
Anwendungspool |
Wählen Sie den Anwendungspool aus, der verwendet werden soll. Die Angabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.
Wenn Sie den Standardwert DefaultAppPool verwenden, wird der Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL |
|
Identität |
Legen Sie die Berechtigung für die Ausführung des Anwendungspools fest. Sie können eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwenden.
Wenn Sie den Standardwert ApplicationPoolIdentity verwenden, wird das Benutzerkonto nach folgender Syntax gebildet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie neben dem Eingabefeld auf ..., aktivieren Sie die Option Benutzerdefiniertes Konto und geben Sie den Benutzer und sein Kennwort ein. |
|
Dateiberechtigungen für die Identität des Anwendungspools zuweisen |
Legen Sie fest, ob die Identität, mit der der Anwendungspool ausgeführt hat, die Dateiberechtigungen erhält. |
|
Web-Authentifizierung |
Legen Sie fest, welche Authentifizierungsart gegenüber der Webanwendung verwendet werden soll. Zur Auswahl stehen:
-
Windows Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows-Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Identität rollenbasiert an. Sollte dieses Single Sign-on nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows-Authentifizierung installiert ist.
-
Anonym
Eine Anmeldung ohne Windows-Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um. |
|
Datenbank-Authentifizierung |
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie auf der Seite Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.
Legen Sie fest, welche Authentifizierungsart gegenüber der One Identity Manager-Datenbank verwendet werden soll. Zur Auswahl stehen:
-
Windows Authentifizierung
Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows-Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.
-
SQL-Authentifizierung
Die Authentifizierung erfolgt mittels SQL-Anmeldung und Kennwort. Es wird die SQL-Anmeldung aus der Verbindung zur Datenbank verwendet. Über die Schaltfläche [...] können Sie eine abweichende SQL-Anmeldung angeben, beispielsweise wenn die Anwendung mit einer Berechtigungsebene für Endbenutzer ausgeführt werden soll. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert. |
-
Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest.
Die Maschinenrollen für den Anwendungsserver sind aktiviert. Die Maschinenrollen Search Service und Search Indexing Service werden für die Suchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immer gemeinsam zu verwenden.
HINWEIS: Wenn Sie ein Web Portal nutzen möchten, wird ein Anwendungsserver benötigt, auf dem der Suchdienst installiert ist.
-
Auf der Seite Setze das Session-Token-Zertifikat wählen Sie das Zertifikat, das für die Erstellung und Prüfung von Sitzungstoken verwendet wird.
HINWEIS: Das Zertifikat muss mindestens eine Schlüssellänge von 1024 Bit haben.
-
Um ein bestehendes Zertifikat zu verwenden, nehmen Sie die folgenden Einstellungen vor.
-
Zertifikat für das Session-Token: Wählen Sie den Eintrag Nutze bestehendes Zertifikat.
-
Zertifikat auswählen: Wählen Sie das Zertifikat.
HINWEIS: Es wird dringend empfohlen, das bereits in anderen Anwendungsservern und API Servern zum Einsatz kommende Zertifikat hier ebenfalls zu nutzen.
-
Zeige auch ungültige Zertifikate: (Optional) Aktivieren Sie die Option, um weitere Zertifikate anzuzeigen.
-
Um ein neues Zertifikat zu erzeugen, nehmen Sie die folgenden Einstellungen vor.
-
Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neues Zertifikat.
-
Zertifikatsherausgeber: Erfassen Sie den Aussteller des Zertifikats.
-
Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.
Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen.
HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat zu exportieren und in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.
-
Um eine neue Zertifikatsdatei zu erzeugen, nehmen Sie die folgenden Einstellungen vor.
-
Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neue Zertifikatsdatei.
-
Zertifikatsherausgeber: Erfassen Sie unter den Aussteller des Zertifikats.
-
Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.
-
Zertifikatsdatei: Tragen Sie den Ablagepfad und Namen der Zertifikatsdatei ein.
Die Zertifikatsdatei wird im angegebenen Verzeichnis der Webanwendung abgelegt.
HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.
-
Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung fest. Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.
-
Nutze die IIS-Berechtigungen für Aktualisierungen: Um das Benutzerkonto, unter welchem der Anwendungspool ausgeführt wird, für die Aktualisierungen zu nutzen, aktivieren Sie die Option.
-
Nutze ein spezielles Konto für die Aktualisierungen: Um ein anderes Benutzerkonto zu verwenden, aktivieren Sie die Option. Geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.
-
(Optional) Für die Auswertung von archivierten Daten in Berichten und im TimeTrace wird auf eine One Identity Manager History Database zugegriffen. Wenn der Zugriff auf die One Identity Manager History Database über einen Anwendungsserver erfolgen soll, erfassen Sie auf der Seite History Database-Verbindungen bearbeiten die Kennung und die Verbindungsparameter zur One Identity Manager History Database.
HINWEIS: Sie können die Verbindungsinformationen zu einer One Identity Manager History Database auch zu einem späteren Zeitpunkt hinzufügen. Dazu passen Sie die Konfigurationsdatei appsettings.json an.
Ausführliche Informationen zur Verbindung zur One Identity Manager History Database über Anwendungsserver und die erforderliche Konfiguration finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.
-
Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter.
-
Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
-
Schließen Sie das Autorun-Programm.
HINWEIS: Der Web Installer generiert die Webanwendung und die Konfigurationsdatei appsettings.json. Der Web Installer verwendet Standardwerte für die Konfigurationseinstellungen. Sie können diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen überprüfen. Die Konfigurationsdatei appsettings.json finden Sie im Installationsverzeichnis der Webanwendung im Internet Information Services.
Der Anwendungsserver ist über ein Browserfrontend erreichbar.
Der Aufruf erfolgt mit der entsprechenden URL:
http://<Servername>/<Anwendungsname>
https://<Servername>/<Anwendungsname>
TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job Queue Info das Menü Ansicht > Serverstatus und öffnen Sie auf dem Tabreiter Webserver die Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen.
Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. Die Statusinformationen des Anwendungsservers stehen auch als Leistungsindikatoren zur Verfügung. Benutzer mit der Programmfunktion AppServer_Logs sehen das Protokoll.
Zusätzlich ist hier eine API Dokumentation verfügbar. Um auf die REST API im Anwendungsserver zuzugreifen, benötigen die Benutzer die Programmfunktion AppServer_API. Ausführliche Informationen zur REST API finden Sie im One Identity Manager REST API Reference Guide.
