Die Webanwendung (oder Clientanwendung) fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Anmeldeendpunkt wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert ein Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen.
Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Einstellungen des Identitätsanbieters verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:
-
Konfiguration der OAuth 2.0/OpenID Connect Anwendung (Tabelle QBMIdentityClient)
-
Zertifikatstext (QBMIdentityClient.CertificateText) .
-
Subject oder Fingerabdruck aus dem lokalen Speicher (QBMIdentityClient.CertificateSubject und QBMIdentityClient.CertificateThumbPrint).
-
Zertifikatsendpunkt (QBMIdentityClient.CertificateEndpoint).
Zusätzlich werden das Subjekt oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.
-
Konfiguration des Identitätsanbieters (Tabelle QBMIdentityProvider)
-
Zertifikatstext ((QBMIdentityProvider.CertificateText).
-
Subject oder Fingerabdruck aus dem lokalen Speicher (QBMIdentityProvider.CertificateSubject und QBMIdentityProvider.CertificateThumbPrint).
-
Zertifikatsendpunkt (QBMIdentityProvider.CertificateEndpoint)).
Zusätzlich werden das Subjekt oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.
-
JSON-Web-Key-Endpunkt (QBMIdentityProvider.JsonWebKeyEndpoint).
Um das Benutzerkonto zu ermitteln, wird festgelegt über welchen Claim-Typ die Benutzerinformationen ermittelt werden und welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth 2.0 auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen UserInfo-Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Scope der Wert openid enthalten, verwenden die Authentifizierungsmodule OpenID Connect zur Authentifizierung.
Um eine OAuth 2.0/OpenID Connect Konfiguration zu erstellen und anzupassen, wird ein Assistent zur Verfügung gestellt.
Um eine OAuth 2.0/OpenID Connect Konfiguration zu erstellen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.
-
Wählen Sie die Aufgabe Einen neuen Identitätsanbieter erstellen.
-
Auf der Startseite des Assistenten klicken Sie Weiter.
-
Auf der Seite Neuer Identitätsanbieter erfassen Sie den Anzeigenamen der Konfiguration und eine Beschreibung.
-
Klicken Sie Weiter.
-
Auf der Seite Automatische Konfigurationsermittlung legen Sie fest, wie Sie die Informationen zum Identitätsanbieter eingeben möchten.
-
Wenn die Konfigurationsdaten automatisch über OpenID Connect Discovery ermittelt werden können:
-
Wählen Sie Automatische Konfigurationsdatenermittlung.
-
Geben Sie im Eingabefeld die Adresse (URL) für die automatische Ermittlung der Konfigurationsdaten an oder wählen Sie über das Pfeilmenü eine Beispieladresse.
-
Klicken Sie Ausführen.
-
Die Konfigurationsdaten werden ermittelt und in einen Dialogfenster anzeigt. Um die Konfigurationsdaten zu übernehmen, klicken Sie OK.
-
Wenn Sie die Konfigurationsdaten aus einer Vorlage erzeugen wollen:
-
Wählen Sie Aus einer Vorlagedatei erzeugen.
-
Klicken Sie Auswählen und wählen Sie die XML-Datei.
Für den One Identity Redistributable STS (RSTS) wird die Datei mit einer Vorkonfiguration mitgeliefert. Die Datei RSTS_Template.xml finden Sie im One Identity Manager Installationsverzeichnis.
-
Klicken Sie Öffnen.
-
Sollen die Konfigurationsdaten nicht automatisch ermittelt werden, wählen Sie Manuelle Dateneingabe.
Sie müssen die Konfigurationsdaten auf den nächsten Seiten des Assistenten manuell eingeben.
-
Klicken Sie Weiter.
-
Auf der Seite Konfigurationsdaten erfassen Sie die allgemeinen Informationen zum Identitätsanbieter.
HINWEIS: Haben Sie die automatische Konfigurationsdatenermittlung gewählt, dann sind einige der Informationen bereits ausgefüllt.
Tabelle 35: Allgemeine Konfigurationsdaten des Identitätsanbieters
Anmeldeendpunkt |
Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.
Beispiel: http://localhost/rsts/login |
Abmeldeendpunkt |
URL des Abmeldeendpunktes.
Beispiel: http://localhost/rsts/login?wa=wsignout1.0 |
Tokenendpunkt |
URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.
Beispiel: https://localhost/rsts/oauth2/token |
Aussteller |
Uniform Resource Identifier (URI) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.
Beispiel: urn:RSTS/identity |
Scope |
Protokoll für die Authentifizierung. Ist der Wert openid, wird OpenID Connect zur Authentifizierung verwendet, ansonsten wird OAuth 2.0 verwendet. |
UserInfo-Endpunkt |
URL des OpenID Connect UserInfo-Endpunktes. |
Kein ID-Token Prüfung |
Gibt an, ob eine Prüfung des ID-Tokens stattfindet. Ist die Option aktiviert, findet keine Überprüfung des ID-Tokens statt. Die Option kann nur bei einem Scope, der den Wert openid enthält, und einem besetzten UserInfo-Endpoint aktiviert werden. |
Selbstsignierte Zertifikate zulässig |
Gibt an, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Tokenendpunkt und User Info-Endpunkt erlaubt ist. |
Shared Secret |
Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. Wenn alle Anwendungen des Identitätsanbieters dasselbe Shared Secret nutzen, tragen Sie hier den Wert ein. Nutzen die Anwendungen unterschiedliche Shared Secrets, dann erfassen Sie die Shared-Secret-Werte beim Erstellen der Anwendungen. |
Angeforderte Referenzwerte der Authentifizierungskontextklasse |
Leerzeichen-getrennte Zeichenfolge, die die acr-Werte angibt, welche der Autorisierungsserver für die Verarbeitung dieser Authentifizierungsanfrage verwenden soll, wobei die Werte in der Reihenfolge ihrer Präferenz erscheinen. |
-
Klicken Sie Weiter.
-
Auf der Seite Zertifikate konfigurieren erfassen Sie die Informationen zum Zertifikat des Identitätsanbieters. Wenn alle Anwendungen dasselbe Zertifikat nutzen, tragen Sie hier die Informationen ein. Nutzen die Anwendungen unterschiedliche Zertifikatseinstellungen, dann erfassen Sie die Informationen beim Erstellen der Anwendung.
HINWEIS: Haben Sie die automatische Konfigurationsdatenermittlung gewählt, dann sind einige der Informationen bereits ausgefüllt.
Tabelle 36: Informationen zum Zertifikat des Identitätsanbieters
Zertifikatsendpunkt |
Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.
Beispiel: https://localhost/RSTS/SigningCertificate |
Subjekt des Zertifikates |
Subjekt des Zertifikats, das zur Überprüfung verwendet wird. Subjekt oder Fingerabdruck müssen gesetzt sein. |
Fingerabdruck |
Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. |
JSON-Web-Key-Endpunkt |
URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. |
Zertifikat |
Inhalt des Zertifikats Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist. |
-
Klicken Sie Weiter.
-
Auf der Seite Suchregel für Benutzerinformationen legen Sie fest, wie die Anmeldeinformationen zwischen Identitätsanbieter und One Identity Manager-Datenbank ermittelt werden.
Tabelle 37: Ermitteln der Anmeldeinformationen
Wert für die Suche |
Kompletter Name des Claim-Typs aus dem beim Identitätsanbieter die Anmeldeinformationen ermittelt werden.
Beispiel: Name einer Entität
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
Haben Sie die Konfigurationsdaten automatisch ermittelt, wählen Sie einen Wert aus der Liste.
|
Spalte für die Suche |
Tabelle und Spalte in der One Identity Manager-Datenbank in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.
Beispiel: ADSAccount.ObjectGUID |
Wert für Benutzernamen |
Kompletter Name des Claim-Typs aus dem beim Identitätsanbieter der Benutzername ermittelt wird. Der Benutzername wird beispielsweise dazu verwendet Datenänderungen im One Identity Manager zu kennzeichnen (Spalten XUserInserted und XUserUpdated).
Beispiel: User Principal Name (UPN)
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
Haben Sie die Konfigurationsdaten automatisch ermittelt, wählen Sie einen Wert aus der Liste. |
Wert für Prüfung |
Name des Claim-Typs, der zusätzlich geprüft werden soll. Der Claim-Typ muss unter genau diesem Namen im Token vorkommen. Mit der Prüfung wird sichergestellt, dass sich nur Identitäten anmelden können, in deren Token im angegebenen Claim-Typ genau der Vergleichswert enthalten ist. |
Vergleichswert |
Konkreter Wert des unter Wert für Prüfung angegebenen Claim-Typs, gegen den geprüft wird. |
-
Klicken Sie Weiter.
-
Auf der Seite OAuth 2.0/OpenID Connect Anwendungen erstellen erfassen Sie die Informationen zur Anwendung beim Identitätsanbieter.
-
Klicken Sie neben dem Eingabefeld Anwendungen auf die Schaltfläche .
Für die Anbindung mittels RSTS wählen Sie RSTS-Client. Einige der Informationen zur Anwendung RSTS-Client sind bereits vordefiniert.
-
Auf dem Tabreiter Allgemein erfassen Sie allgemeinen Informationen zur Anwendung.
Tabelle 38: Allgemeine Informationen zur Anwendung
Anzeigename |
Anzeigename der Anwendung. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Client ID |
ID der Anwendung beim Identitätsanbieter. Für Clientanwendungen aktivieren Sie die Option Standard.
Beispiel: urn:OneIdentityManager/Web |
Shared Secret |
Anwendungsspezifischer Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. |
Abzufragende Ressource |
URN der abzufragenden Ressource, zum Beispiel für ADFS. Wird nur benötigt, wenn der Identitätsanbieter diesen Wert erfordert. |
Weiterleitungs-URL |
Weiterleitungsadresse zur Weiterleitung für Anwendungen.
Beispiel: urn:InstalledApplication |
Weiterleitungs-URI nach Abmeldung senden |
Angabe, die das Verhalten des Clients nach Abmelden von der Anwendung steuert. Zulässige Werte sind Weiterleitungs-URI für die Anwendung senden (Standard), Keine Weiterleitungs-URI senden und Senden einer spezifischen Weiterleitungs-URI. |
Weiterleitungs-URI nach Abmeldung |
URI, die nach dem Abmelden von der Anwendung versendet wird. |
Standard |
Gibt an, ob es sich um eine Standardanwendung für Clientanwendungen handelt. |
-
Auf dem Tabreiter Zertifikat erfassen Sie die Informationen zum Zertifikat der Anwendung.
Tabelle 39: Informationen zum Zertifikat der Anwendung
Zertifikatsendpunkt |
Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.
Beispiel: https://localhost/RSTS/SigningCertificate |
Fingerabdruck |
Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. |
Subjekt des Zertifikates |
Subjekt des Zertifikats, das zur Überprüfung verwendet wird. Subjekt oder Fingerabdruck müssen gesetzt sein. |
Zertifikat |
Inhalt des Zertifikats. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist. |
-
Auf dem Tabreiter Authentifizierung erfassen Sie folgende Informationen:
Tabelle 40: Informationen zur Authentifizierungsmethode
Authentifizierungsmethode |
Authentifizierungsmethode am Tokenendpunkt.
Zulässige Werte sind:
-
client_secret_basic (Standardwert): HTTP Basisauthentifizierungsmethode. Das Shared Secret wird im HTTP Header übergeben.
-
client_secret_post: Das Shared Secret wird im Wert client_secret des POST-Bodys übergeben.
-
none: Keine Authentifizierung am Tokenendpunkt.
-
client_secret_jwt: Das Shared Secret wird als JSON Web Token (JWT) übergeben.
-
private_key_jwt: Das Shared Secret wird als JWT übergeben. Zusätzlich erfolgt eine Verschlüsselung mit dem privatem Schlüssel. |
Tokenendpunkt Zertifikat |
Hexadezimaler Fingerabdruck des Zertifikates zur Prüfung des Tokens. |
Angeforderte Referenzwerte der Authentifizierungskontextklasse |
Leerzeichen-getrennte Zeichenfolge, die die acr-Werte angibt, welche der Autorisierungsserver für die Verarbeitung dieser Authentifizierungsanfrage verwenden soll, wobei die Werte in der Reihenfolge ihrer Präferenz erscheinen.
Sind hier keine Referenzwerte definiert, werden die Referenzwerte des Identitätsanbieters verwendet. |
-
Um den Identitätsanbieter und die Anwendung in der One Identity Manager-Datenbank zu erstellen, klicken Sie Weiter.
-
Um den Assistenten zu beenden, klicken Sie Fertig.
Um die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) in den Webanwendungen des One Identity Manager zu nutzen, weisen Sie die OAuth2.0/OpenID Connect Anwendung an die Webanwendung zu.
Um eine OAuth2.0/OpenID Connect Anwendung an eine Webanwendung zuzuweisen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > Webserver Einstellungen.
-
Wählen Sie im Listeneditor die Webanwendung.
-
Weisen Sie in der Bearbeitungsansicht Eigenschaften in der Auswahlliste OAuth2.0/OpenID Connect Anwendung die Anwendung zu.
-
Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.
Über diese Aufgaben zeigen Sie die Informationen zu einer OAuth 2.0/OpenID Connect Konfiguration an.
Um die Konfiguration eines Identitätsanbieters anzuzeigen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.
-
Wählen Sie im Listeneditor den Identitätsanbieter. Die Konfigurationsdaten werden in der Bearbeitungsansicht auf folgenden Tabreitern angezeigt.
-
Allgemein: Zeigt die allgemeinen Konfigurationsdaten des Identitätsanbieters.
-
Zertifikat: Zeigt die Informationen zum Zertifikat des Identitätsanbieters.
-
Anwendungen: Zeigt die Konfiguration der OAuth 2.0/OpenID Connect Anwendungen.
-
Aktivierende Spalten: Zeigt die Tabelle und die Spalten, die ein Benutzerkonto als aktiviert kennzeichnen.
-
Deaktivierende Spalten: Zeigt die Tabelle und die Spalten, die ein Benutzerkonto als deaktiviert kennzeichnen.
Um die Konfiguration einer OAuth 2.0/OpenID Connect Anwendung anzuzeigen
-
Wählen Sie im Designer die Kategorie Basisdaten > Sicherheitseinstellungen > OAuth 2.0/OpenID Connect Konfiguration.
-
Wählen Sie im Listeneditor den Identitätsanbieter.
-
Wählen Sie in der Bearbeitungsansicht den Tabreiter Anwendungen.
-
Um die Konfiguration einer Anwendung anzuzeigen, wählen Sie im Bereich Anwendung die OAuth 2.0/OpenID Connect Anwendung.
HINWEIS:
Über die Schaltfläche Hinzufügen können Sie eine neue OAuth 2.0/OpenID Connect Anwendung zur Konfiguration des Identitätsbieters hinzufügen.
Über die Schaltfläche Entfernen können Sie eine nicht mehr benötigte OAuth 2.0/OpenID Connect Anwendung aus der Konfiguration des Identitätsbieters entfernen.