Chatee ahora con Soporte
Chat con el soporte

Identity Manager 9.0 LTS - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Initiale Daten für Authentifizierungsmodule

Die Authentifizierungsdaten werden aus dem Authentifizierungsmodul und seinen Parameter mit den Werten gebildet. Für die Parameter und ihre Werte können Sie initiale Daten vorgeben. Die initialen Daten werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.

Syntax für Authentifizierungsdaten:

Module=<Authenticiation module>;<Property1>=<Value1>;<Property2>=<Value2>,…

Beispiel:

Module=DialogUser;User=<user name>;Password=<password>

Tabelle 34: Authentifizierungsdaten für Authentifizierungsmodule
Authentifizierungsmodul Anzeigename Parameter und Bedeutung

DialogUser

Systembenutzer

User: Benutzername

Password: Kennwort des Benutzers.

ADSAccount

Active Directory Benutzerkonto

Keine Parameter erforderlich.

DynamicADSAccount

Active Directory Benutzerkonto (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

DynamicManualADS

Active Directory Benutzerkonto (manuelle Eingabe)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

RoleBasedADSAccount

Active Directory Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

RoleBasedManualADS

Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

Person

Person

User: Zentrales Benutzerkonto der Person.

Password: Kennwort des Benutzers.

DynamicPerson

Person (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername.

Password: Kennwort des Benutzers.

RoleBasedPerson

Person (rollenbasiert)

User: Benutzername.

Password: Kennwort des Benutzers.

HTTPHeader

HTTP Header

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

RoleBasedHTTPHeader

HTTP Header (rollenbasiert)

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

DynamicLdap

LDAP Benutzerkonto (dynamisch)

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedLdap

 

LDAP Benutzerkonto (rollenbasiert)

 

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedGeneric

Single Sign-on generisch (rollenbasiert)

SearchTable: Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK mit der Bezeichnung UID_Person enthalten, der auf die Tabelle Person zeigt.

SearchColumn: Spalte aus der SearchTable, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird.

DisabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren.

EnabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten.

OAuth

OAuth 2.0/OpenID Connect

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

OAuthRoleBased

OAuth 2.0/OpenID Connect (rollenbasiert)

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

DialogUserAccountBased

Kontobasierter Systembenutzer

Keine Parameter erforderlich.

QERAccount

Benutzerkonto

Keine Parameter erforderlich.

RoleBasedQERAccount

Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

RoleBasedManualQERAccount

Benutzerkonto (manuelle Eingabe/rollenbasiert)

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

PasswordReset

Kennwortrücksetzung

Keine Parameter erforderlich.

RoleBasedPasswordReset

Kennwortrücksetzung (rollenbasiert)

Keine Parameter erforderlich.

DecentralizedId

 

Dezentrale Identität

 

Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier).

RoleBasedDecentralizedId

 

Dezentrale Identität (rollenbasiert)

 

Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier).

Token

 

 

 

Internes Authentifizierungsmodul im Anwendungsserver für die Authentifizierung über OAuth 2.0/OpenID Connect Zugriffstoken. Weitere Informationen finden Sie unter OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers.

URL: URL des Anwendungsservers

ClientId: ID der Anwendung beim Identitätsanbieter.

ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt.

TokenEndpoint: URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung

Verwandte Themen

Konfigurationsdaten zur dynamischen Ermittlung eines Systembenutzers

Bei den dynamischen Authentifizierungsmodulen wird nicht der an einer Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern der anzuwendende Systembenutzer über spezielle Konfigurationsdaten der Benutzeroberfläche bestimmt.

TIPP: Aktivieren Sie für Systembenutzer, die für dynamische Authentifizierungsmodule verwendet werden, die Option Für direkte Anmeldung gesperrt. Damit wird eine direkte Anmeldung an den One Identity Manager-Werkzeugen mit diesen Systembenutzern verhindert.

Um Konfigurationsdaten festzulegen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Anwendungen.

  2. Wählen Sie die Anwendung und passen Sie die Konfigurationsdaten an.

Die Konfigurationsdaten erfassen Sie in XML-Syntax:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

<Usermapping

DialogUser = "Name des Systembenutzers"

/>

...

</Usermappings>

</DialogUserDetect>

In der Sektion Usermappings geben Sie die Systembenutzer (DialogUser) an. Über ein Auswahlkriterium (Selection) legen Sie fest, welche Personen den angegebenen Systembenutzer verwenden sollen. Die Angabe eines Auswahlkriteriums für die Zuordnung ist nicht zwingend erforderlich. Es wird der Systembenutzer aus der ersten zutreffenden Zuordnung zur Anmeldung verwendet.

Für eine komplexe Berechtigungs- und Benutzeroberflächenstruktur können Sie eine Zuordnung von Funktionsgruppen zu Berechtigungsgruppen vornehmen. Über Funktionsgruppen bilden Sie die Funktionen der Personen in einem Unternehmen ab, beispielsweise IT Controller oder Niederlassungsleiter. Die Funktionsgruppen ordnen Sie den Berechtigungsgruppen zu. Eine Funktionsgruppe kann auf mehrere Berechtigungsgruppen verweisen und es können mehrere Funktionsgruppen auf eine Berechtigungsgruppe verweisen.

Ist die Sektion FunctionGroupMapping in den Konfigurationsdaten enthalten, so wird diese zuerst ausgewertet und der ermittelte Systembenutzer verwendet. Das Authentifizierungsmodul verwendet den Systembenutzer zur Anmeldung, der genau in den ermittelten Berechtigungsgruppen Mitglied ist. Wird so kein Systembenutzer ermittelt, wird die Sektion Usermapping ausgewertet.

<DialogUserDetect>

<FunctionGroupMapping

PersonToFunction = "View Mapping Person auf Funktionsgruppe"

FunctionToGroup = "View Mapping Funktionsgruppe auf Berechtigungsgruppe"

/>

<Usermappings>

<Usermapping

DialogUser = "Name des Systembenutzers"

Selection = "Auswahlkriterium"

/>

...

</Usermappings>

</DialogUserDetect>

Verwandte Themen

Beispiel für eine einfache Zuordnung zum Systembenutzer

In einem Webfrontend soll die Benutzeroberfläche für den IT Shop für alle Personen, ohne Berücksichtigung von Rechten auf Tabellen und Spalten angezeigt werden.

Dazu richten Sie eine neue Anwendung ein, beispielsweise WebShop_Customer_Prd, und passen die Konfigurationsdaten wie folgt an:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "dlg_all"

/>

</Usermappings>

</DialogUserDetect>

Legen Sie eine neue Berechtigungsgruppe WebShop_Customer_Grp an, welche die Benutzeroberfläche für die Anwendung, bestehend aus den Menüeinträgen, Oberflächenformularen und Methodendefinitionen, erhält. Die Benutzeroberfläche könnte aus den folgenden Menüeinträgen bestehen:

  • Kontaktdaten des Mitarbeiters

  • Bestellen eines Artikels

  • Abbestellen eines Artikels

Definieren Sie einen neuen Systembenutzer dlg_all und nehmen Sie diesen in die Berechtigungsgruppen vi_DE-CentralPwd, vi_DE-ITShopOrder und WebShop_Customer_Grp auf.

Verwandte Themen

Beispiel für eine Zuordnung zum Systembenutzer mittels Auswahlkriterium

Das im vorhergehenden Beispiel beschriebene Szenario wird so erweitert, dass nur der Kostenstellenverantwortliche das Austrittsdatum eines Mitarbeiters sehen darf. Dazu erweitern Sie das Kontaktdatenformular um das Eingabefeld Austrittsdatum.

Die Steuerung der Sichtbarkeit und Bearbeitbarkeit erfolgt über die Berechtigungen. Richten Sie einen neuen Systembenutzer dlg_kst ein und nehmen Sie diesen in die Berechtigungsgruppen vi_DE-CentralPwd, vi_DE-ITShopOrder und WebShop_Customer_Grp auf. Dem Systembenutzer geben Sie zusätzlich die Sichtbarkeitsberechtigung und die Bearbeitungsberechtigung auf die Spalte Person.Exitdate.

Die Konfigurationsdaten der Anwendung erweitern Sie so, dass die Kostenstellenverantwortlichen den Systembenutzer dlg_kst zur Anmeldung verwenden. Alle anderen Personen nutzen den Systembenutzer dlg_all zur Anmeldung.

Die Konfigurationsdaten passen Sie wie folgt an:

<DialogUserDetect>

<Usermappings>

<Usermapping

DialogUser = "dlg_kst"

Selection = "select 1 where %uid% in (select uid_personhead from profitcenter)"

/>

<Usermapping

DialogUser = "dlg_all"

/>

</Usermappings>

</DialogUserDetect>

Verwandte Themen
Documentos relacionados

The document was helpful.

Seleccionar calificación

I easily found the information I needed.

Seleccionar calificación