Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.
| Konfigurationsparameter | Beschreibung |
|---|---|
| QER\Structures | Ist der Konfigurationsparameter aktiviert, werden hierarchische Rollen unterstützt. |
|
QER\Structures\DynamicGroupCheck |
Der Konfigurationsparameter steuert die Erzeugung von Berechnungsaufträgen für dynamische Rollen. Ist der Konfigurationsparameter deaktiviert, sind auch die untergeordneten Konfigurationsparameter nicht wirksam. |
|
QER\Structures\DynamicGroupCheck\ |
Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Personen oder Personen-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten geplanten Lauf des Zeitplans eingestellt. |
|
QER\Structures\DynamicGroupCheck\ |
Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Geräten oder Geräte-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt. |
|
QER\Structures\DynamicGroupCheck\ |
Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Arbeitsplätzen oder Arbeitsplatz-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt. |
| QER\Structures\ExcludeStructures | Präprozessorrelevanter Konfigurationsparameter zur Definition der Wirksamkeit von Rollenmitgliedschaften. Ist der Parameter aktiviert, können sich ausschließende Rollen definiert werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. |
|
QER\Structures\Inherite\Person |
Der Konfigurationsparameter legt fest, ob Personen über primäre Zuweisung erben. |
|
QER\Structures\Inherite\Person\FromDepartment |
Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrer primären Abteilung (Person.UID_Department) erben. |
|
QER\Structures\Inherite\Person\FromLocality |
Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrem primären Standort (Person.UID_Locality) erben. |
|
QER\Structures\Inherite\Person\FromProfitCenter |
Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrer primären Kostenstelle (Person.UID_ProfitCenter) erben. |
|
QER\Structures\Inherite\Hardware |
Der Konfigurationsparameter legt fest, ob Geräte über primäre Zuweisung erben. |
|
QER\Structures\Inherite\Hardware\FromDepartment |
Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrer primären Abteilung (Hardware.UID_Department) erben. |
|
QER\Structures\Inherite\Hardware\FromLocality |
Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrem primären Standort (Hardware.UID_Locality) erben. |
|
QER\Structures\Inherite\Hardware\FromProfitCenter |
Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrer primären Kostenstelle (Hardware.UID_ProfitCenter) erben. |
|
QER\Structures\Inherite\Workdesk |
Der Konfigurationsparameter legt fest, ob Arbeitsplätze über primäre Zuweisung erben. |
|
QER\Structures\Inherite\Workdesk\FromDepartment |
Der Konfigurationsparameter legt fest, ob Arbeitsplätze die Zuordnungen von ihrer primären Abteilung (Workdesk.UID_Department) erben. |
|
QER\Structures\Inherite\Workdesk\FromLocality |
Der Konfigurationsparameter legt fest, ob Arbeitsplätze erben die Zuordnungen von ihrem primären Standort (Workdesk.UID_Locality) erben. |
|
QER\Structures\Inherite\Workdesk\FromProfitCenter |
Der Konfigurationsparameter legt fest, ob Arbeitsplätze die Zuordnungen von ihrer primären Kostenstelle (Workdesk.UID_ProfitCenter) erben. |
Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.
| Konfigurationsparameter | Beschreibung |
|---|---|
| QER\Person |
Ist der Konfigurationsparameter aktiviert, wird die Verwaltung von Personen unterstützt. |
| QER\Person\CentralAccountGlobalUnique |
Der Konfigurationsparameter legt fest, wie das zentrale Benutzerkonto abgebildet wird. Ist der Konfigurationsparameter aktiviert erfolgt die Bildung des zentralen Benutzerkonto einer Person eindeutig bezogen auf die zentralen Benutzerkonten aller Personen und die Benutzerkontennamen aller erlaubten Zielsystemen. Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen Benutzerkonten aller Personen. |
| QER\Person\DefaultMailDomain |
Der Konfigurationsparameter enthält die Standardmaildomäne. Der Wert dient zur Bestimmung der Standard-E-Mail-Adresse einer Person. |
|
QER\Person\MasterIdentity |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung von mehreren Identitäten einer Person. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.
Ist der Parameter aktiviert, können zu einer physischen Person mehrere logische Personen mit ihren Benutzerkonten in der Datenbank verwaltet werden. |
|
Person\MasterIdentity\UseMasterForAuthentication |
Der Konfigurationsparameter legt fest, ob zur Anmeldung an One Identity Manager-Werkzeugen über personengebundene Authentifizierungsmodule die Hauptidentität genutzt werden soll.
Ist der Parameter aktiviert, wird die Hauptidentität für personengebundene Authentifizierungen genutzt. Ist der Parameter deaktiviert, wird die Subidentität für personengebundene Authentifizierungen genutzt. |
| QER\Person\TemporaryDeactivation |
Der Konfigurationsparameter steuert das Verhalten zwischen Personen und Benutzerkonten bei zeitweiliger Deaktivierung der Personen. Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt. Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten. |
| QER\Person\UseCentralPassword |
Der Konfigurationsparameter legt fest, ob das zentrale Kennwort einer Person in den Benutzerkonten verwendet werden soll. Das zentrale Kennwort der Person wird automatisch auf die Benutzerkonten der Person in allen erlaubten Zielsystemen abgebildet. Ausgenommen sind privilegierte Benutzerkonten; diese werden nicht aktualisiert. |
| QER\Person\UseCentralPassword\PermanentStore |
Der Konfigurationsparameter steuert die Aufbewahrungszeit der zentralen Kennworte. Ist der Parameter aktiviert, wird das zentrale Kennwort der Person dauerhaft gespeichert. Ist der Parameter nicht aktiviert, wird das zentrale Kennwort nur zum Publizieren an bestehende zielsystemspezifische Benutzerkonten benutzt und anschließend in der One Identity Manager-Datenbank gelöscht. |
| SysConfig | Ist der Konfigurationsparameter aktiviert, können allgemeine Einstellungen zum Systemverhalten konfiguriert werden. |
| SysConfig\Display | Ist der Konfigurationsparameter aktiviert, wird die Konfiguration der Frontendgestaltung unterstützt. |
| SysConfig\Display\PersonalData | Ist über das Authentifizierungsmodul eine Person ermittelbar, legt der Konfigurationsparameter fest, ob im Manager eine Kategorie "Meine Daten" zur Anzeige von zur Person hinterlegten Daten, Bestellungen, Attestierungen, Regelverletzungen eingeblendet wird. |
| SysConfig\Display\SourceDetective | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Anzeige der Herkunft von Berechtigungen einer Person. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. |
Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.
| Konfigurationsparameter | Beschreibung |
|---|---|
| Hardware | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Geräteverwaltung. Ist der Parameter aktiviert, sind die Bestandteile der Geräteverwaltung verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. |
| Hardware\AssetAccounting | Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für Daten zur Anlagenbuchhaltung. Ist der Parameter aktiviert, sind die Bestandteile zur Anlagenbuchhaltung verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank. |
| Hardware\Display | Der Konfigurationsparameter legt fest, ob die Anzeige von Geräteeigenschaften konfiguriert werden kann. |
| Hardware\Display\CustomHardwareType | Der Konfigurationsparameter legt fest, ob beim Einrichten eines neuen Gerätes mit dem entsprechenden Gerätemodell auf die Stammdaten angepasste Formulare angezeigt werden. |
| Hardware\Display\CustomHardwareType\MobilePhone | Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der ein Mobiltelefone repräsentiert. |
| Hardware\Display\CustomHardwareType\Monitor |
Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Monitor repräsentiert. |
| Hardware\Display\CustomHardwareType\PC |
Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen PC repräsentiert. |
| Hardware\Display\CustomHardwareType\Printer |
Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Drucker repräsentiert. |
| Hardware\Display\CustomHardwareType\Server |
Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Server repräsentiert. |
|
Hardware\Display\CustomHardwareType\Tablet |
Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der ein Tablet repräsentiert. |
| Hardware\Display\DisplayResolutions |
Der Konfigurationsparameter enthält eine Pipe-getrennte Auflistung aller Bildschirmauflösungen, die auf den Stammdatenformularen der Geräte zur Auswahl angeboten werden. |
| Hardware\Display\MachineWithRPL |
Der Konfigurationsparameter legt fest, ob Angaben zum Remote Boot für Arbeitsstationen und Server bearbeitbar sind. |
| Hardware\Workdesk | Ist der Konfigurationsparameter aktiviert, wird die Verwaltung von Arbeitsplätzen unterstützt. |
| Hardware\Workdesk\WorkdeskAuto | Der Konfigurationsparameter legt fest, ob bei Einrichtung einer Arbeitsstation oder eines Servers automatisch ein zugehöriger Arbeitsplatz erzeugt wird. |
Mit der Installation des Moduls sind zusätzlich die folgenden Authentifizierungsmodule zur Anmeldung am One Identity Manager verfügbar.
Ausführliche Informationen zu Authentifizierungsmodulen finden Sie im One Identity Manager Konfigurationshandbuch.
|
Anmeldeinformationen |
Zentrales Benutzerkonto und Kennwort der Person. |
|
Voraussetzungen |
Der Systembenutzer mit Berechtigungen ist in der -Datenbank vorhanden. Die Person ist in der -Datenbank vorhanden.
|
|
Aktiviert im Standard |
ja |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Datenänderungen werden der angemeldeten Person zugeordnet. |
|
Anmeldeinformationen |
Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer. |
|
Voraussetzungen |
Die Person ist in der -Datenbank vorhanden. Die Person ist mindestens einer Anwendungsrolle zugewiesen. Das Benutzerkonto ist in der -Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen. |
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
ja |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der angemeldeten Person zugeordnet. |
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.
| Konfigurationsparameter | Bedeutung |
|---|---|
| QER\Person\GenericAuthenticator | Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird. |
| QER\Person\GenericAuthenticator\ SearchTable |
Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt. Beispiel: ADSAccount |
| QER\Person\GenericAuthenticator\ SearchColumn |
Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird. Beispiel: CN |
| QER\Person\GenericAuthenticator\ EnabledBy |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. |
| QER\Person\GenericAuthenticator\ DisabledBy |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert. Beispiel: AccountDisabled |
|
Anmeldeinformationen |
Zentrales Benutzerkonto und Kennwort der Person. |
|
Voraussetzungen |
Die Person ist in der -Datenbank vorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen. |
|
Aktiviert im Standard |
ja |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der angemeldeten Person zugeordnet. |
|
Anmeldeinformationen |
Zentrales Benutzerkonto der Person und Kennwort der Person. |
|
Voraussetzungen |
Die Person ist in der -Datenbank vorhanden.
Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden. |
|
Aktiviert im Standard |
ja |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist. Datenänderungen werden der angemeldeten Person zugeordnet. |
|
Anmeldeinformationen |
Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer. |
|
Voraussetzungen |
Der Systembenutzer mit Berechtigungen ist in der -Datenbank vorhanden. Die Person ist in der -Datenbank vorhanden.
|
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
ja |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Es werden die, in der -Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt. Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. |
|
Anmeldeinformationen |
Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer. |
|
Voraussetzungen |
Die Person ist in der -Datenbank vorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen. |
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
ja |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Es werden die, in der -Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt. Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. |
Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.
Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.
|
Anmeldeinformationen |
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. |
|
Voraussetzungen |
Der Systembenutzer mit Berechtigungen ist in der -Datenbank vorhanden. Die Person ist in der -Datenbank vorhanden.
Das Benutzerkonto ist in der -Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen. |
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird. |
Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.
Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.
|
Konfigurationsparameter |
Bedeutung |
|---|---|
|
QER\Person\OAuthAuthenticator |
Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver. Beispiel: https://localhost/RSTS/SigningCertificate |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:OneIdentityManager/Web |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:OneIdentityManager/WinClient |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert. Beispiel: AccountDisabled |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens. Beispiel: urn:RSTS/identity |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes. Beispiel: http://localhost/rsts/login |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden. Beispiel: Name einer Entität http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema. Beispiel: ObjectGUID |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt. Beispiel: ADSAccount |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung. Beispiel: https://localhost/rsts/oauth2/token |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated). Beispiel: User Principal Name (UPN) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen. Beispiel: urn:InstalledApplication |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes. Beispiel: http://localhost/rsts/login?wa=wsignout1.0 |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. |
|
Konfigurationsparameter |
Bedeutung |
|---|---|
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes. |
Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.
Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.
|
Anmeldeinformationen |
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. |
|
Voraussetzungen |
Die Person ist in der -Datenbank vorhanden. Die Person ist mindestens einer Anwendungsrolle zugewiesen. Das Benutzerkonto ist in der -Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen. |
|
Aktiviert im Standard |
nein |
|
Single Sign-on |
nein |
|
Anmeldung am Frontend möglich |
ja |
|
Anmeldung am Web Portal möglich |
ja |
|
Bemerkungen |
Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.
Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird. |
Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.
Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.
|
Konfigurationsparameter |
Bedeutung |
|---|---|
|
QER\Person\OAuthAuthenticator |
Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver. Beispiel: https://localhost/RSTS/SigningCertificate |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:OneIdentityManager/Web |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:OneIdentityManager/WinClient |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert. Beispiel: AccountDisabled |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens. Beispiel: urn:RSTS/identity |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes. Beispiel: http://localhost/rsts/login |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden. Beispiel: Name einer Entität http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema. Beispiel: ObjectGUID |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt. Beispiel: ADSAccount |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung. Beispiel: https://localhost/rsts/oauth2/token |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated). Beispiel: User Principal Name (UPN) http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen. Beispiel: urn:InstalledApplication |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes. Beispiel: http://localhost/rsts/login?wa=wsignout1.0 |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. |
|
Konfigurationsparameter |
Bedeutung |
|---|---|
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2. |
|
QER\Person\OAuthAuthenticator\ |
Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes. |
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy
