Chat now with support
Chat with Support

Identity Manager 9.1 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Aktivierende und deaktivierende Spalten für die Anmeldung festlegen

Bei der Ermittlung des Benutzerkontos für die OAuth 2.0/OpenID Connect Authentifizierung wird geprüft, ob das Benutzerkonto aktiviert oder deaktiviert ist. Legen Sie fest, welche Spalten ein Benutzerkonto als aktiviert oder als deaktiviert kennzeichnen.

Beachten Sie:

  • Es werden nur die Spalten der Tabelle angeboten, welche Sie in der OAuth 2.0/OpenID Connect Konfiguration des Identitätsanbieters in der Spalte für die Suche ausgewählt haben.

  • Eine Spalte kann entweder als aktivierende Spalte oder als deaktivierende Spalte genutzt werden.

  • Sie können nur aktivierende Spalten oder nur deaktivierende Spalten oder eine Kombination aus aktivierenden und deaktivierenden Spalten festlegen.

Beispiel:

Die Spalte für die Suche bezieht sich auf die Tabelle ADSAccount.

Fall a) Die Anmeldung soll nur für aktive Active Directory Benutzerkonten erlaubt sein.

  • Wählen Sie als deaktivierende Spalte ADSAccount.AccountDisabled.

    Wenn am Benutzerkonto die Spalte ADSAccount.AccountDisabled gesetzt ist, dann ist die Anmeldung nicht erlaubt.

Fall b) Die Anmeldung soll nur erlaubt sein, wenn es sich um ein privilegiertes Active Directory Benutzerkonto handelt.

  • Wählen Sie als aktivierende Spalte ADSAccount.IsPrivilegedAccount.

    Wenn am Benutzerkonto die Spalte ADSAccount.IsPrivilegedAccount gesetzt ist, dann ist die Anmeldung erlaubt.

Fall c) Die Anmeldung soll nur für aktive, privilegierte Active Directory Benutzerkonten erlaubt sein.

  • Wählen Sie als aktivierende Spalte ADSAccount.IsPrivilegedAccount und als deaktivierende Spalte ADSAccount.AccountDisabled.

    Wenn am Benutzerkonto die Spalte ADSAccount.IsPrivilegedAccount gesetzt ist und die Spalte ADSAccount.AccountDisabled nicht gesetzt ist, dann ist die Anmeldung erlaubt.

Um festzulegen, welche Spalten ein Benutzerkonto für die Anmeldung aktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor die Konfiguration.

  3. Wählen Sie im Bearbeitungsbereich den Tabreiter Aktivierende Spalten.

  4. Weisen Sie im Bereich Zuordnung hinzufügen die Spalten zu, die das Benutzerkonto für die Anmeldung aktivieren.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Um festzulegen, welche Spalten ein Benutzerkonto für die Anmeldung deaktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie im Listeneditor die Konfiguration.

  3. Wählen Sie im Bearbeitungsbereich den Tabreiter Deaktivierende Spalten.

  4. Weisen Sie im Bereich Zuordnung hinzufügen die Spalten zu, die das Benutzerkonto für die Anmeldung deaktivieren.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Informationen für OAuth 2.0/OpenID Connect Authentifizierung aufzeichnen

Zur Unterstützung bei der Fehlersuche zur OAuth 2.0/OpenID Connect Authentifizierung können persönliche Anmeldeinformationen, wie beispielsweise Informationen zum Token oder zum Aussteller, aufgezeichnet werden. Die Aufzeichnung erfolgt in der Objektprotokolldatei der jeweiligen One Identity Manager-Komponente <appName>_object.log.

Um Informationen zur Authentifizierung im Protokoll auszuzeichnen

  • Aktivieren Sie im Designer den Konfigurationsparameter QBM | DebugMode | OAuth2 | LogPersonalInfoOnException.

OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers

Die One Identity Manager REST API ist ein integraler Bestandteil des Anwendungsservers. Für die OAuth 2.0/OpenID Connect Authentifizierung an der REST API des Anwendungsservers, werden die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) unterstützt.

Die Authentifizierung erfolgt über ein bereitgestelltes Zugriffstoken. Bei der ersten Anfrage mit einem neuen Zugriffstoken wird mit diesem Token und dem Authentifizierungsmodul eine Sitzung aufgebaut. Bei weiteren Zugriffen mit demselben Token wird dieselbe Sitzung benutzt. Dabei wird die Gültigkeitsdauer des Tokens überprüft.

Ausführliche Informationen zur One Identity Manager REST API finden Sie im One Identity Manager REST API Reference Guide.

Verwandte Themen

OAuth 2.0/OpenID Connect Authentifizierung an der REST API einrichten

HINWEIS: Um auf die REST API im Anwendungsserver zugreifen zu können, benötigen Benutzer die Programmfunktion AppServer_API.

Um die Authentifizierung an der REST API über OAuth 2.0/OpenID Connect einzurichten

  • Aktivieren Sie im Designer den Konfigurationsparameter QBM | AppServer | AccessTokenAuth.

  • Aktivieren Sie im Designer das jeweilige Authentifizierungsmodul OAuth 2.0/OpenID Connect oder OAuth 2.0/OpenID Connect (rollenbasiert).

  • Wenn das Authentifizierungsmodul OAuth 2.0/OpenID Connect (rollenbasiert) genutzt wird, aktivieren Sie zusätzlich den Konfigurationsparameter QBM | AppServer | AccessTokenAuth | RoleBased.

  • Erstellen Sie im Designer die OAuth 2.0/OpenID Connect Konfiguration und weisen Sie die Konfiguration an die Webanwendung für den Anwendungsserver zu.

  • Die URL für den Anwendungsserver muss bekannt sein.

    Bei der Installation des Anwendungsservers wird ein Eintrag für die Webanwendung mit der URL in der Tabelle QBMWebApplication erzeugt. Prüfen Sie, ob die URL (Spalte BaseURL) eingetragen ist.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating