Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Anwendungsrollen

Analyse von Rollenmitgliedschaften und Zuweisungen an Personen

Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht "Übersicht aller Zuweisungen" angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.

Beispiele
  • Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
  • Wird der Bericht für eine Gruppe erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe besitzen.
  • Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzten.
  • Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
  • Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.

Um detaillierte Informationen über Zuweisungen anzuzeigen

  • Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
  • Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes, die Rollenklasse (Abteilung, Kostenstelle, Standort, Geschäftsrolle oder IT Shop Struktur), für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Personen mit dem ausgewählten Basisobjekt befinden.

    Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Personen befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.

  • Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
  • Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Personen dieser Rolle an, die das Basisobjekt besitzen.
  • Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Personen werden der Geschäftsrolle zugeordnet.

Abbildung 1: Symbolleiste des Berichts "Übersicht aller Zuweisungen"

Tabelle 15: Bedeutung der Symbole in der Symbolleiste des Berichts
Symbol Bedeutung
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts.
Speichern der aktuellen Ansicht des Berichts als Bild.
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll.

Anzeige aller Rollen oder Anzeige der betroffenen Rolle.

Anhang: Rollenbasierte Authentifizierungsmodule

Wichtig: Um die Anwendungsrollen zur Anmeldung zu nutzen, müssen die Benutzer ein rollenbasiertes Authentifizierungsmodul verwenden. Die rollenbasierte Anmeldung ist für den Manager und das Web Portal vorgesehen. Um die rollenbasierte Anmeldung mit anderen One Identity Manager-Werkzeugen zu nutzen, müssen Sie sicherstellen, dass der Benutzer, der durch das Authentifizierungsmodul ermittelt wird, die benötigten Berechtigungen besitzt.

Für die rollenbasierte Anmeldung an den One Identity Manager-Werkzeugen werden verschiedene rollenbasierte Authentifizierungsmodule zur Verfügung gestellt. Bei der Anmeldung einer Person mit einem rollenbasierten Authentifizierungsmodul werden zunächst die Mitgliedschaften der Person in den Anwendungsrollen ermittelt. Über die Zuordnung der Rechtegruppen zu den Anwendungsrollen wird bestimmt, welche Rechtegruppen für die Person gültig sind. Aus diesen Rechtegruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Person benutzt wird.

Hinweis: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Folgende rollenbasierten Authentifizierungsmodule sind verfügbar.

Single Sign-on generisch (rollenbasiert)

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 16: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung
QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\GenericAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.

Beispiel: CN

QER\Person\GenericAuthenticator\
EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\GenericAuthenticator\
DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Person (rollenbasiert)

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Benutzerkonto (rollenbasiert)

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto (rollenbasiert)

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Hinweis: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

Anmeldeinformationen

Anmeldename und Kennwort zur Anmeldung am Active Directory. Die Angabe der Domäne ist nicht erforderlich.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Es werden in der One Identity Manager-Datenbank das entsprechende Benutzerkonto und die Person ermittelt, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

LDAP Benutzerkonto (rollenbasiert)

Anmeldeinformationen

Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 17: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

HTTP Header (rollenbasiert)

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-On Lösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

OAuth 2.0/OpenID Connect (rollenbasiert)

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 18: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 19: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating