Aus Sicherheitsgründen können von den Frontends und Webanwendungen keine direkten Datenbankanfragen ausgeführt werden. Definierte SQL-Operatoren werden mit einem Risiko bewertet, so dass diese nicht über die One Identity Manager-Komponenten verwendet werden können. Dazu gehören beispielsweise LIKE, NOT LIKE, <, <=, > oder >=.
Um bestimmte Funktionen in den One Identity Manager-Komponenten weiterhin nutzen zu können, benötigen die Benutzer die Programmfunktion Common_AllowRiskyWhereClauses.
Benutzer, die diese Programmfunktion nicht besitzen, können nur Datenbankabfragen ausführen, die als vertrauenswürdig eingestuft sind oder kein Risiko darstellen (Risikowert = 0,0). Einige der Funktionen in den One Identity Manager-Komponenten, wie beispielsweise das Testen von dynamischen Rollen oder die Ausführung von Filterabfragen, sind ohne die Programmfunktion nicht möglich.
Soll es bestimmten Benutzern möglich sein, sicherheitskritische Abfragen auszuführen, können Sie die Berechtigungen über Berechtigungsgruppen an die Benutzer vergeben.
-
Für die nicht-rollenbasierte Anmeldung wird die Berechtigungsgruppe QBM_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Nehmen Sie die Systembenutzer, die sicherheitskritische Abfragen ausführen dürfen, in die Berechtigungsgruppe auf. Administrative Systembenutzer erhalten diese Berechtigungsgruppe automatisch.
-
Für die rollenbasierte Anmeldung wird die Berechtigungsgruppe QER_4_Critical_WhereClause bereitgestellt. Diese Gruppe besitzt die Programmfunktion. Die Berechtigungsgruppe ist mit der Anwendungsrolle Basisrollen | Sicherheitskritische Abfragen verbunden. Nehmen Sie die Personen, die sicherheitskritische Abfragen ausführen dürfen, in die Anwendungsrolle auf.
Mit welchem Risiko die Ausführung von SQL-Anweisungen bewertet wird, können Sie zusätzlich über Konfigurationsparameter steuern.
HINWEIS: Die Konfigurationsparameter wirken nur für Benutzer, die die Programmfunktion Common_AllowRiskyWhereClauses besitzen.
-
Über den Konfigurationsparameter QBM | SQLCheck | RiskEvaluation legen Sie die Risikobewertung der ausgeführten SQL-Anweisungen fest. Zulässige Werte sind:
-
Low: SQL-Anweisungen mit gewissem Risiko sind zulässig.
-
Medium: Das Risiko von SQL-Anweisungen wird in abgeschwächter Höhe bewertet. Somit wird der Schwellwert zur Sperrung des Benutzers später erreicht und es sind mehr Abfragen möglich.
-
Strict: Das Risiko von SQL-Anweisungen wird in voller Höhe bewertet. Eine Sperrung des Benutzers erfolgt aber erst nach Erreichen eines gewissen Schwellwertes.
Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Risikobewertung mit dem Wert Strict.
-
Über den Konfigurationsparameter QBM | SQLCheck | SubSelect legen Sie fest, wie die Bewertung von SQL-Anweisungen mit Unterabfragen erfolgen soll. Ist der Konfigurationsparameter aktiviert, werden Fundstellen in SQL-Anweisungen mit Unterabfragen als höheres Risiko eingestuft.
Hinweise für kundenspezifische Anpassungen
-
Datenbankabfragen, die beispielsweise auf kundenspezifischen Formularen benötigt werden oder Datenbankabfragen, die über die API des Anwendungsservers ausgeführt werden, müssen im One Identity Manager als vordefinierte Datenbankabfragen formuliert werden. Die Ausführung der Datenbankabfragen erfolgt immer mit den Berechtigungen des angemeldeten Benutzers. Ausführliche Informationen zum Verwenden vordefinierter Datenbankabfragen finden Sie im One Identity Manager Konfigurationshandbuch.
-
Beispiele für die Verwendung von vordefinierten Datenbankabfragen finden Sie auf dem Installationsmedium im Verzeichnis QBM\dvd\AddOn\ApiSamples.
-
Für die alphabetische Darstellung von beispielsweise Personen oder Unternehmensstrukturen können Sie in kundenspezifischen Menüanpassungen die Tabelle QERVFirstUnicodeChar nutzen.
Das Starten der One Identity Manager-Werkzeuge ist nur zulässig, wenn der Benutzer die entsprechenden Programmfunktionen besitzt. Die folgenden Programmfunktionen erlauben das Starten der One Identity Manager-Werkzeuge.
Um den Benutzern die Programmfunktion zur Verfügung zu stellen
-
Prüfen Sie im Designer in der Kategorie Berechtigungen > Programmfunktionen, welche Berechtigungsgruppe die erforderliche Programmfunktion besitzt und weisen Sie bei Bedarf die Programmfunktionen an weitere Berechtigungsgruppen zu.
-
Für nicht-rollenbasierte Anmeldung: Nehmen Sie im in der Kategorie Berechtigungen > Systembenutzer den Systembenutzer in die Berechtigungsgruppe auf.
-
Für rollenbasierte Anmeldung: Stellen Sie sicher, dass der Benutzer der Anwendungsrolle zugewiesen ist, welche die Programmfunktion über ihre Berechtigungsgruppe besitzt.
Tabelle 41: Programmfunktionen zum Starten der One Identity Manager-Werkzeuge
ApplicationStart_Analyzer |
Erlaubt das Starten des Programms Analyzer (Analyzer.exe). |
ApplicationStart_ConfigWizard |
Erlaubt das Starten des Programms (ConfigWizard.exe). |
ApplicationStart_CryptoConfig |
Erlaubt das Starten des Programms Crypto Configuration (CryptoConfig.exe). |
ApplicationStart_DataImporter |
Erlaubt das Starten des Programms Data Import (DataImporter.exe). |
ApplicationStart_DBClone |
Erlaubt das Starten des Programms DBClone.exe. |
ApplicationStart_DBComparer |
Erlaubt das Starten des Programms DBComparer.exe. |
ApplicationStart_DBCompiler |
Erlaubt das Starten des Programms Database Compiler (DBCompiler.exe). |
ApplicationStart_Designer |
Erlaubt das Starten des Programms Designer (Designer.exe). |
ApplicationStart_JobQueueInfo |
Erlaubt das Starten des Programms Job Queue Info (JobQueueInfo.exe). |
ApplicationStart_LaunchPad |
Erlaubt das Starten des Programms Launchpad (LaunchPad.exe). |
ApplicationStart_LicenseMeter |
Erlaubt das Starten des Programms License Meter (LicenseMeter.exe). |
ApplicationStart_Manager |
Erlaubt das Starten des Programms Manager (Manager.exe). |
ApplicationStart_ObjectBrowser |
Erlaubt das Starten des Programms Object Browser (ObjectBrowser.exe). |
ApplicationStart_OpSupport |
Erlaubt das Starten des Web Portal für Betriebsunterstützung. |
ApplicationStart_ReportEdit |
Erlaubt das Starten des Programms Report Editor (ReportEdit2.exe). |
ApplicationStart_SchemaExtension |
Erlaubt das Starten des Programms Schema Extension (SchemaExtension.exe). |
ApplicationStart_ServerInstaller |
Erlaubt das Starten des Programms Server Installer (ServerInstaller.exe). |
ApplicationStart_SoftwareLoader |
Erlaubt das Starten des Programms Software Loader (SoftwareLoader.exe). |
ApplicationStart_SynchronizationEditor |
Erlaubt das Starten des Programms Synchronization Editor (SynchronizationEditor.exe). |
ApplicationStart_SystemDebugger |
Erlaubt das Starten des Programms (SystemDebugger.exe). |
ApplicationStart_Transporter |
Erlaubt das Starten des Programms Database Transporter (Transporter.exe). |
ApplicationStart_WebDesignerCompiler |
Erlaubt das Starten des Programms VI.WebDesigner.CompilerCmd.exe. |
ApplicationStart_WebConfig |
Erlaubt das Starten des Programms Web Designer Configuration Editor (WebConfigEditor.exe). |
ApplicationStart_WebDesigner |
Erlaubt das Starten des Programms Web Designer (WebDesigner.exe). |
ApplicationStart_WebDesignerInstall |
Erlaubt das Starten des Programms Web Installer (WebDesigner.Installer.exe). |
Verwandte Themen
HINWEIS:
-
Verbindungen, die nicht die erwartete Berechtigungsebene für SQL Server-Anmeldungen verwenden, werden nicht im Verbindungsdialog angezeigt.
-
Wenn Sie im Verbindungsdialog eine vorhandene Datenbankverbindung wählen, wird die Berechtigungsebene der verwendeten Anmeldung im Tooltipp angezeigt.
Die folgenden minimalen Berechtigungsebenen werden für die One Identity Manager-Werkzeuge benötigt.
Tabelle 42: Berechtigungsebenen der One Identity Manager-Werkzeuge
Analyzer |
Endbenutzer |
Anwendungsserver |
Endbenutzer oder Konfigurationsbenutzer (abhängig von der Aufgabe des Anwendungsservers) |
API Server |
Endbenutzer |
Configuration Wizard |
Administrativer Benutzer |
Crypto Configuration |
Konfigurationsbenutzer |
Data Import |
Endbenutzer
Konfigurationsbenutzer (Speichern der Importdefinition) |
Database Transporter |
Konfigurationsbenutzer |
Database Compiler |
Konfigurationsbenutzer |
DBClone |
Administrativer Benutzer |
DBComparer |
Konfigurationsbenutzer |
Designer |
Konfigurationsbenutzer
Einige Konsistenzprüfungen benötigen die Berechtigungsebene für administrative Benutzer. |
Job Queue Info |
Konfigurationsbenutzer |
Launchpad |
Endbenutzer
Einige der Anwendungen, die aus dem Launchpad gestartet werden, benötigen abweichende Berechtigungsebenen. |
License Meter |
Endbenutzer |
Manager |
Endbenutzer
Einige Funktionen benötigen die Berechtigungsebene für Konfigurationsbenutzer, beispielsweise das Öffnen der Synchronisationsprojekte für Zielsysteme. Einige Konsistenzprüfungen benötigen die Berechtigungsebene für Konfigurationsbenutzer oder administrative Benutzer. |
HistoryDB Manager |
Endbenutzer |
Object Browser |
Endbenutzer |
One Identity Manager Service |
Konfigurationsbenutzer für die Prozessabholung über MSSQLJobProvider |
Report Editor |
Konfigurationsbenutzer |
Schema Extension |
Konfigurationsbenutzer |
Server Installer |
Konfigurationsbenutzer |
Software Loader |
Konfigurationsbenutzer |
Synchronization Editor |
Konfigurationsbenutzer |
System Debugger |
Konfigurationsbenutzer |
Web Designer |
Konfigurationsbenutzer |
Web Designer Configuration Editor |
Konfigurationsbenutzer |
Web Portal |
Endbenutzer |
Kennwortrücksetzungsportal |
Endbenutzer |
Web Portal für Betriebsunterstützung |
Endbenutzer |
AppServer.Installer.CMD.exe |
Konfigurationsbenutzer |
AutoUpdate.exe |
Konfigurationsbenutzer |
DBCompilerCMD.exe |
Konfigurationsbenutzer |
DBConsCheckCmd.exe |
Endbenutzer
Einige Konsistenzprüfungen benötigen die Berechtigungsebene für Konfigurationsbenutzer oder administrative Benutzer. |
DataImporterCMD.exe |
Endbenutzer |
DBTransporterCMD.exe |
Konfigurationsbenutzer |
Quantum.MigratorCmd.exe |
Administrativer Benutzer |
SchemaExtensionCmd.exe |
Konfigurationsbenutzer |
SoftwareLoaderCMD.exe |
Konfigurationsbenutzer |
VI.WebDesigner.CompilerCmd.exe |
Konfigurationsbenutzer |
WebDesigner.InstallerCMD.exe |
Konfigurationsbenutzer |
Verwandte Themen