Für die Funktion als SPML Service Provider wird ein Webservice, der SPML Webservice, zur Verfügung gestellt. Der SPML Webservice ist SPMLv2 konform und wurde auf der Grundlage der von OASIS veröffentlichten Dokumente implementiert. Er stellt die Hauptoperationen, wie das Hinzufügen, Löschen, Ändern von Objekten sowie Erweiterungen zum Suchen und Referenzieren von Objekten zur Verfügung.

Der SPML Webservice unterstützt folgende definierte Funktionen von SPMLv2:

Tabelle 341: Unterstützte Funktionen von SPMLv2
Funktion	Beschreibung
listTargetsRequest	Gibt die Zielsysteme des Providers mit ihrem spezifischen Schema zurück. Der SPML Provider unterstützt ausschließlich das Schema One Identity Manager.
addRequest	Legt ein neues Objekt im angegebenen Zielsystem des Providers mit den übermittelten Eigenschaften an.
lookupRequest	Liefert die Eigenschaften eines durch einen Schlüssel identifiziertes Objektes.
modifyRequest	Ändert die übermittelten Eigenschaften eines durch einen Schlüssel identifiziertes Objektes im angegebenen Zielsystem des Providers.
deleteRequest	Löscht ein durch einen Schlüssel identifiziertes Objekt im Zielsystem des Providers.
searchRequest	Liefert alle auf die Suchkriterien zutreffenden Objekte des Zielsystems des Providers zurück.
iterateRequest	Liefert bei einer Suche weitere Datensätze sofern noch nicht alle Suchergebnisse an den Client übermittelt wurden.
closeIteratorRequest	Schließt eine aktive Suche ab und teilt dem Provider mit, dass keine weiteren Ergebnisse gewünscht werden.

Mit der Erweiterung "Reference" ist es möglich, Referenzen zwischen verschiedenen Objekten des Zielsystems des Providers zu pflegen. Dabei sind zwei Typen von Referenzen zu unterscheiden.

Referenz vom Typ "owner"
Referenzen des Typs "owner" resultieren im One Identity Manager in Fremdschlüsselbeziehungen.
Referenz vom Typ "memberOf"
Referenzen des Typs "memberOf" resultieren im One Identity Manager in M:N-Zuordnungen.

Installation und Konfiguration des SPML Webservice

One Identity Manager als SPML Provisioning Service Provider > Installation und Konfiguration des SPML Webservice

Für die Installation des SPML Webservice muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software bereits installiert ist.

Windows Betriebssysteme
Unterstützt werden die Versionen:
- Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack 2
- Windows Server 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
Microsoft .NET Framework Version 4.5.2 oder höher

HINWEIS: Microsoft .NET Framework Version 4.6 wird nicht unterstützt.
Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2 und den Role Services:
- Web Server > Common HTTP Features > Static Content
- Web Server > Common HTTP Features > Default Document
- Web Server > Application Development > ASP.NET
- Web Server > Application Development > .NET Extensibility
- Web Server > Application Development > ISAPI Extensions
- Web Server > Application Development > ISAPI Filters
- Web Server > Security > Basic Authentication
- Web Server > Security > Windows Authentication
- Web Server > Performance > Static Content Compression
- Web Server > Performance > Dynamic Content Compression

Benötigte Berechtigungen

Das Benutzerkonto unter dem der Internet Information Service läuft benötigt schreibenden Zugriff (MODIFY) auf das Installationsverzeichnis.

Detaillierte Informationen zum Thema

Installieren des SPML Webservice

One Identity Manager als SPML Provisioning Service Provider > Installation und Konfiguration des SPML Webservice > Installieren des SPML Webservice

Installieren des SPML Webservices

Wichtig: Starten Sie die Installation des SPML Webservice lokal auf dem Server.

Um den SPML Webservice zu installieren

Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager-Installationsmediums aus.
Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet.
Auf der Startseite des Web Installer wählen Sie SPML Webservice installieren und klicken Sie Weiter.
Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity Manager-Datenbank an und klicken Sie Weiter.

Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie Weiter.

Tabelle 342: Einstellungen für das Installationsziel

Einstellung

Beschreibung

Anwendungsname

Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll.

Zielpfad im IIS

Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird.

SSL erzwingen

Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden.

URL

Uniform Resource Locator (URL) der Anwendung.

Dedizierter Anwendungspool einrichten

Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert.

Anwendungspool

Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.

Bei Verwendung des Standardwertes "DefaultAppPool" wird der Anwendungspool nach folgender Syntax gebildet:

<Anwendungsname>_POOL

Identität

Berechtigung für die Ausführung des Anwendungspool. Es kann eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet werden.

Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das Benutzerkonto nach folgender Syntax gebilet:

IIS APPPOOL\<Anwendungsname>_POOL

Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein Kennwort.

Web-Authentifizierung

Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen:

Windows Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows Authentifizierung installiert ist.
Anonym
Eine Anmeldung ohne Windows Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um.

Datenbank-Authentifizierung

HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

Angabe der Authentifizierungsart gegenüber der One Identity Manager-Datenbank. Zur Auswahl stehen:

Windows Authentifizierung
Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich.
SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto möglich. Die Authentifizierung erfolgt mittels Benutzername und Kennwort. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert.

Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung des Anwendungsservers fest.

Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen.

Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IIS-Berechtigungen für Aktualisierungen.
Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze ein spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.

HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:

Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis.
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess".

Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Installationsvorgang abgeschlossen wurde, klicken Sie Weiter.
Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien (web.config) zu jedem Verzeichnis.
Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.

Konfigurieren des SPML Webservice

One Identity Manager als SPML Provisioning Service Provider > Installation und Konfiguration des SPML Webservice > Konfigurieren des SPML Webservice

Die Konfiguration des SPML Webservice befindet sich im Installationsverzeichnis des Webservice in der XML-Datei web.config. Diese Datei können Sie mit einem beliebigen Texteditor bearbeiten.

HINWEIS:

Nach der Standardinstallation passen Sie auf jeden Fall die Option AuthenticationString in der Sektion configuration\application an.
Die Schemadateien QOIM_Schema.xsd und QOIM_SpmlTargetSchema.xsd erzeugen Sie mit dem Schemaeditor des Designers. Weitere Informationen finden Sie unter Erstellen der Schemadateien. Legen Sie die Schemadateien im Verzeichnis des SPML Webservice ab (standardmäßig im Verzeichnis Schemas des Installationsverzeichnisses) und geben Sie den Ablageort der Schemadateien in der Konfigurationsdatei über die Optionen ProviderSchema und SpmlTargetSchema bekannt.
Soll der SPML Webservice nur über eine verschlüsselte SSL Verbindung erreichbar sein, so ist konfigurieren Sie dies in den Einstellungen des Internet Information Services für die jeweilige Applikation. Informationen dazu entnehmen Sie der Dokumentation Ihres Internet Information Services.

Tabelle 343: Konfigurierbare Optionen der Konfigurationsdatei „Web.config“
Sektion	Option	gültige Werte	Bedeutung
connectionString			Verbindungsparameter zur Datenbank.
runtimedirs	key="Cache"	value = "<Pfad>"	Verzeichnis zur Ablage der Cache Verzeichnisse. Standard: value="C:\inetpub\wwwroot\<web service name>\App_Data\Cache\DB"
	key="AssemblyCache"	value = "<Pfad>"	Verzeichnis zur Ablage der Cache Verzeichnisse. Standard: value="C:\inetpub\wwwroot\<web service name>\App_Data\Cache\Assemblies"
application	key = „ProviderSchema“	value = "<Pfad>"	Relativer Pfad zum SPML Schema (QOIM_Schema.xsd). Das Schema definiert alle Objekte und Eigenschaften die über den Webservice verwaltet werden können. Die Datei wird vom Designer erzeugt. Alle Anfragen gegen den Webservice werden gegen diese Datei verifiziert. Standard: value=".\Schemas\QOIM_Schema.xsd"
	key = „SpmlTargetSchema“	value = "<Pfad>"	Relativer Pfad zum SPML Targetschema (QOIM_SpmlTargetSchema.xsd). Das Schema definiert die Antwort auf den listTargetsRequest. Die Datei wird vom Designer erzeugt. Standard: value=".\Schemas\QOIM_SpmlTargetSchema.xsd"
	key = „MaxConnections“	value = "<Integer>"	Anzahl der möglichen gleichzeitigen Verbindungen (Anzahl der Clients). Standard: value ="1"
	key = „AuthenticationString“	value="Module=;User=; Password="	Authentifizierungsmodul und Anmeldeinformationen mit denen die Anmeldung und alle Operationen des Webservice durchgeführt werden. Standard: value="Module=DialogUser;User=DIALOGUSER;Password=PASSWORD"
	key = „DebugMode“	value = "True" value = "False"	Erweiterte Ausgaben im Protokoll. Standard: value="true"
	key = „LogAllRequests“	value = "True" value = "False"	Anfragen werden immer protokolliert. Standard: value="false"
	key = „LogDirectory“	value = "<Pfad>"	Verzeichnis für das Protokoll. Standard: value=".\Log"
	key = „MaxSearchResults“	value = "<Integer>"	Maximal zulässige Anzahl an Suchergebnissen für die Iteration. Standard: value="10000"
	key = „ConcurrentSearchResponseObjects“	value = "<Integer>"	Anzahl der Objekte die pro Iteration über das Suchergebnis an den Client zurückgegeben werden sollen. Standard: value="10"
	key = „CheckForUnusedResultsInterval“	value = "<Integer>"	Aller wie viel Sekunden wird nach verwaisten Suchergebnissen gescannt. Standard: value="30"
	key = „KeepSearchResultsFor“	value = "<Integer>"	Wie viel Sekunden hat der Client für die nächste Iteration der Ergebnismenge bevor die Ergebnismenge verworfen wird. Standard: value="60"
	key = logdirectory	value = "<Pfad>"	Verzeichnis für die Protokolle. Standard: value = "C:\inetpub\wwwroot\<web service name>\App_Data\Logs

Hinweis: Um die Verbindungsparameter (ConnectionString) zu verschlüsseln, verwenden Sie aspnet_regiis.exe.

Aufrufbeispiel:

c:\windows\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe -pe "application" -app "/<web service name>" -prov "DataProtectionConfigurationProvider"

wobei: <web service name> = Pfad des Webservice auf dem Internet Information Services

Please select your product:

To serve you better, please complete the Purpose of your Chat:

Recommended Solutions for Your Problem

Identity Manager 8.0 - Konfigurationshandbuch

SPML Webservice