Schritt 3: Anwendungsserver konfigurieren
Der RSTS ruft die Webauthn-Sicherheitsschlüssel für Active Directory-Benutzer über eine Schnittstelle ab. Da diese Informationen sensibel sind und nicht von Unbefugten abgerufen werden dürfen, muss der Zugriff über eine Client-Zertifikat-Anmeldung abgesichert werden.
Damit dies funktionieren kann, müssen die Zertifikate gültig sein und die Client-Zertifikat-Anmeldung am IIS aktiv sein.
Der Anwendungsserver prüft bei der Anmeldung den Fingerabdruck des Zertifikats, mit dem sich der Client angemeldet hat. Nur wenn der Fingerabdruck mit dem hinterlegten Fingerabdruck übereinstimmt, werden die Informationen geliefert.
Falls Sie den Anwendungsserver auch als Backend für Webanwendungen verwenden, vergeben Sie für den Anwendungspool-Benutzer Zugriffsberechtigungen auf den privaten Schlüssel des OAuth-Signatur-Zertifikat.
Um die Client-Zertifikat-Anmeldung am IIS zu aktivieren
-
Starten Sie den Internet Information Services Manager.
-
Öffnen Sie für den entsprechenden Anwendungsserver das Menü SSL Settings.
-
Ändern den Wert der Option Client certificates auf Accept.
Verwandte Themen
Schritt 4: Webanwendung konfigurieren
HINWEIS: Die Webanwendung, die Webauthn verwenden soll, muss das sichere Kommunikationsprotokoll HTTPS verwenden (siehe HTTPS verwenden).
Um Webauthn in der Webanwendung zu konfigurieren
-
Starten Sie das Programm Web Designer.
-
Verbinden Sie sich mit der entsprechenden Datenbank.
-
In der Menüleiste klicken Sie Ansicht > Startseite.
-
Auf der Startseite klicken Sie Webanwendung auswählen und wählen Sie die gewünschte Webanwendung aus.
-
Klicken Sie Einstellungen der Webanwendung bearbeiten.
- Im Dialogfenster Einstellungen der Webanwendung bearbeiten in der Auswahlliste Authentifizierungsmodul klicken Sie OAuth 2.0/OpenID Connect.
- Im Bereich OAuth in der Auswahlliste OAuth 2.0/OpenID Connect Konfiguration klicken Sie den entsprechenden Identitätsanbieter.
- Klicken Sie OK.
-
In der Menüleiste klicken Sie Bearbeiten > Projekt konfigurieren > Webprojekt.
-
Im Fenster Projekt konfigurieren konfigurieren Sie die folgenden Konfigurationsschlüssel:
-
VI_Common_RequiresAccessControl: Aktivieren Sie diesen Parameter, um die Zwei-Faktor-Authentifizierung zu aktivieren.
-
VI_Common_AccessControl_Webauthn_2FA: Legen Sie fest, ob Sie die Webauthn-Zwei-Faktor-Authentifizierung für die Webanwendung aktivieren möchten.
Sie können die Webauthn-Zwei-Faktor-Authentifizierung und die Verwaltung der Sicherheitsschlüssel voneinander getrennt konfigurieren. Wenn Sie beispielsweise nur die Verwaltung der Sicherheitsschlüssel, nicht aber die Zwei-Faktor-Authentifizierung mithilfe der Sicherheitsschlüssel in der Webanwendung aktivieren möchten, deaktivieren Sie diesen Konfigurationsschlüssel und aktivieren Sie den nachfolgend beschriebenen Konfigurationsschlüssel VI_Common_AccessControl_Webauthn_2FA_VisibleControls.
-
VI_Common_AccessControl_Webauthn_2FA_VisibleControls: Legen Sie fest, ob Benutzer in der Webanwendung Sicherheitsschlüssel verwalten können.
-
VI_Employee_QERWebAuthnKey_Filter: Legen Sie fest, welche Identitäten Sicherheitsschlüssel in der Webanwendung verwalten können. Wenn Sie hier nichts angeben, können alle Benutzer der Webanwendung Sicherheitsschlüssel verwalten (vorausgesetzt der Konfigurationsschlüssel VI_Common_AccessControl_Webauthn_2FA_VisibleControls ist aktiviert).
-
VI_Common_AccessControl_Webauthn_2FAID: Geben Sie die eindeutige Kennung des sekundären Authentifizierungsanbieters für die Webauthn-Zwei-Faktor-Authentifizierung ein. Diese Kennung finden Sie in Ihrer RSTS-Konfiguration:
-
In Ihrem Web-Browser rufen Sie die URL der Administrationsoberfläche des RSTS auf: https://<Webanwendung>/RSTS/admin
-
Auf der Hauptseite klicken Sie Authentication Providers.
-
Auf der Seite Authentication Providers klicken Sie den entsprechenden Eintrag.
-
Auf der Seite Edit wechseln Sie zum Tabreiter Two Factor Authentication.
-
Entnehmen Sie dem Feld Provider ID die entsprechende Kennung.
Verwandte Themen
Application Governance Modul konfigurieren
Mithilfe des Application Governance Moduls können Sie schnell und einfach den Onboarding-Prozess für neue Anwendungen zentral mit einem Tool durchführen. Eine mit dem Application Governance Modul erstellte Anwendung vereint alle Berechtigungen, die Benutzer der Anwendung für ihre tägliche Arbeit benötigen. So können Sie Ihrer Anwendung Berechtigungen und Rollen zuweisen und planen, ab wann diese als Leistungsposition zur Verfügung stehen (beispielsweise im Web Portal).
Verwandte Themen
Berechtigungen konfigurieren
Um Identitäten zu ermöglichen, im Web Portal Anwendungen anzuzeigen, zu erstellen und zu verwalten sowie Bestellungen von Produkten von Anwendungen zu genehmigen, weisen Sie den entsprechenden Identitäten folgende Anwendungsrollen zu:
-
Application Governance | Administratoren
-
Application Governance | Eigentümer
-
Application Governance | Entscheider
Weitere Informationen zu den Anwendungsrollen und wie Sie diese Identitäten zuweisen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
HINWEIS: Das Verwalten einer Anwendung umfasst Folgendes:
-
Bearbeiten der Stammdaten der Anwendung und der zugewiesenen Berechtigungen und Rollen
-
Zuweisen von Berechtigungen und Rollen zur Anwendung
-
Aufheben der Zuweisungen von Berechtigungen und Rollen zur Anwendung
-
Bereitstellen der Anwendung und der zugehörigen Berechtigungen und Rollen
-
Aufheben der Bereitstellungen der Anwendung und der zugehörigen Berechtigungen und Rollen