Chat now with support
Chat with Support

Identity Manager 8.0 - Konfigurationshandbuch

Softwarearchitektur des One Identity Manager Arbeiten mit dem Designer Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Prüfen der Datenkonsistenz Kompilieren einer One Identity Manager-Datenbank Arbeiten mit Änderungskennzeichen Basisdaten zur Systemkonfiguration
One Identity Manager Authentifizierungsmodule Verbindungsdaten zur Datenbank Konfigurationsparameter zur Systemkonfiguration Einrichten des E-Mail-Benachrichtigungssystems Aktivieren weiterer Sprachen für die Anzeige und Pflege der Daten Abbildung der Länderinformationen Einrichten und Konfigurieren von Zeitplänen Kennwortrichtlinien im One Identity Manager Dynamisches Nachladen von Änderungen Datenbanken für TimeTrace Maschinenrollen und Serverfunktionen Dateien für die Softwareaktualisierung Eingesetzte Betriebssysteme Berichte zur Systemkonfiguration Verwenden vordefinierter Datenbankabfragen Verwaltung von kundenspezifischen Datenbankobjekten innerhalb der Datenbank
Datenmodell des One Identity Manager Erteilen von Berechtigungen auf das One Identity Manager Schema Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Sprachabhängige Abbildung von Informationen
Prozess-Orchestrierung im One Identity Manager
Bekanntgabe der Jobserver Konfiguration des One Identity Manager Service Prozessverarbeitung im One Identity Manager
Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager Bearbeiten von Mailvorlagen Berichte im One Identity Manager Kundenspezifische Schemaerweiterungen Transportieren kundenspezifischer Änderungen am One Identity Manager Schema Importieren von Daten Webservice Integration SOAP Web Service One Identity Manager als SPML Provisioning Service Provider Fehlersuche im One Identity Manager
Überwachen der Prozessverarbeitung mit Job Queue Info Ausgabe von Fehlermeldungen im Fehlermeldungsfenster Anzeigen von Meldungen im Fehlerprotokoll eines Programms Aufzeichnung von Meldungen im Systemprotokoll Protokollierung im One Identity Manager Protokollierung des One Identity Manager Service Anzeigen des Status eines One Identity Manager Anwendungsservers
Verarbeitung von DBQueue Aufträgen Konfigurationsdateien des One Identity Manager

SPML Webservice

Für die Funktion als SPML Service Provider wird ein Webservice, der SPML Webservice, zur Verfügung gestellt. Der SPML Webservice ist SPMLv2 konform und wurde auf der Grundlage der von OASIS veröffentlichten Dokumente implementiert. Er stellt die Hauptoperationen, wie das Hinzufügen, Löschen, Ändern von Objekten sowie Erweiterungen zum Suchen und Referenzieren von Objekten zur Verfügung.

Der SPML Webservice unterstützt folgende definierte Funktionen von SPMLv2:

Tabelle 341: Unterstützte Funktionen von SPMLv2
Funktion Beschreibung
listTargetsRequest Gibt die Zielsysteme des Providers mit ihrem spezifischen Schema zurück. Der SPML Provider unterstützt ausschließlich das Schema One Identity Manager.
addRequest Legt ein neues Objekt im angegebenen Zielsystem des Providers mit den übermittelten Eigenschaften an.
lookupRequest Liefert die Eigenschaften eines durch einen Schlüssel identifiziertes Objektes.
modifyRequest Ändert die übermittelten Eigenschaften eines durch einen Schlüssel identifiziertes Objektes im angegebenen Zielsystem des Providers.
deleteRequest Löscht ein durch einen Schlüssel identifiziertes Objekt im Zielsystem des Providers.
searchRequest Liefert alle auf die Suchkriterien zutreffenden Objekte des Zielsystems des Providers zurück.
iterateRequest Liefert bei einer Suche weitere Datensätze sofern noch nicht alle Suchergebnisse an den Client übermittelt wurden.
closeIteratorRequest Schließt eine aktive Suche ab und teilt dem Provider mit, dass keine weiteren Ergebnisse gewünscht werden.

Mit der Erweiterung "Reference" ist es möglich, Referenzen zwischen verschiedenen Objekten des Zielsystems des Providers zu pflegen. Dabei sind zwei Typen von Referenzen zu unterscheiden.

  • Referenz vom Typ "owner"

    Referenzen des Typs "owner" resultieren im One Identity Manager in Fremdschlüsselbeziehungen.

  • Referenz vom Typ "memberOf"

    Referenzen des Typs "memberOf" resultieren im One Identity Manager in M:N-Zuordnungen.

Installation und Konfiguration des SPML Webservice

Für die Installation des SPML Webservice muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software bereits installiert ist.

  • Windows Betriebssysteme

    Unterstützt werden die Versionen:

    • Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack 2
    • Windows Server 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016
  • Microsoft .NET Framework Version 4.5.2 oder höher

    HINWEIS: Microsoft .NET Framework Version 4.6 wird nicht unterstützt.
  • Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2 und den Role Services:
    • Web Server > Common HTTP Features > Static Content
    • Web Server > Common HTTP Features > Default Document
    • Web Server > Application Development > ASP.NET
    • Web Server > Application Development > .NET Extensibility
    • Web Server > Application Development > ISAPI Extensions
    • Web Server > Application Development > ISAPI Filters
    • Web Server > Security > Basic Authentication
    • Web Server > Security > Windows Authentication
    • Web Server > Performance > Static Content Compression
    • Web Server > Performance > Dynamic Content Compression
Benötigte Berechtigungen

Das Benutzerkonto unter dem der Internet Information Service läuft benötigt schreibenden Zugriff (MODIFY) auf das Installationsverzeichnis.

Detaillierte Informationen zum Thema

Installieren des SPML Webservice

Installieren des SPML Webservices

Wichtig: Starten Sie die Installation des SPML Webservice lokal auf dem Server.

Um den SPML Webservice zu installieren

  1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager-Installationsmediums aus.
  2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet.
  3. Auf der Startseite des Web Installer wählen Sie SPML Webservice installieren und klicken Sie Weiter.
  4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity Manager-Datenbank an und klicken Sie Weiter.
  5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie Weiter.
    Tabelle 342: Einstellungen für das Installationsziel
    Einstellung Beschreibung
    Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll.
    Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird.
    SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden.

    URL

    Uniform Resource Locator (URL) der Anwendung.

    Dedizierter Anwendungspool einrichten

    Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert.

    Anwendungspool

    Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.

    Bei Verwendung des Standardwertes "DefaultAppPool" wird der Anwendungspool nach folgender Syntax gebildet:

    <Anwendungsname>_POOL

    Identität

    Berechtigung für die Ausführung des Anwendungspool. Es kann eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet werden.

    Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das Benutzerkonto nach folgender Syntax gebilet:

    IIS APPPOOL\<Anwendungsname>_POOL

    Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein Kennwort.

    Web-Authentifizierung

    Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen:

    • Windows Authentifizierung (Single Sign-On)

      Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows Authentifizierung installiert ist.

    • Anonym

      Eine Anmeldung ohne Windows Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um.

    Datenbank-Authentifizierung

    HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

    Angabe der Authentifizierungsart gegenüber der One Identity Manager-Datenbank. Zur Auswahl stehen:

    • Windows Authentifizierung

      Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.

    • SQL-Authentifizierung

      Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto möglich. Die Authentifizierung erfolgt mittels Benutzername und Kennwort. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert.

  6. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung des Anwendungsservers fest.

    Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.

    • Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IIS-Berechtigungen für Aktualisierungen.
    • Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze ein spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.

    HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:

    • Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis.
    • Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
    • Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess".
  7. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Installationsvorgang abgeschlossen wurde, klicken Sie Weiter.

    Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien (web.config) zu jedem Verzeichnis.

  8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.

Konfigurieren des SPML Webservice

Die Konfiguration des SPML Webservice befindet sich im Installationsverzeichnis des Webservice in der XML-Datei web.config. Diese Datei können Sie mit einem beliebigen Texteditor bearbeiten.

HINWEIS:

  • Nach der Standardinstallation passen Sie auf jeden Fall die Option AuthenticationString in der Sektion configuration\application an.
  • Die Schemadateien QOIM_Schema.xsd und QOIM_SpmlTargetSchema.xsd erzeugen Sie mit dem Schemaeditor des Designers. Weitere Informationen finden Sie unter Erstellen der Schemadateien. Legen Sie die Schemadateien im Verzeichnis des SPML Webservice ab (standardmäßig im Verzeichnis Schemas des Installationsverzeichnisses) und geben Sie den Ablageort der Schemadateien in der Konfigurationsdatei über die Optionen ProviderSchema und SpmlTargetSchema bekannt.
  • Soll der SPML Webservice nur über eine verschlüsselte SSL Verbindung erreichbar sein, so ist konfigurieren Sie dies in den Einstellungen des Internet Information Services für die jeweilige Applikation. Informationen dazu entnehmen Sie der Dokumentation Ihres Internet Information Services.
Tabelle 343: Konfigurierbare Optionen der Konfigurationsdatei „Web.config“
Sektion Option gültige Werte Bedeutung
connectionString     Verbindungsparameter zur Datenbank.
runtimedirs key="Cache" value = "<Pfad>"

Verzeichnis zur Ablage der Cache Verzeichnisse.

Standard: value="C:\inetpub\wwwroot\<web service name>\App_Data\Cache\DB"

  key="AssemblyCache" value = "<Pfad>"

Verzeichnis zur Ablage der Cache Verzeichnisse.

Standard: value="C:\inetpub\wwwroot\<web service name>\App_Data\Cache\Assemblies"

application key = „ProviderSchema“ value = "<Pfad>"

Relativer Pfad zum SPML Schema (QOIM_Schema.xsd). Das Schema definiert alle Objekte und Eigenschaften die über den Webservice verwaltet werden können. Die Datei wird vom Designer erzeugt. Alle Anfragen gegen den Webservice werden gegen diese Datei verifiziert.

Standard: value=".\Schemas\QOIM_Schema.xsd"

  key = „SpmlTargetSchema“ value = "<Pfad>"

Relativer Pfad zum SPML Targetschema (QOIM_SpmlTargetSchema.xsd). Das Schema definiert die Antwort auf den listTargetsRequest. Die Datei wird vom Designer erzeugt.

Standard: value=".\Schemas\QOIM_SpmlTargetSchema.xsd"

  key = „MaxConnections“ value = "<Integer>"

Anzahl der möglichen gleichzeitigen Verbindungen (Anzahl der Clients).

Standard: value ="1"

  key = „AuthenticationString“ value="Module=;User=;
Password="

Authentifizierungsmodul und Anmeldeinformationen mit denen die Anmeldung und alle Operationen des Webservice durchgeführt werden.

Standard: value="Module=DialogUser;User=DIALOGUSER;Password=PASSWORD"

  key = „DebugMode“ value = "True"

value = "False"

Erweiterte Ausgaben im Protokoll.

Standard: value="true"

  key = „LogAllRequests“ value = "True"

value = "False"

Anfragen werden immer protokolliert.

Standard: value="false"

  key = „LogDirectory“ value = "<Pfad>"

Verzeichnis für das Protokoll.

Standard: value=".\Log"

  key = „MaxSearchResults“ value = "<Integer>"

Maximal zulässige Anzahl an Suchergebnissen für die Iteration.

Standard: value="10000"

  key = „ConcurrentSearchResponseObjects“ value = "<Integer>"

Anzahl der Objekte die pro Iteration über das Suchergebnis an den Client zurückgegeben werden sollen.

Standard: value="10"

  key = „CheckForUnusedResultsInterval“ value = "<Integer>"

Aller wie viel Sekunden wird nach verwaisten Suchergebnissen gescannt.

Standard: value="30"

  key = „KeepSearchResultsFor“ value = "<Integer>"

Wie viel Sekunden hat der Client für die nächste Iteration der Ergebnismenge bevor die Ergebnismenge verworfen wird.

Standard: value="60"

  key = logdirectory value = "<Pfad>"

Verzeichnis für die Protokolle.

Standard: value = "C:\inetpub\wwwroot\<web service name>\App_Data\Logs

Hinweis: Um die Verbindungsparameter (ConnectionString) zu verschlüsseln, verwenden Sie aspnet_regiis.exe.

Aufrufbeispiel:

c:\windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe -pe "application" -app "/<web service name>" -prov "DataProtectionConfigurationProvider"

wobei: <web service name> = Pfad des Webservice auf dem Internet Information Services

Related Documents