Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Abteilungen, Kostenstellen und Standorte verwalten Arbeiten mit dynamischen Rollen Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Erfassen der Personenstammdaten Zentrales Benutzerkonto einer Person Zentrales Kennwort einer Person Standard-E-Mail-Adresse einer Person Deaktivieren und Löschen von Personen Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen einer Person anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Abbildung mehrerer Identitäten einer Person Eingeschränkter Zugang zum One Identity Manager Zusätzliche Aufgaben für die Verwaltung von Personen Ermitteln der Sprache einer Person Ermitteln der Arbeitszeit einer Person Berichte über Personen
Geräte und Arbeitsplätze verwalten Ressourcen verwalten Zusatzeigenschaften einrichten Anhang: Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Anhang: Konfigurationsparameter für die Verwaltung von Personen Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Anhang: Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 78: Konfigurationsparameter
Konfigurationsparameter Beschreibung
QER\Structures Ist der Konfigurationsparameter aktiviert, werden hierarchische Rollen unterstützt.

QER\Structures\DynamicGroupCheck

Der Konfigurationsparameter steuert die Erzeugung von Berechnungsaufträgen für dynamische Rollen. Ist der Konfigurationsparameter deaktiviert, sind auch die untergeordneten Konfigurationsparameter nicht wirksam.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyPerson

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Personen oder Personen-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten geplanten Lauf des Zeitplans eingestellt.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyHardware

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Geräten oder Geräte-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt.

QER\Structures\DynamicGroupCheck\
CalculateImmediatelyWorkdesk

Ist der Konfigurationsparameter aktiviert, wird bei Änderungen an Arbeitsplätzen oder Arbeitsplatz-nahen Objekten sofort ein Berechnungsauftrag für den DBQueue Prozessor eingestellt. Ist der Parameter nicht aktiviert, werden die Berechnungsaufträge beim nächsten Lauf des Zeitplans eingestellt.

QER\Structures\ExcludeStructures Präprozessorrelevanter Konfigurationsparameter zur Definition der Wirksamkeit von Rollenmitgliedschaften. Ist der Parameter aktiviert, können sich ausschließende Rollen definiert werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

QER\Structures\Inherite\Person

Der Konfigurationsparameter legt fest, ob Personen über primäre Zuweisung erben.

QER\Structures\Inherite\Person\FromDepartment

Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrer primären Abteilung (Person.UID_Department) erben.

QER\Structures\Inherite\Person\FromLocality

Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrem primären Standort (Person.UID_Locality) erben.

QER\Structures\Inherite\Person\FromProfitCenter

Der Konfigurationsparameter legt fest, ob Personen die Zuordnungen von ihrer primären Kostenstelle (Person.UID_ProfitCenter) erben.

QER\Structures\Inherite\Hardware

Der Konfigurationsparameter legt fest, ob Geräte über primäre Zuweisung erben.

QER\Structures\Inherite\Hardware\FromDepartment

Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrer primären Abteilung (Hardware.UID_Department) erben.

QER\Structures\Inherite\Hardware\FromLocality

Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrem primären Standort (Hardware.UID_Locality) erben.

QER\Structures\Inherite\Hardware\FromProfitCenter

Der Konfigurationsparameter legt fest, ob Geräte die Zuordnungen von ihrer primären Kostenstelle (Hardware.UID_ProfitCenter) erben.

QER\Structures\Inherite\Workdesk

Der Konfigurationsparameter legt fest, ob Arbeitsplätze über primäre Zuweisung erben.

QER\Structures\Inherite\Workdesk\FromDepartment

Der Konfigurationsparameter legt fest, ob Arbeitsplätze die Zuordnungen von ihrer primären Abteilung (Workdesk.UID_Department) erben.

QER\Structures\Inherite\Workdesk\FromLocality

Der Konfigurationsparameter legt fest, ob Arbeitsplätze erben die Zuordnungen von ihrem primären Standort (Workdesk.UID_Locality) erben.

QER\Structures\Inherite\Workdesk\FromProfitCenter

Der Konfigurationsparameter legt fest, ob Arbeitsplätze die Zuordnungen von ihrer primären Kostenstelle (Workdesk.UID_ProfitCenter) erben.

Anhang: Konfigurationsparameter für die Verwaltung von Personen

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 79: Konfigurationsparameter
Konfigurationsparameter Beschreibung
QER\Person

Ist der Konfigurationsparameter aktiviert, wird die Verwaltung von Personen unterstützt.

QER\Person\CentralAccountGlobalUnique

Der Konfigurationsparameter legt fest, wie das zentrale Benutzerkonto abgebildet wird.

Ist der Konfigurationsparameter aktiviert erfolgt die Bildung des zentralen Benutzerkonto einer Person eindeutig bezogen auf die zentralen Benutzerkonten aller Personen und die Benutzerkontennamen aller erlaubten Zielsystemen.

Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen Benutzerkonten aller Personen.

QER\Person\DefaultMailDomain

Der Konfigurationsparameter enthält die Standardmaildomäne. Der Wert dient zur Bestimmung der Standard-E-Mail-Adresse einer Person.

QER\Person\MasterIdentity

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung von mehreren Identitäten einer Person. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Ist der Parameter aktiviert, können zu einer physischen Person mehrere logische Personen mit ihren Benutzerkonten in der Datenbank verwaltet werden.

Person\MasterIdentity\UseMasterForAuthentication

Der Konfigurationsparameter legt fest, ob zur Anmeldung an One Identity Manager-Werkzeugen über personengebundene Authentifizierungsmodule die Hauptidentität genutzt werden soll.

Ist der Parameter aktiviert, wird die Hauptidentität für personengebundene Authentifizierungen genutzt. Ist der Parameter deaktiviert, wird die Subidentität für personengebundene Authentifizierungen genutzt.

QER\Person\TemporaryDeactivation

Der Konfigurationsparameter steuert das Verhalten zwischen Personen und Benutzerkonten bei zeitweiliger Deaktivierung der Personen.

Ist der Konfigurationsparameter aktiviert, werden für die Zeit der zeitweiligen Deaktivierung die Benutzerkonten der Person gesperrt.

Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der verbundenen Person keinen Einfluss auf die Benutzerkonten.

QER\Person\UseCentralPassword

Der Konfigurationsparameter legt fest, ob das zentrale Kennwort einer Person in den Benutzerkonten verwendet werden soll. Das zentrale Kennwort der Person wird automatisch auf die Benutzerkonten der Person in allen erlaubten Zielsystemen abgebildet. Ausgenommen sind privilegierte Benutzerkonten; diese werden nicht aktualisiert.

QER\Person\UseCentralPassword\PermanentStore

Der Konfigurationsparameter steuert die Aufbewahrungszeit der zentralen Kennworte. Ist der Parameter aktiviert, wird das zentrale Kennwort der Person dauerhaft gespeichert. Ist der Parameter nicht aktiviert, wird das zentrale Kennwort nur zum Publizieren an bestehende zielsystemspezifische Benutzerkonten benutzt und anschließend in der One Identity Manager-Datenbank gelöscht.

SysConfig Ist der Konfigurationsparameter aktiviert, können allgemeine Einstellungen zum Systemverhalten konfiguriert werden.
SysConfig\Display Ist der Konfigurationsparameter aktiviert, wird die Konfiguration der Frontendgestaltung unterstützt.
SysConfig\Display\PersonalData Ist über das Authentifizierungsmodul eine Person ermittelbar, legt der Konfigurationsparameter fest, ob im Manager eine Kategorie "Meine Daten" zur Anzeige von zur Person hinterlegten Daten, Bestellungen, Attestierungen, Regelverletzungen eingeblendet wird.
SysConfig\Display\SourceDetective Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Anzeige der Herkunft von Berechtigungen einer Person. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Anhang: Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 80: Konfigurationsparameter
Konfigurationsparameter Beschreibung
Hardware Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Geräteverwaltung. Ist der Parameter aktiviert, sind die Bestandteile der Geräteverwaltung verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.
Hardware\AssetAccounting Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für Daten zur Anlagenbuchhaltung. Ist der Parameter aktiviert, sind die Bestandteile zur Anlagenbuchhaltung verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.
Hardware\Display Der Konfigurationsparameter legt fest, ob die Anzeige von Geräteeigenschaften konfiguriert werden kann.
Hardware\Display\CustomHardwareType Der Konfigurationsparameter legt fest, ob beim Einrichten eines neuen Gerätes mit dem entsprechenden Gerätemodell auf die Stammdaten angepasste Formulare angezeigt werden.
Hardware\Display\CustomHardwareType\MobilePhone Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der ein Mobiltelefone repräsentiert.
Hardware\Display\CustomHardwareType\Monitor

Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Monitor repräsentiert.

Hardware\Display\CustomHardwareType\PC

Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen PC repräsentiert.

Hardware\Display\CustomHardwareType\Printer

Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Drucker repräsentiert.

Hardware\Display\CustomHardwareType\Server

Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der einen Server repräsentiert.

Hardware\Display\CustomHardwareType\Tablet

Der Konfigurationsparameter enthält die Angabe des Gerätetyps, der ein Tablet repräsentiert.

Hardware\Display\DisplayResolutions

Der Konfigurationsparameter enthält eine Pipe-getrennte Auflistung aller Bildschirmauflösungen, die auf den Stammdatenformularen der Geräte zur Auswahl angeboten werden.

Hardware\Display\MachineWithRPL

Der Konfigurationsparameter legt fest, ob Angaben zum Remote Boot für Arbeitsstationen und Server bearbeitbar sind.

Hardware\Workdesk Ist der Konfigurationsparameter aktiviert, wird die Verwaltung von Arbeitsplätzen unterstützt.
Hardware\Workdesk\WorkdeskAuto Der Konfigurationsparameter legt fest, ob bei Einrichtung einer Arbeitsstation oder eines Servers automatisch ein zugehöriger Arbeitsplatz erzeugt wird.

Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Mit der Installation des Moduls sind zusätzlich die folgenden Authentifizierungsmodule zur Anmeldung am One Identity Manager verfügbar.

Ausführliche Informationen zu Authentifizierungsmodulen finden Sie im One Identity Manager Konfigurationshandbuch.

Person

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Single Sign-on generisch (rollenbasiert)

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 81: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung
QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\GenericAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.

Beispiel: CN

QER\Person\GenericAuthenticator\
EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\GenericAuthenticator\
DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Person (rollenbasiert)

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Person (dynamisch)

Anmeldeinformationen

Zentrales Benutzerkonto der Person und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Benutzerkonto

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Benutzerkonto (rollenbasiert)

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

OAuth 2.0/OpenID Connect

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 82: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 83: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

OAuth 2.0/OpenID Connect (rollenbasiert)

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 84: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 85: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating