지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.1.3 - Installationshandbuch

Über dieses Handbuch Überblick über den One Identity Manager Installationsvoraussetzungen Installieren des One Identity Manager Installieren und Konfigurieren des One Identity Manager Service Automatisches Aktualisieren des One Identity Manager Aktualisieren des One Identity Manager Installieren zusätzlicher Module für eine bestehende One Identity Manager Installation Installieren und Aktualisieren eines Anwendungsservers Installieren des API Servers Installieren, Konfigurieren und Warten des Web Designer Web Portals Installieren und Aktualisieren der Manager Webanwendung Anmelden an den One Identity Manager-Werkzeugen Fehlerbehebung Erweiterte Konfiguration der Manager Webanwendung Maschinenrollen und Installationspakete Konfigurationsparameter für das E-Mail-Benachrichtigungssystem Einsatz der One Identity Manager-Datenbank mit SQL Server AlwaysOn-Verfügbarkeitsgruppen konfigurieren

Anwendungsserver installieren

WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server.

HINWEIS: Auf Linux Betriebssystemen wird die Verwendung des Docker-Images oneidentity/oneim-appserver empfohlen.

Um einen Anwendungsserver zu installieren

  1. Starten Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager Installationsmediums.

  2. Auf der Startseite des Installationsassistenten:

    1. Wechseln Sie zum Tabreiter Installation.

    2. Im Bereich Web-basierte Komponenten klicken Sie Installieren.

    Der Web Installer wird gestartet.

  3. Auf der Startseite des Web Installer wählen Sie Anwendungsserver installieren und klicken Sie Weiter.

  4. Auf der Seite Datenbankverbindung nehmen Sie eine der folgenden Aktionen vor:

    • Um eine bestehende Verbindung zur One Identity Manager-Datenbank zu verwenden, wählen Sie in der Auswahlliste Datenbankverbindung auswählen die entsprechende Verbindung aus.

      - ODER -

    • Um eine neue Verbindung zur One Identity Manager-Datenbank zu verwenden, klicken Sie Neue Verbindung erstellen und geben Sie eine neue Verbindung an.

  5. Unter Authentifizierungsverfahren geben Sie das Verfahren und die Anmeldedaten an, mit denen Sie sich an der Datenbank anmelden möchten.

  6. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor.

    Tabelle 26: Einstellungen für das Installationsziel
    Einstellung Beschreibung

    Anwendungsname

    Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll.

    Zielpfad im IIS

    Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird.

    SSL erzwingen

    Gibt an, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden.

    URL

    Uniform Resource Locator (URL) der Anwendung.

    Dedizierten Anwendungspool einrichten

    Gibt an, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert.

    Anwendungspool

    Anwendungspool, der verwendet werden soll. Die Angabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.

    Wenn Sie den Standardwert DefaultAppPool verwenden, wird der Anwendungspool nach folgender Syntax gebildet:

    <Anwendungsname>_POOL

    Identität

    Berechtigung für die Ausführung des Anwendungspool. Sie können eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwenden.

    Wenn Sie den Standardwert ApplicationPoolIdentity verwenden, wird das Benutzerkonto nach folgender Syntax gebildet:

    IIS APPPOOL\<Anwendungsname>_POOL

    Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie ... neben dem Eingabefeld, aktivieren Sie die Option Benutzerdefiniertes Konto und erfassen Sie den Benutzer und sein Kennwort.

    Web-Authentifizierung

    Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen:

    • Windows Authentifizierung (Single Sign-On)

      Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows-Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-on nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows-Authentifizierung installiert ist.

    • Anonym

      Eine Anmeldung ohne Windows-Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um.

    Datenbank-Authentifizierung

    HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie auf der Seite Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

    Authentifizierungsart gegenüber der One Identity Manager-Datenbank. Zur Auswahl stehen:

    • Windows Authentifizierung

      Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows-Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.

    • SQL-Authentifizierung

      Die Authentifizierung erfolgt mittels SQL Server-Anmeldung und Kennwort. Es wird die SQL Server-Anmeldung aus der Verbindung zur Datenbank verwendet. Über die Schaltfläche [...] können Sie eine abweichende SQL-Anmeldung angeben, beispielsweise wenn die Anwendung mit einer Berechtigungsebene für Endbenutzer ausgeführt werden soll. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert.

  7. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest.

    Die Maschinenrollen für den Anwendungsserver sind aktiviert. Die Maschinenrollen Search Service und Search Indexing Service werden für die Suchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immer gemeinsam zu verwenden.

    HINWEIS: Wenn Sie ein Web Portal nutzen möchten, wird ein Anwendungsserver benötigt, auf dem der Suchdienst installiert ist.

  8. Auf der Seite Setze das Session-Token-Zertifikat wählen Sie das Zertifikat, das für die Erstellung und Prüfung von Sitzungstoken verwendet wird.

    HINWEIS: Das Zertifikat muss mindestens eine Schlüssellänge von 1024 Bit haben.

    • Um ein bestehendes Zertifikat zu verwenden, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Nutze bestehendes Zertifikat.

      2. Zertifikat auswählen: Wählen Sie das Zertifikat. 

        HINWEIS: Es wird dringend empfohlen, das bereits in anderen Anwendungsservern und API Servern zum Einsatz kommende Zertifikat hier ebenfalls zu nutzen.

    • Um ein neues Zertifikat zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neues Zertifikat.

      2. Zertifikatsherausgeber: Erfassen Sie den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat zu exportieren und in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

    • Um eine neue Zertifikatsdatei zu erzeugen, nehmen Sie die folgenden Einstellungen vor.

      1. Zertifikat für das Session-Token: Wählen Sie den Eintrag Erzeuge neue Zertifikatsdatei.

      2. Zertifikatsherausgeber: Erfassen Sie unter den Aussteller des Zertifikats.

      3. Schlüssellänge: Legen Sie die Schlüssellänge für das Zertifikat fest.

      4. Zertifikatsdatei: Tragen Sie den Ablagepfad und Namen der Zertifikatsdatei ein.

      Die Zertifikatsdatei wird im angegebenen Verzeichnis der Webanwendung abgelegt.

      HINWEIS: Es wird dringend empfohlen, dieses neu erstellte Zertifikat in anderen Anwendungsservern und API Servern ebenfalls einzusetzen, sodass alle diese Server-Komponenten über das identische Session-Zertifikat verfügen und dieses nutzen.

  9. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung fest. Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.

    • Nutze die IIS-Berechtigungen für Aktualisierungen: Um das Benutzerkonto, unter welchem der Anwendungspool ausgeführt wird, für die Aktualisierungen zu nutzen, aktivieren Sie die Option.

    • Nutze ein spezielles Konto für die Aktualisierungen: Um ein anderes Benutzerkonto zu verwenden, aktivieren Sie die Option. Geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.

  10. (Optional) Für die Auswertung von archivierten Daten in Berichten und im TimeTrace wird auf eine One Identity Manager History Database zugegriffen. Wenn der Zugriff auf die One Identity Manager History Database über einen Anwendungsserver erfolgen soll, erfassen Sie auf der Seite History Database-Verbindungen bearbeiten die Kennung und die Verbindungsparameter zur One Identity Manager History Database.

    HINWEIS: Sie können die Verbindungsinformationen zu einer One Identity Manager History Database auch zu einem späteren Zeitpunkt hinzufügen. Dazu passen Sie die Konfigurationsdatei (web.config) an.

    Ausführliche Informationen zur Verbindung zur One Identity Manager History Database über Anwendungsserver und die erforderliche Konfiguration finden Sie im One Identity Manager Administrationshandbuch für die Datenarchivierung.

  11. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter.

  12. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.

  13. Schließen Sie das Autorun-Programm.

HINWEIS: Der Web Installer generiert die Webanwendung und die Konfigurationsdatei (web.config). Der Web Installer verwendet Standardwerte für die Konfigurationseinstellungen. Sie können diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen überprüfen. Die Konfigurationsdatei (web.config) finden Sie im Verzeichnis der Webanwendung im Internet Information Services.

Verwandte Themen

Status eines Anwendungsservers anzeigen

Der Anwendungsserver ist über ein Browserfrontend erreichbar.

Der Aufruf erfolgt mit der entsprechenden URL:

http://<Servername>/<Anwendungsname>

https://<Servername>/<Anwendungsname>

TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job Queue Info das Menü Ansicht > Serverstatus und öffnen Sie auf dem Tabreiter Webserver die Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen.

Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. Die Statusinformationen des Anwendungsservers stehen auch als Leistungsindikatoren zur Verfügung. Benutzer mit der Programmfunktion Aktiviert die Protokollanzeige im Anwendungsserver (AppServer_Logs) sehen das Protokoll.

Zusätzlich ist hier eine API Dokumentation verfügbar. Um auf die REST API im Anwendungsserver zuzugreifen, benötigen die Benutzer die Programmfunktion Erlaubt den Zugriff auf die REST API des Anwendungsservers (AppServer_API). Ausführliche Informationen zur REST API finden Sie im One Identity Manager REST API Reference Guide.

Anwendungsserver aktualisieren

HINWEIS:

  • Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführt werden kann.

  • Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:

    • Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis.

    • Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie Anmelden als Stapelverarbeitungsauftrag.

    • Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien Ersetzen eines Tokens auf Prozessebene und Anpassen von Speicherkontingenten für einen Prozess.

Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.

Die Prüfung erfolgt abhängig vom gewählten Modus für die automatische Aktualisierung. Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Die Dateien können nicht aktualisiert werden, solange die Anwendung läuft. Die Aktualisierung wartet bis die Anwendung neu gestartet wird.

Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder durch ununterbrochene Benutzeranfragen verhindert werden.

Die automatische Aktualisierung konfigurieren Sie in der Datei web.config des Anwendungsservers. In der Sektion<autoupdate> können Sie das Verhalten für die Aktualisierung beeinflussen.

Tabelle 27: Attribute für die Konfiguration der automatischen Aktualisierung

Attibut

Beschreibung

off

Gibt an, ob die automatische Aktualisierung deaktiviert ist (True) oder aktiviert ist (False).

mode

Modus für die automatische Aktualisierung. Zulässige Werte sind:

  • timer: Zeitgesteuerte Prüfung (Standard). Die Prüfung auf aktualisierte Dateien in der Datenbank erfolgt bei Start der Anwendung und wird danach im definierten Prüfintervall (Attribut checkinterval) durchgeführt.

  • manual: Manuell Prüfung. Die Prüfung wird über die Statusseite des Anwendungsservers gestartet. Eine regelmäßige Prüfung auf aktualisierte Dateien in der Datenbank findet nicht statt.

checkinterval

Zeitspanne, nach der im Modus timer nach Aktualisierungen gesucht wird. Standard: 5 Minuten

inactivitytime

Zeitspanne, in der keine Benutzeraktivität erfolgen darf, damit die Aktualisierung gestartet werden kann. Standard: 10 Sekunden.

Beispiel:

<autoupdate>

<!-- <add key="off" value="true" /> -->

<add key="mode" value="timer" /> <!-- Valid options: timer, manual -->

<add key="checkinterval" value="00:05:00"/>

<add key="inactivitytime" value="00:00:10"/>

</autoupdate>

Um die Aktualisierung manuell zu starten

  1. Öffnen Sie die Statusseite des Anwendungsservers im Browser.

  2. Klicken Sie im Menü des angemeldeten Benutzers Update immediately.

Verwandte Themen

Suchindex auf Anwendungsservern aktualisieren

Bei Änderungen an einer Tabelle mit indizierten Spalten, den referenzierten Tabellen oder den Übersetzungen wird der Suchindex aktualisiert.

Über den Konfigurationsparameter Common | Indexing | BatchSize legen Sie fest, wie viele Objekte in einem Indizierungslauf maximal indiziert werden. Der Standardwert ist 50000.

Der Konfigurationsparameter Common | Indexing | Interval enthält das Intervall zwischen zwei Indizierungsläufen. Standardwert sind 120 Sekunden. Nach Ablauf dieses Intervalls wird ein neuer Indizierungslauf gestartet.

Sie können den Suchindex manuell aktualisieren.

Um den Suchindex auf dem Anwendungsserver manuell zu aktualisieren

  1. Öffnen Sie die Statusseite des Anwendungsservers im Browser.

  2. Klicken Sie im Menü des angemeldeten Benutzers Update Index.

  3. Wählen Sie, ob alle Indexe oder nur geänderte Indexe aktualisiert werden sollen.

Verwandte Themen
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택