Chat now with support
Chat with Support

We are currently preforming website maintenance, any feature requiring sign-in is temporarily unavailable, if you have an issue requiring immediate assistance please call Technical Support.

Identity Manager 8.0 - Konfigurationshandbuch

Softwarearchitektur des One Identity Manager Arbeiten mit dem Designer Kundenspezifische Änderungen an der One Identity Manager Standardkonfiguration Prüfen der Datenkonsistenz Kompilieren einer One Identity Manager-Datenbank Arbeiten mit Änderungskennzeichen Basisdaten zur Systemkonfiguration
One Identity Manager Authentifizierungsmodule Verbindungsdaten zur Datenbank Konfigurationsparameter zur Systemkonfiguration Einrichten des E-Mail-Benachrichtigungssystems Aktivieren weiterer Sprachen für die Anzeige und Pflege der Daten Abbildung der Länderinformationen Einrichten und Konfigurieren von Zeitplänen Kennwortrichtlinien im One Identity Manager Dynamisches Nachladen von Änderungen Datenbanken für TimeTrace Maschinenrollen und Serverfunktionen Dateien für die Softwareaktualisierung Eingesetzte Betriebssysteme Berichte zur Systemkonfiguration Verwenden vordefinierter Datenbankabfragen Verwaltung von kundenspezifischen Datenbankobjekten innerhalb der Datenbank
Datenmodell des One Identity Manager Erteilen von Berechtigungen auf das One Identity Manager Schema Bearbeiten der Benutzeroberfläche
Objektdefinitionen für die Benutzeroberfläche Menüführung der Benutzeroberfläche Formulare für die Benutzeroberfläche Statistiken im One Identity Manager Erweitern des Launchpad Methodendefinitionen für die Benutzeroberfläche Anwendungen für die Gestaltung der Benutzeroberfläche Symbole und Bilder für die Gestaltung der Benutzeroberfläche Sprachabhängige Abbildung von Informationen
Prozess-Orchestrierung im One Identity Manager
Bekanntgabe der Jobserver Konfiguration des One Identity Manager Service Prozessverarbeitung im One Identity Manager
Prozessüberwachung zur Nachverfolgung von Änderungen Bedingte Kompilierung mittels Präprozessorbedingungen Skripte im One Identity Manager Bearbeiten von Mailvorlagen Berichte im One Identity Manager Kundenspezifische Schemaerweiterungen Transportieren kundenspezifischer Änderungen am One Identity Manager Schema Importieren von Daten Webservice Integration SOAP Web Service One Identity Manager als SPML Provisioning Service Provider Fehlersuche im One Identity Manager
Überwachen der Prozessverarbeitung mit Job Queue Info Ausgabe von Fehlermeldungen im Fehlermeldungsfenster Anzeigen von Meldungen im Fehlerprotokoll eines Programms Aufzeichnung von Meldungen im Systemprotokoll Protokollierung im One Identity Manager Protokollierung des One Identity Manager Service Anzeigen des Status eines One Identity Manager Anwendungsservers
Verarbeitung von DBQueue Aufträgen Konfigurationsdateien des One Identity Manager

Inhalt eines Änderungskennzeichens anzeigen

Um den Inhalt eines Änderungskennzeichens anzuzeigen

  1. Wählen Sie im Designer den Menüeintrag Datenbank |Änderungskennzeichen bearbeiten....
  2. Wählen Sie im Dialogfenster "Änderungskennzeichen bearbeiten..." über die Auswahlliste Änderungskennzeichen das gewünschte Änderungskennzeichen.
    • Im Bereich "Zugewiesene Änderungen" werden alle Änderungen einzelner Eigenschaften von Objekten sowie alle Snapshots von Objekten angezeigt.
    • Im Bereich "Zugewiesene Objekte" werden alle Verweise auf Objekte angezeigt.
Verwandte Themen

Nachträgliches Buchen von Änderungen auf ein Änderungskennzeichen

Sie können aus allen vorhandenen Objekten der Datenbank einzelne Objekte und deren Abhängigkeiten auswählen und diese nachträglich auf ein Änderungskennzeichen buchen. Je nach eingesetztem One Identity Manager-Werkzeug können Sie die Objekte entweder als Snapshots oder als Verweise buchen.

WICHTIG: Beachten Sie, dass Verweise auf Objekte nicht mit Änderungen einzelner Eigenschaften von Objekten und Snapshots von Objekten in einem Änderungskennzeichen zusammengefasst werden können. Verwenden Sie für das Buchen von Verweisen auf Objekte eigene Änderungskennzeichen.

HINWEIS: Es ist nicht möglich Änderungen einzelner Eigenschaften nachträglich in ein Änderungskennzeichen aufzunehmen.

In einigen Fällen ist es notwendig, die abhängigen Objekte ebenfalls in das Änderungskennzeichen aufzunehmen. So sollte beispielsweise beim Transport von Prozessen die abhängigen Prozessschritte, Prozessschrittparameter und Ereignisse mit transportiert werden. Ebenso ist es notwendig Entscheidungsrichtlinien, Entscheidungsworkflows, Entscheidungsschritte und Entscheidungsverfahren gemeinsam zu transportieren.

Um Objekte nachträglich auf ein Änderungskennzeichen zu buchen

  1. Wählen Sie im Designer den Menüeintrag Datenbank |Änderungskennzeichen bearbeiten....
  2. Wählen Sie im Dialogfenster "Änderungskennzeichen bearbeiten..." über die Auswahlliste Änderungskennzeichen das Änderungskennzeichen.
  3. Wählen Sie in der Auswahlliste Tabelle, die Datenbanktabelle aus, aus der Sie Objekte in das Änderungskennzeichen übernehmen wollen.
  4. Um die Anzahl der ermittelten Objekte einzuschränken
    1. Wählen Sie die Schaltfläche neben der Auswahlliste Tabelle.
    2. Geben Sie im Bereich "Filter" eine Bedingung an.

      Die Bedingung stellen Sie als gültige Where-Klausel für Datenbankabfragen zusammen. Die Datenbankabfragen können Sie direkt als SQL-Abfrage eingeben oder über einen Assistenten zusammenstellen, den Sie über die Schaltfläche neben dem Eingabefeld öffnen.

    3. Klicken Sie Anwenden.
  5. Um abhängige Objekte aufzunehmen
    1. Wählen Sie die Schaltfläche neben der Auswahlliste Tabelle.

      Es werden in einem separaten Auswahlfenster die ChildRelation (CR), Fremdschlüssel (FK) und M:N-Beziehungen der gewählten Datenbanktabelle angezeigt.

    2. Aktivieren Sie im Bereich "Tabellenrelationen" die gewünschten Tabellenbeziehungen.

      Die über diese Tabellenbeziehungen verbundenen Objekte werden bei Auswahl und Zuweisung eines Objektes ebenfalls mit dem Änderungskennzeichen markiert.

  6. Wählen Sie im Bereich "Objekte" die gewünschten Objekte.
    • Klicken Sie , um alle ausgewählten Objekte als Verweis zum Änderungskennzeichen hinzufügen.
    • Klicken Sie , um alle ausgewählten Objekte als Snapshot zum Änderungskennzeichen hinzufügen.

    TIPp: Mehrere Objekte wählen Sie mit Shift + Auswahl bzw. Strg + Auswahl.

Um Objekte aus einem Änderungskennzeichen zu entfernen

  1. Wählen Sie den Menüeintrag Datenbank |Änderungskennzeichen bearbeiten....
  2. Wählen Sie im Dialogfenster "Änderungskennzeichen bearbeiten..." über die Auswahlliste Änderungskennzeichen das Änderungskennzeichen.

    Es werden alle Objekte angezeigt, die bereits diesem Änderungskennzeichen zugewiesen sind.

  3. Wählen Sie im Bereich "Zugewiesene Änderungen" bzw. "Zugewiesene Objekte" die Objekte, die Sie aus dem Änderungskennzeichen entfernen wollen.

    TIPp: Mehrere Objekte wählen Sie mit Shift + Auswahl bzw. Strg + Auswahl.

  4. Entfernen Sie die Objekte über die Schaltfläche aus dem Änderungskennzeichen.
Verwandte Themen

Basisdaten zur Systemkonfiguration

Die Basisdaten umfassen Grundeinstellungen zur Konfiguration des One Identity Manager, die in der Regel einmalig vor Inbetriebnahme des Systems überprüft und angepasst werden. Dies beinhaltet beispielsweise die Datenbankverbindungsdaten, die Nutzung der Authentifizierungsmodule, die verwendeten Sprachen oder die Einstellung der Konfigurationsparameter.

One Identity Manager Authentifizierungsmodule

One Identity Manager Authentifizierungsmodule

Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechte auf Ressourcen der Datenbank.

HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule "Systembenutzer" und "Component Authenticator" sowie die rollenbasierten Authentifizierungsmodule aktiviert.

HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Folgende Authentifizierungsmodule sind verfügbar.

Systembenutzer

Anmeldeinformationen

Bezeichnung und Kennwort des Systembenutzers.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen.

Datenänderungen werden dem Systembenutzer zugeordnet.

WICHTIG: Standardmäßig ist der Systembenutzer "viadmin" vorhanden. Der Systembenutzer "viadmin" hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur für den "viadmin" sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierung überschrieben wird.

TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen.

Person

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Single Sign-on generisch (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 38: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung
QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\GenericAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.

Beispiel: CN

QER\Person\GenericAuthenticator\
EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\GenericAuthenticator\
DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Person (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Person (dynamisch)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto der Person und Kennwort der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist das Kennwort eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Benutzerkonto

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Benutzerkonto (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Personen ermittelt. Zur Anmeldung wird die Person verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Kontenbasierter Systembenutzer

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • In den Stammdaten des Systembenutzers sind die zulässigen Anmeldungen eingetragen. Die Anmeldungen werden in der Form: Domäne\Benutzer erwartet.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Es werden die, in der One Identity Manager-Datenbank hinterlegten, Anmeldungen aller Systembenutzer ermittelt. Zur Anmeldung wird der Systembenutzer verwendet, deren eingetragene Anmeldung mit den Anmeldeinformationen des angemeldeten Benutzers übereinstimmt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden und in den Personenstammdaten ist der Systembenutzer eingetragen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter "SysConfig\Logon\DefaultUser" ermittelt.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory Benutzerkonto (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Anmeldename und Kennwort zur Anmeldung am Active Directory. Die Angabe der Domäne ist nicht erforderlich.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Es werden in der One Identity Manager-Datenbank das entsprechende Benutzerkonto und die Person ermittelt, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto (manuelle Eingabe)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Anmeldename und Kennwort zur Anmeldung am Active Directory. Die Angabe der Domäne ist nicht erforderlich.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Es werden in der One Identity Manager-Datenbank das entsprechende Benutzerkonto und die Person ermittelt, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Active Directory Benutzerkonto (dynamisch)

Hinweis: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Active Directory Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzer.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das Active Directory Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung wird über die SID des Benutzers und die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
LDAP Benutzerkonto (dynamisch)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Anmeldeinformationen

Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Person dynamisch zugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 39: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

LDAP Benutzerkonto (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Anmeldeinformationen

Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 40: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem\LDAP\Authentication

Der Konfigurationsparameter erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication

Der Konfigurationsparameter legt den Authentifizierungsmechanismus fest. Gültige Werte sind "Secure", "Encryption", "SecureSocketsLayer", "ReadonlyServer", "Anonymous", "FastBind", "Signing", "Sealing", "Delegation" und "ServerBind". Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port

Port des LDAP Servers. Standard ist Port 389.

TargetSystem\LDAP\Authentication\RootDN

Der Konfigurationsparameter enthält den Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server

Der Konfigurationsparameter enthält den Namen des LDAP Servers.

HTTP Header (rollenbasiert)

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-On Lösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

HTTP Header

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-On Lösungen, die mit einer Proxy-basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Person.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter "SysConfig\Logon\DefaultUser" ermittelt.

Datenänderungen werden der angemeldeten Person zugeordnet.

OAuth 2.0/OpenID Connect

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist in der One Identity Manager-Datenbank vorhanden.

  • In den Personenstammdaten ist der Systembenutzer eingetragen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 41: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 42: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

OAuth 2.0/OpenID Connect (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

Die Person ist in der One Identity Manager-Datenbank vorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter "QER\Person\MasterIdentity\UseMasterForAuthentication" gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
    1. Zertifikatstext (QBMWebApplication.CertificateText) .
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfigurationsparameter
    1. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint").
    3. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint").

      Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.

    4. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 43: Konfigurationsparameter für das Authentifizierungsmodul

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird.

QER\Person\OAuthAuthenticator\
CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Person\OAuthAuthenticator\
CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein.

QER\Person\OAuthAuthenticator\
CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

QER\Person\OAuthAuthenticator\
ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwendungen die Authentifizierung unterstützen.

QER\Person\OAuthAuthenticator\
ClientID\Web

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Person\OAuthAuthenticator\
ClientID\Windows

Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Person\OAuthAuthenticator\
DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

QER\Person\OAuthAuthenticator\
EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER\Person\OAuthAuthenticator\
IssuerName

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Person\OAuthAuthenticator\
LoginEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Person\OAuthAuthenticator\
Resource

Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS.

QER\Person\OAuthAuthenticator\
SearchClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden.

Beispiel: Name einer Entität

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

QER\Person\OAuthAuthenticator\
SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema.

Beispiel: ObjectGUID

QER\Person\OAuthAuthenticator\
SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\OAuthAuthenticator\
TokenEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Person\OAuthAuthenticator\
UserNameClaim

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated).

Beispiel: User Principal Name (UPN)

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Person\OAuthAuthenticator\
InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen.

Beispiel: urn:InstalledApplication

QER\Person\OAuthAuthenticator\
AllowSelfSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Token- und User Info Endpunkt erlaubt ist.

QER\Person\OAuthAuthenticator\
CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Person\OAuthAuthenticator\
JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten.

QER\Person\OAuthAuthenticator\
LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Person\OAuthAuthenticator\
SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

Tabelle 44: Zusätzliche Konfigurationsparameter für OpenID Connect

Konfigurationsparameter

Bedeutung

QER\Person\OAuthAuthenticator\
Scope

Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\
UserInfoEndpoint

Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes.

Synchronisationsauthenticator

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Modul Zielsystemsynchronisation vorhanden ist.

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Synchronization Editor.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Web Agent Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Web Designer, um vor der ersten Benutzeranmeldung auf die Datenbank zuzugreifen.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Component Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung der Prozesskomponenten.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Crawler

Das Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes für die Volltextsuche über die Datenbank verwendet.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer "sa" sollten Sie nicht verändern, da dieser bei jeder Schemaaktualisierung überschrieben wird.

Verwandte Themen
Related Documents