Chat now with support
Chat with Support

Identity Manager 8.0 - Installationshandbuch

Über dieses Handbuch Überblick über den One Identity Manager Installationsvoraussetzungen Installieren des One Identity Manager Installieren und Konfigurieren des One Identity Manager Service Aktualisieren des One Identity Manager Installieren und Aktualisieren eines One Identity Manager Anwendungsservers Installieren, Konfigurieren und Warten des Web Portal Installieren des Web Portal für Betriebsunterstützung Installieren und Aktualisieren der Manager Webanwendung Anmelden an den One Identity Manager-Werkzeugen Fehlerbehebung Anhang: One Identity Manager Authentifizierungsmodule Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung Anhang: Erweiterte Konfiguration der Manager Webanwendung Anhang: Maschinenrollen und Installationspakete Anhang: Einstellungen für eine neue SQL Server Datenbank

Meldung: Enter email address in configuration parameter

Meldung: Enter email address in configuration parameter

Die Parameter SenderAddress oder Address in einem Prozess zum Versenden von E-Mail Benachrichtigungen enthalten den Wert <Enter email address in configuration parameter "...">. Die Parameter eines Prozesses prüfen Sie im Job Queue Info.

Ist für den One Identity Manager Service die erweiterte Fehlerausgabe im Debugmodus eingerichtet, wird die Meldung zusätzlich in der Protokolldatei des One Identity Manager Service ausgegeben.

Wahrscheinliches Problem

Der One Identity Manager versendet bei verschiedenen Aktionen im System E-Mail-Benachrichtigungen. Das E-Mail Benachrichtigungssystem des One Identity Manager ist nicht vollständig konfiguriert.

Lösung
  • Prüfen Sie im Designer in der Kategorie Basisdaten | Allgemein | Konfigurationsparameter die Konfigurationsparameter für das E-Mail Benachrichtigungssystem und passen Sie die Werte unternehmensspezifisch an.

    Hinweis: Zusätzlich zu den nachfolgend aufgeführten Konfigurationsparametern können für die verschiedenen Benachrichtigungsprozesse weitere Konfigurationsparameter erforderlich sein. Einige Konfigurationsparameter stehen erst zur Verfügung wenn die Module vorhanden sind.

Tabelle 53: Allgemeine Konfigurationsparameter für die Mailbenachrichtigung

Konfigurationsparameter

Bedeutung

Common\InternationalEMail

Der Parameter gibt an, ob internationale Domänennamen beziehungsweise Unicode-Zeichen in E-Mail-Adressen unterstützt werden.

Wichtig: Der Mailserver muss diese Funktion ebenfalls unterstützen. Gegebenenfalls müssen Sie das Skript VID_IsSMTPAddress überschreiben.

Common\MailNotification

Angaben zur Benachrichtigung.

Common\MailNotification\DefaultAddress

Standard E-Mail-Adresse (Empfänger) zum Versenden von Benachrichtigungen.

Common\MailNotification\DefaultCulture

Standardsprachkultur, in der E-Mail Benachrichtigungen versendet werden, wenn für einen Empfänger keine Sprachkultur ermittelt werden kann.

Common\MailNotification\DefaultLanguage

Standardsprache zum Versenden von Benachrichtigungen.

Common\MailNotification\DefaultSender

Standard E-Mail-Adresse (Absender) zum Versenden von Benachrichtigungen.

Common\MailNotification\Encrypt

Angabe, ob E-Mails verschlüsselt werden sollen.

Common\MailNotification\Encrypt\ConnectDC

Domänencontroller der Domäne, der verwendet werden soll.

Common\MailNotification\Encrypt\ConnectPassword

Benutzerkennwort. Die Angabe ist optional.

Common\MailNotification\Encrypt\ConnectUser

Benutzerkonto, mit dem das Active Directory abgefragt wird. Die Angabe ist optional.

Common\MailNotification\Encrypt\DomainDN

Distinguished Name der zu durchsuchenden Domäne.

Common\MailNotification\Encrypt\EncryptionCertificateScript

Skript, welches eine Liste von Verschlüsselungszertifikaten liefert (Standard: QBM_GetCertificates).

Common\MailNotification\NotifyAboutWaitingJobs

Angabe, ob eine Benachrichtigung gesendet werden soll, wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind.

Common\MailNotification\SignCertificateThumbprint

SHA1-Thumbprint des zur Signierung zu verwendenden Zertifikats. Dieses kann im My-Store der Maschine oder des Benutzers liegen.

Common\MailNotification\SMTPAccount

Name des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\SMTPDomain

Domäne des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\SMTPPassword

Kennwort des Benutzerkontos zur Authentifizierung am SMTP Server.

Common\MailNotification\SMTPPort

Port des SMTP-Dienstes auf dem SMTP Server (Standard: 25).

Common\MailNotification\SMTPRelay

SMTP Server zum Versenden von Benachrichtigungen.

Common\MailNotification\SMTPUseDefaultCredentials

Ist der Konfigurationsparameter aktiviert, werden zur Authentifizierung am SMTP Server die Anmeldeinformationen des One Identity Manager Service verwendet. Ist der Konfigurationsparameter nicht aktiviert, werden die in den Konfigurationsparametern "Common\MailNotification\SMTPDomain" und "Common\MailNotification\SMTPAccount" bzw. "Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationen verwendet.

Common\MailNotification\TransportSecurity

Der Konfigurationsparameter definiert das Verschlüsselungsverfahren beim Versenden vom E-Mail Benachrichtigungen. Wird keine der folgenden Optionen angegeben, so richtet sich das Verhalten nach dem Port (Port: 25 = ohne Verschlüsselung, Port: 465 = mit SSL/TLS Verschlüsselung).

Hinweis: In den Prozessen zum Versenden von E-Mail Benachrichtigungen sind die Parameter für das zu nutzende Verschlüsselungsverfahren deaktiviert. Wenn Sie den Konfigurationsparameter nutzen, passen Sie die Prozesse entsprechend an.
Tabelle 54: Zulässige Werte

Wert

Bedeutung

Auto

Automatische Erkennung des Verschlüsselungsverfahrens.

SSL

Verschlüsseln der gesamten Sitzung mit SSL/TLS.

STARTTLS

Verwenden der STARTTLS Mailserver Erweiterung.

Schaltet die TLS-Verschlüsselung nach dem Greeting und dem Lesen der Capabilities des Servers an. Die Verbindung scheitert, wenn der Server die STARTTLS-Erweiterung nicht unterstützt.

STARTTLSWhenAvailable

Verwenden der STARTTLS Mailserver Erweiterung, wenn verfügbar.

Schaltet die TLS-Verschlüsselung nach dem Greeting und dem Lesen der Capabilities des Servers an, jedoch nur, wenn dieser die STARTTLS-Erweiterung unterstützt.

Common\MailNotification\VendorNotification

Aktivierung der E-Mail Adresse der Kontaktperson ihres Unternehmens. Die E-Mail-Adresse wird als Antwortadresse für die Lieferantenbenachrichtigung verwendet.

Ist der Konfigurationsparameter aktiviert, erzeugt der One Identity Manager einmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen Daten. Sie können die aktuellsten Systeminformationen jederzeit aus dem Menü Hilfe | Info... überprüfen. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht.

Tabelle 55: Zusätzliche Konfigurationsparameter für E-Mail-Adressen für die Mailbenachrichtigung
Konfigurationsparameter Beschreibung

QER\Attestation\DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen für die Attestierung.

QER\ComplianceCheck\EmailNotification\DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender-E-Mail-Adresse für automatisch generierte Nachrichten innerhalb der Regelprüfung.

QER\ITShop\DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen innerhalb des IT Shop.

QER\Policy\EmailNotification\DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Nachrichten innerhalb der Überprüfung von Unternehmensrichtlinien.

QER\RPS\DefaultSenderAddress

Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen.

TargetSystem\ADS\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem Active Directory.

TargetSystem\ADS\Exchange2000\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem Microsoft Exchange.

TargetSystem\ADS\MemberShipRestriction\MailNotification

Der Konfigurationsparameter enthält die Standard-Mailadresse zum Versenden von Warnmails.

TargetSystem\AzureAD\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem Azure Active Directory.

TargetSystem\AzureAD\ExchangeOnline\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem Exchange Online.

TargetSystem\CSM\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Cloud -Zielsystem.

TargetSystem\LDAP\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem LDAP.

TargetSystem\NDO\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem IBM Notes.

TargetSystem\SAPR3\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem SAP R/3.

TargetSystem\SharePoint\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem SharePoint.

TargetSystem\Unix\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Unix-basierten Zielsystem.

TargetSystem\UNS\DefaultAddress

Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im kundendefinierten Zielsystem.

Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks while compiling database.

Problem

In der Jobqueue befinden sich Prozesse, deren Verarbeitung vor der Aktualisierung der Datenbank abgeschlossen sein muss. Die Aktualisierung der Datenbank startet nicht.

Lösung
  • Stellen Sie sicher, dass die Prozesse in der Jobqueue und die Aufträge in der DBQueue vor dem Start der Aktualisierung verarbeitet wurden. Zum Zeitpunkt der Aktualisierung der Datenbank sollten sich keine Einträge in der Jobqueue und der DBQueue befinden.

Datenbankfehler bei der Migration einer Datenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen

Datenbankfehler bei der Migration einer Datenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen

Während der Aktualisierung des One Identity Manager Schemas tritt folgende Fehlermeldung auf:

Database error 1468: The operation cannot be performed on database "<database name>" because it is involved in a database mirroring session or an availability group. Some operations are not allowed on a database that is participating in a database mirroring session or in an availability group. ALTER DATABASE statement failed.

Problem

Die Datenbank ist Bestandteil einer AlwaysOn-Verfügbarkeitsgruppe und der SQL Server Service Broker ist nicht mehr vorhanden. Während der Aktualisierung des One Identity Manager Schemas wird versucht den SQL Server Service Broker wieder anzulegen.

Lösung
  1. Entfernen Sie die Datenbank aus der AlwaysOn-Verfügbarkeitsgruppe.

  2. Aktualisieren Sie das One Identity Manager Schema. Dabei wird auch wieder der SQL Server Service Broker erzeugt.

  3. Nehmen Sie die Datenbank wieder in die AlwaysOn-Verfügbarkeitsgruppe auf.

Anhang: One Identity Manager Authentifizierungsmodule

Anhang: One Identity Manager Authentifizierungsmodule

Hinweis: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Folgende Authentifizierungsmodule sind verfügbar.

Systembenutzer

Anmeldeinformationen

Bezeichnung und Kennwort des Systembenutzers.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen.

Datenänderungen werden dem Systembenutzer zugeordnet.

Wichtig: Standardmäßig ist der Systembenutzer "viadmin" vorhanden. Der Systembenutzer "viadmin" hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur für den "viadmin" sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierung überschrieben wird.

TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen.

Person

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Single Sign-on generisch (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 56: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung
QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\GenericAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.

Beispiel: CN

QER\Person\GenericAuthenticator\
EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\GenericAuthenticator\
DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Person (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Person (dynamisch)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto der Person und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Benutzerkonto

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Benutzerkonto (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Kontenbasierter Systembenutzer

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • In den Stammdaten des Systembenutzers sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Systembenutzer ermittelt. Zur Anmeldung wird der Systembenutzer verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden und in den Personenstammdaten ist der Systembenutzer eingetragen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter "SysConfig\Logon\DefaultUser" ermittelt.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Hinweis: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory Benutzerkonto (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Hinweis: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Anmeldename und Kennwort zur Anmeldung am Active Directory. Die Angabe der Domäne ist nicht erforderlich.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Es werden in der One Identity Manager-Datenbank das entsprechende Benutzerkonto und die Person ermittelt, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto (manuelle Eingabe)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Anmeldename und Kennwort zur Anmeldung am Active Directory. Die Angabe der Domäne ist nicht erforderlich.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Es werden in der One Identity Manager-Datenbank das entsprechende Benutzerkonto und die Person ermittelt, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto (dynamisch)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Hinweis: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
LDAP Benutzerkonto (dynamisch)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Anmeldeinformationen

Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 57: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

LDAP Benutzerkonto (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Anmeldeinformationen

Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 58: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

HTTP Header (rollenbasiert)

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-On Lösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

HTTP Header

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-On Lösungen, die mit einer Proxy-basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter "SysConfig\Logon\DefaultUser" ermittelt.

Datenänderungen werden der angemeldeten Person zugeordnet.

OAuth 2.0/OpenID Connect

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 59: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 60: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

OAuth 2.0/OpenID Connect (rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 61: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 62: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

Synchronisationsauthenticator

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Modul Zielsystemsynchronisation vorhanden ist.

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Synchronization Editor.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Web Agent Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Web Designer, um vor der ersten Benutzeranmeldung auf die Datenbank zuzugreifen.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Component Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung der Prozesskomponenten.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Crawler

Das Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes für die Volltextsuche über die Datenbank verwendet.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating