Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren
Sie können festlegen, ob ein durch den Helpdesk generierter Zugangscode in zwei Bestandteile aufgeteilt wird. Eine Hälfte des Zugangscode wird dem Helpdesk-Mitarbeiter mitgeteilt und die zweite Hälfte wird dem zuständigen Manager der Person zugeschickt. Die Person muss dann die zweite Hälfte des Zugangscodes bei seinem Manager erfragen. Dieses Verfahren erhöht die Sicherheit bei der Vergabe des Zugangscodes.
Um das Vier-Augen-Prinzip für die Vergabe des Zugangscodes zu konfigurieren
-
Starten Sie das Programm Designer.
-
Verbinden Sie sich mit der entsprechenden Datenbank.
-
Aktivieren Sie den Konfigurationsparameter QER | Person | PasswordResetAuthenticator | PasscodeSplit.
HINWEIS: Wie Sie Konfigurationsparameter im Designer bearbeiten, erfahren Sie im One Identity Manager Konfigurationshandbuch.
-
Aktivieren Sie den Konfigurationsparameter QER | WebPortal | MailTemplateIdents | InformManagerAboutSecondHalfOfPasscode.
Standardmäßig wird die zweite Hälfte des Sicherheitscodes mit der Mail-Vorlage Teil des Zugangscodes für Kennwortzurücksetzung versendet.
Um eine andere Vorlage für diese Benachrichtigung zu verwenden, ändern Sie den Wert des Konfigurationsparameters.
TIPP: Die eigentliche Mail-Vorlage können Sie im Designer in der Kategorie Mailvorlagen > Person konfigurieren. Ausführliche Informationen zu Mail-Vorlagen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.
Kennwortfragen konfigurieren
Sollten Benutzer des Web Portals ihr Kennwort vergessen, so können Sie mithilfe selbst festgelegter Kennwortfragen ein neues Kennwort setzen.
Um die Verwendung von Kennwortfragen zu konfigurieren
-
Starten Sie das Programm Designer.
-
Verbinden Sie sich mit der entsprechenden Datenbank.
-
Konfigurieren Sie die folgenden Konfigurationsparameter:
HINWEIS: Wie Sie Konfigurationsparameter im Designer bearbeiten, erfahren Sie im One Identity Manager Konfigurationshandbuch.
-
QER | Person | PasswordResetAuthenticator | QueryAnswerDefinitions: Legen Sie fest, wie viele Kennwortfragen und zugehörige Antworten Benutzer festlegen müssen. Benutzer die keine oder nicht genug Kennwortfragen und Antworten festgelegt haben, können ihre Kennwörter nicht neu setzen.
HINWEIS: Der Wert darf nicht niedriger sein, als der Wert des Konfigurationsparameters QueryAnswerRequests.
-
QER | Person | PasswordResetAuthenticator | QueryAnswerRequests: Legen Sie fest, wie viele Kennwortfragen Benutzer beantworten müssen, damit sie ihre Kennwörter neu setzen können.
HINWEIS: Der Wert darf nicht höher sein, als der Wert des Konfigurationsparameters QueryAnswerDefinitions.
-
QER | Person | PasswordResetAuthenticator | InvalidateUsedQuery: Legen Sie fest, ob Benutzer nach erfolgreicher Kennwortrücksetzung neue Kennwortfragen und Antworten festlegen müssen. Dabei werden die richtig beantworteten Kennwortfragen gelöscht.
Suche konfigurieren
Viele Seiten des Web Portals bieten die Möglichkeit, im aktuellen Kontext nach Objekten zu suchen.
Um die Suche zu konfigurieren
-
Starten Sie das Programm Web Designer.
-
Verbinden Sie sich mit der entsprechenden Datenbank.
-
Konfigurieren Sie den Konfigurationsschlüssel VI_Common_SqlSearch_PrefixLike: Um dem Benutzer möglichst schnell passende Suchergebnisse anzuzeigen, werden bereits während der Eingabe eines Wortes Suchergebnisse für mögliche Fortsetzungen der Worteingabe gefunden. Wenn Sie den Parameter aktivieren, wird dabei auch das letzte Wort der Eingabe berücksichtigt.
-
Starten Sie den .
-
Konfigurieren Sie die folgenden Konfigurationsparameter:
Common | Indexing | IndexNonTokenChars: Legen Sie fest, welche Trennzeichen in der Suche verwendet werden können.
Common | Indexing | IndexUseLegacyAnalyzer: Legen Sie fest, ob zusätzlich eine alternative Tokenzerlegung erfolgen soll. Die Zerlegung eines Tokens mit der alternativen Tokenzerlegung erfolgt bevorzugt in längere Tokens. Wenn beispielsweise die Zeichenfolge Abteilung_01 ein Token ist, wird die Teilzeichenfolge Abteilung nicht als Token berücksichtigt.
Folgende Tokens werden erkannt.
Tabelle 9: Tokens bei der alternativen Tokenzerlegung
Worte |
Abfolge von Buchstaben und/oder Zahlen. |
Aufzählungen |
Durch Satzzeichen (_-/.,) verbundene Worte von denen wenigstens jedes zweite eine Zahl enthält.
Ein Beispiel ist Abteilung_01.
Aufzählungen sind unter anderem auch Kommazahlen und IP-Adressen. |
E-Mail-Adressen |
Die E-Mail-Adresse setzt sich häufig zusammen aus Vorname, Nachname, Firmenname und generischer Top-Level-Domäne (zum Beispiel .com). Die Reihenfolge oder Schreibweise des Vor- und Zunamens (zum Beispiel Verwendung von Initialen) können variieren. Das Sonderzeichen @ und das Satzzeichen Punkt (.) grenzen die einzelnen Bestandteile der E-Mail-Adresse nicht nur von einander ab, sondern verbinden diese, sodass die E-Mail-Adresse als Token anerkannt wird.
Beispiele für E-Mail-Adressen sind Ben.King@example.com oder C.Harris@example.com. |
Hostnamen |
Zum Beispiel website.example.com. |
Akronyme |
Zum Beispiel U. S. A. |
Apostroph umgeben von Buchstaben |
Zum Beispiel O'Reilly. |
@, & umgeben von Buchstaben |
Zum Beispiel Me&you. |
Umlaute wie ä, ö, ü |
Zum Beispiel Max Müller. |
HINWEIS:Wenn Sie diese Konfigurationsparameter ändern, werden die Suchindexe neu gebaut. Dies kann einige Zeit in Anspruch nehmen.
Webauthn-Sicherheitsschlüssel
One Identity bietet Benutzern die Möglichkeit, sich mithilfe von (physischen) Sicherheitsschlüsseln bequem und sicher an den Webanwendungen des One Identity Managers anzumelden. Diese Sicherheitsschlüssel unterstützen den W3C-Standard Webauthn.
Die Nutzung von Sicherheitsschlüsseln gewährleistet eine höhere Sicherheit beim Anmelden.
Hinweise
-
Sie können Starling Two-Factor Authentication und Webauthn parallel für eine Webanwendung laufen lassen. Benutzer, die mindestens einen gültigen Sicherheitsschlüssel besitzen, müssen nicht zusätzlich den Starling 2FA-Prozess durchlaufen. Benutzer, die keinen Sicherheitsschlüssel besitzen, verwenden weiterhin Starling 2FA.
-
Personen-Administratoren haben im Manager die Möglichkeit, alle Sicherheitsschlüssel einer Person einzusehen und zu löschen. Weitere Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
-
Der Webauthn-Standard wird im Internet Explorer NICHT unterstützt. Benutzer müssen einen anderen Browser verwenden.
Verwandte Themen