サポートと今すぐチャット
サポートとのチャット

Identity Manager 8.2.1 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Authentifizierungsmodule zu Anwendungen zuweisen

HINWEIS: Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.

Wenn Sie kundenspezifische Authentifizierungsmodule entwickeln, weisen Sie diese den vorhandenen Anwendungen zu. Zuweisungen vordefinierter Authentifizierungsmodule müssen Sie in der Regel nicht ändern.

Um ein Authentifizierungsmodul an eine Anwendung zuzuordnen

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogProductHasAuthentifier.

  3. Wählen Sie im Listeneditor das Authentifizierungsmodul.

  4. Weisen Sie in der Bearbeitungsansicht Anwendung die Anwendung zu.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Authentifizierungsmodule für Anwendungen deaktivieren oder aktivieren

HINWEIS: Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.

Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, muss die Zuweisung des Authentifizierungsmoduls zur Anwendung aktiviert sein.

Um ein Authentifizierungsmodul für eine Anwendung zu aktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogProductHasAuthentifier.

  3. Wählen Sie im Listeneditor das Authentifizierungsmodul.

  4. Wählen Sie in der Bearbeitungsansicht Anwendung die zugewiesene Anwendung.

  5. Deaktivieren Sie die Option Deaktiviert.

  6. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Um ein Authentifizierungsmodul für eine Anwendung zu deaktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Authentifizierungsmodule.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogProductHasAuthentifier.

  3. Wählen Sie im Listeneditor das Authentifizierungsmodul.

  4. Wählen Sie in der Bearbeitungsansicht Anwendung die zugewiesene Anwendung.

  5. Aktivieren Sie die Option Deaktiviert.

  6. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Eigenschaften von Authentifizierungsmodulen

Tabelle 33: Eigenschaften von Authentifizierungsmodulen
Eigenschaft Bedeutung

Aktiviert

Gibt an, ob das Authentifizierungsmoduls zur Verwendung aktiviert ist.

Anzeigename

Anzeigename zur Anzeige des Authentifizierungsmoduls im Verbindungsdialog der Administrationswerkzeuge.

Authentifizierungsmodul

Interner Name des Authentifizierungsmoduls.

Authentifizierungstyp

Typ des Authentifizierungsmoduls. Zur Auswahl stehen Dynamisch und Rollenbasiert.

Bearbeitungsstatus

Der Bearbeitungsstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt.

Initiale Daten

Initiale Daten für die Anmeldung mit diesem Authentifizierungsmodul.

Syntax:

Property1=Value1;Property2=Value2

Beispiel:

User=<user name>;Password=<password>

Klasse

Klasse des Authentifizierungsmoduls.

Name des Assemblies

Name des Assemblies.

Reihenfolge

Reihenfolge für die Anzeige im Anmeldedialog.

Single Sign-On

Gibt an, ob das Authentifizierungsmodul ohne Angabe eines Kennwortes authentifizieren darf.

Wählbar im Frontend

Gibt an, ob das Authentifizierungsmodul im Anmeldedialog zur Auswahl angeboten werden soll.

Verwandte Themen

Initiale Daten für Authentifizierungsmodule

Die Authentifizierungsdaten werden aus dem Authentifizierungsmodul und seinen Parameter mit den Werten gebildet. Für die Parameter und ihre Werte können Sie initiale Daten vorgeben. Die initialen Daten werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.

Syntax für Authentifizierungsdaten:

Module=<Authenticiation module>;<Property1>=<Value1>;<Property2>=<Value2>,…

Beispiel:

Module=DialogUser;User=<user name>;Password=<password>

GeschlossenInitiale Daten für Authentifizierungsmodule festlegen
Tabelle 34: Authentifizierungsdaten für Authentifizierungsmodule
Authentifizierungsmodul Anzeigename Parameter und Bedeutung

DialogUser

Systembenutzer

User: Benutzername

Password: Kennwort des Benutzers.

ADSAccount

Active Directory Benutzerkonto

Keine Parameter erforderlich.

DynamicADSAccount

Active Directory Benutzerkonto (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

DynamicManualADS

Active Directory Benutzerkonto (manuelle Eingabe)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

RoleBasedADSAccount

Active Directory Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

RoleBasedManualADS

Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

User: Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter TargetSystem | ADS | AuthenticationDomains an.

Password: Kennwort des Benutzers.

Person

Person

User: Zentrales Benutzerkonto der Person.

Password: Kennwort des Benutzers.

DynamicPerson

Person (dynamisch)

Product: Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt.

User: Benutzername.

Password: Kennwort des Benutzers.

RoleBasedPerson

Person (rollenbasiert)

User: Benutzername.

Password: Kennwort des Benutzers.

HTTPHeader

HTTP Header

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

RoleBasedHTTPHeader

HTTP Header (rollenbasiert)

Header: Zu nutzender HTTP Header.

KeyColumn: Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll.

Standard: CentralAccount, PersonnelNumber

DynamicLdap

LDAP Benutzerkonto (dynamisch)

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedLdap

 

LDAP Benutzerkonto (rollenbasiert)

 

User: Benutzername.

Standard: CN, DistinguishedName, UserID, UIDLDAP

Password: Kennwort des Benutzers.

RoleBasedGeneric

Single Sign-on generisch (rollenbasiert)

SearchTable: Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK mit der Bezeichnung UID_Person enthalten, der auf die Tabelle Person zeigt.

SearchColumn: Spalte aus der SearchTable, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird.

DisabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren.

EnabledBy: Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten.

OAuth

OAuth 2.0/OpenID Connect

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

OAuthRoleBased

OAuth 2.0/OpenID Connect (rollenbasiert)

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

DialogUserAccountBased

Kontobasierter Systembenutzer

Keine Parameter erforderlich.

QERAccount

Benutzerkonto

Keine Parameter erforderlich.

RoleBasedQERAccount

Benutzerkonto (rollenbasiert)

Keine Parameter erforderlich.

PasswordReset

Kennwortrücksetzung

Keine Parameter erforderlich.

RoleBasedPasswordReset

Kennwortrücksetzung (rollenbasiert)

Keine Parameter erforderlich.

DecentralizedId

 

Dezentrale Identität

 

Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier).

RoleBasedDecentralizedId

 

Dezentrale Identität (rollenbasiert)

 

Email: Standard-E-Mail-Adresse der Person (Person.DefaultEmailAddress) oder Kontakt-E-Mail-Adresse der Person (Person.ContactEmail)

Identifier: Dezentrale Identität der Person (Person.DecentralizedIdentifier).

Token

 

 

 

Internes Authentifizierungsmodul im Anwendungsserver für die Authentifizierung über OAuth 2.0/OpenID Connect Zugriffstoken. Weitere Informationen finden Sie unter OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers.

URL: URL des Anwendungsservers

ClientId: ID der Anwendung beim Identitätsanbieter.

ClientSecret: Secret-Wert für die Authentifizierung am Tokenendpunkt.

TokenEndpoint: URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択