Tchater maintenant avec le support
Tchattez avec un ingénieur du support

Identity Manager 9.2.1 - Konfigurationshandbuch für Web Designer Webanwendungen

Über dieses Handbuch Web Portal konfigurieren Selbstregistrierung neuer Benutzer konfigurieren Kennwortrücksetzungsportal konfigurieren Webauthn-Sicherheitsschlüssel Application Governance Modul konfigurieren Empfehlungen für einen sicheren Betrieb von Webanwendungen

Webauthn-Sicherheitsschlüssel

One Identity bietet Benutzern die Möglichkeit, sich mithilfe von (physischen) Sicherheitsschlüsseln bequem und sicher an den Webanwendungen des One Identity Managers anzumelden. Diese Sicherheitsschlüssel unterstützen den W3C-Standard Webauthn.

Die Nutzung von Sicherheitsschlüsseln gewährleistet eine höhere Sicherheit beim Anmelden.

Hinweise
  • Administratoren von Identitäten haben im Manager die Möglichkeit, alle Sicherheitsschlüssel einer Identität einzusehen und zu löschen. Weitere Informationen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  • Der Webauthn-Standard wird im Internet Explorer NICHT unterstützt. Benutzer müssen einen anderen Browser verwenden.

Detaillierte Informationen zum Thema

Webauthn-Konfiguration

Die Konfiguration von Webauthn für eine Webanwendung führen Sie in vier Schritten durch:

  1. Konfigurieren Sie das OAuth-Zertifikat, um die sichere Kommunikation zwischen dem RSTS und One Identity Manager zu ermöglichen.

  2. Konfigurieren Sie den RSTS.

  3. Konfigurieren Sie den Anwendungsserver.

  4. Konfigurieren Sie die Webanwendung.

Detaillierte Informationen zum Thema

Schritt 1: OAuth-Zertifikat konfigurieren

Die Kommunikation zwischen dem RSTS und One Identity Manager findet mithilfe von Tokens statt, die mit dem privaten Schlüssel eines Zertifikats signiert werden. Dieses Zertifikat muss gültig und vertrauenswürdig sein, da der RSTS dieses Zertifikat auch zur Client-Zertifikatsanmeldung am Anwendungsserver verwendet. One Identity empfiehlt Ihnen, entweder eine bereits existierende Public-Key-Infrastruktur (PKI) oder eine neue Zertifizierungskette aus Root-Zertifikat und damit signiertem OAuth-Signatur-Zertifikat zu verwenden.

Um das OAuth-Signatur-Zertifikat zu konfigurieren

  1. Erstellen Sie ein neues gültiges und vertrauenswürdiges OAuth-Signatur-Zertifikat.

  2. Stellen Sie Folgendes sicher:

    • Der RSTS muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

    • Der Anwendungsserver, von dem der RSTS die Webauthn-Sicherheitsschlüssel abfragt, muss der Zertifizierungskette des OAuth-Signatur-Zertifikats vertrauen.

    • Die Webanwendung, die eine Anmeldung per RSTS erlaubt, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

    • Die Webanwendung, über welche die Webauthn-Sicherheitsschlüssel verwaltet werden sollen, muss Zugriff auf das OAuth-Signatur-Zertifikat mit privatem Schlüssel haben.

Verwandte Themen

Schritt 2: RSTS konfigurieren

HINWEIS: Bevor Sie den RSTS konfigurieren können, müssen Sie das OAuth-Signatur-Zertifikat konfigurieren. Weitere Informationen finden Sie unter Schritt 1: OAuth-Zertifikat konfigurieren.

Um Webauthn am RSTS zu konfigurieren

  1. Nehmen Sie eine der folgenden Aktionen vor:

    • Wenn Sie den RSTS installieren: Bei der Installation des RSTS wählen Sie das vorherig erstellte OAuth-Signatur-Zertifikat, damit der entsprechende Eintrag am Identitätsanbieter im One Identity Manager entsprechend gesetzt wird.

    • Wenn der RSTS bereits installiert ist: Beenden Sie den entsprechenden Dienst, deinstallieren Sie den Dienst und installieren Sie die neue Version.

  2. In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS' auf: https://<Webanwendung>/RSTS/admin.

  3. Auf der Startseite klicken Sie Applications.

  4. Auf der Seite Applications klicken sie Add Application.

  5. Auf der Seite Edit vervollständigen Sie die Angaben in den verschiedenen Tabreitern.

    HINWEIS: Die Weiterleitungs-URLs (Redirect Url) im Tabreiter General Settings werden nach folgenden Formaten gebildet:

    • Für den API Server

      https://<Server-Name>/<Anwendungsserver-Pfad>/html/<Webanwendung>/?Module=OAuthRoleBased

    • Für das Web Portal:

      https://<Server-Name>/<Webanwendung>/

  6. Wechseln Sie zum Tabreiter Two Factor Authentication.

  7. Im Tabreiter Two Factor Authentication im Bereich Required By in der Liste klicken Sie auf:

    • All Users: Alle Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden.

    • Specific Users/Groups: Bestimmte Benutzer müssen sich per Zwei-Faktor-Authentifizierung anmelden. Diese können Sie hinzufügen, indem Sie Add klicken.

    • Not Required: Der Anwendungsserver entscheidet, welche Benutzer sich per Zwei-Faktor-Authentifizierung anmelden müssen.

  8. In der Navigation klicken Sie Home.

  9. Auf der Startseite klicken Sie Authentication Providers.

  10. Auf der Seite Authentication Providers bearbeiten Sie den Eintrag in der Liste.

  11. Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.

  12. Im Bereich Two Factor Authentication Settings klicken Sie FIDO2/WebAuthn.

  13. Bearbeiten Sie die folgenden Eingabefelder:

    • Relying Party Name: Geben Sie einen beliebigen Namen ein.

    • Domain Suffix: Geben Sie das Suffix Ihrer Active Directory-Domäne ein, auf welcher der RSTS gehostet wird.

    • API URL Format: Geben Sie die URL des Anwendungsservers ein. Die eingegebene URL muss einen Platzhalter in der Form {0} enthalten, der die eindeutige Kennung des Benutzers angibt.

      Das API URL Format wird vom RSTS genutzt, um die Liste der Webauthn-Sicherheitsschlüssel eines bestimmten Benutzers abzurufen. Geben Sie die URL in folgendem Format an:

      https://<Server-Name>/<Anwendungsserver-Pfad>/appServer/webauthn/<Identitätsanbieter>/Users/{0}

      • <Server-Name> – Vollqualifizierter Host-Name des Webservers, der den Anwendungsserver hostet

      • <Anwendungsserver-Pfad> – Pfad zur Webanwendung des Anwendungsserver (Standard: AppServer)

      • <Identitätsanbieter> – Name des Identitätsanbieters

        TIPP: Den Namen des Identitätsanbieters können Sie im Designer ermitteln: 

        Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenId Connect Konfiguration


      Beispiel:
      https://www.example.com/AppServer/appServer/webauthn/OneIdentity/Users/{0}

  14. Klicken Sie Finish.

Verwandte Themen
Documents connexes

The document was helpful.

Sélectionner une évaluation

I easily found the information I needed.

Sélectionner une évaluation