Um weitere Authentifizierungsmodule zu aktivieren
Übernehmen Sie die Änderungen über Datenbank | Übertragung in die Datenbank....
Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicherstellen, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Berechtigungen besitzen, die Anwendung zu benutzen.
Wenn Sie kundenspezifische Authentifizierungsmodule entwickeln, weisen Sie diese den vorhandenen Anwendungen zu. Zuweisungen vordefinierter Authentifizierungsmodule müssen in der Regel nicht geändert werden.
Um einem Authentifizierungsmodul Anwendungen zuzuordnen
In der Bearbeitungsansicht wird der Tabreiter Anwendung eingeblendet.
| Eigenschaft | Bedeutung |
|---|---|
| Aktiviert | Angabe, ob das Authentifizierungsmoduls zur Verwendung aktiviert ist. |
| Anzeigename | Der Anzeigename wird zur Anzeige des Authentifizierungsmoduls im Anmeldedialog der Administrationswerkzeuge verwendet. |
| Authentifizierungsmodul | Interner Name des Authentifizierungsmoduls. |
| Authentifizierungstyp | Legt den Typ des Athentifizierungsmoduls fest. Zur Auswahl stehen "Dynamisch" und "Rollenbasiert". |
| Bearbeitungsstatus | Der Bearbeitungsstatus wird bei der Erstellung von Kundenkonfigurationspaketen genutzt. |
| Initiale Daten |
Initiale Daten für die Anmeldung mit diesem Authentifizierungsmodul. |
| Klasse | Klasse des Authentifizierungsmoduls. |
| Name des Assemblies | Name des Assemblies. |
| Reihenfolge | Reihenfolge für die Anzeige im Anmeldedialog. |
| Single Sign On | Angabe, ob das Authentifizierungsmodul ohne Angabe eines Kennwortes authentifizieren darf. |
| Wählbar im Frontend | Angabe, ob das Authentifizierungsmodul im Anmeldedialog zur Auswahl angeboten werden soll. |
Der Authentication-String ist nach folgendem Muster aufgebaut:
Module=<Name>;<Property1>=<Wert1>;<Property2>=<Wert2>,…
Beispiel:
Module=DialogUser;User=viadmin;Password=*****
Die initialen Daten sind ein Teil des Authentication-Strings (Parameter-/Wert-Paare ohne Modulkennung). Initiale Daten aus dem Authentication-String, werden bei jedem Authentifizierungsvorgang als Standard vorbelegt.
Um initiale Daten festzulegen
Syntax:
Property1=Wert1;Property2=Wert2
Beispiel:
User=viadmin;Password=*****
Abhängig vom Authentifizierungsmodul können verschiedene initiale Daten verwendet werden.
| Anzeigename des Moduls | Authentifizierungsmodul | Parameter | Bedeutung/ Anmerkung |
|---|---|---|---|
|
Systembenutzer |
DialogUser |
User | Benutzername. |
| Password | Kennwort des Benutzers. | ||
|
Active Directory Benutzerkonto |
ADSAccount |
||
|
Active Directory Benutzerkonto (dynamisch) |
DynamicADSAccount |
Produkt | Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. |
|
Active Directory Benutzerkonto (manuelle Eingabe) |
DynamicManualADS |
Produkt | Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. |
| User | Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" an. | ||
| Password | Kennwort des Benutzers. | ||
|
Active Directory Benutzerkonto (rollenbasiert) |
RoleBasedADSAccount |
Keine Parameter erforderlich. | |
|
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert) |
RoleBasedManualADS |
User | Benutzername. Anhand einer vordefinierten Liste von zulässigen Active Directory Domänen wird die Identität des Benutzers ermittelt. Die zulässigen Active Directory Domänen geben Sie im Konfigurationsparameter "TargetSystem\ADS\AuthenticationDomains" an. |
| Password | Kennwort des Benutzers. | ||
| Person
|
Person
|
User |
Zentrales Benutzerkonto der Person. |
| Password | Kennwort des Benutzers. | ||
|
Person (dynamisch) |
DynamicPerson |
Produkt | Anwendung. Der Systembenutzer wird über die Konfigurationsdaten der Anwendung bestimmt. |
| User | Benutzername. | ||
| Password | Kennwort des Benutzers. | ||
|
Person (rollenbasiert) |
RoleBasedPerson |
User | Benutzername. |
| Password | Kennwort des Benutzers. | ||
|
HTTP Header |
HTTPHeader |
Header | Zu nutzender HTTP-Header. |
| KeyColumn |
Kommagetrennte Liste der Schlüsselspalten in der Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll. Standard: CentralAccount, PersonnelNumber | ||
|
HTTP Header (rollenbasiert) |
RoleBasedHTTPHeader |
|
Zu nutzender HTTP-Header. |
| KeyColumn |
Kommagetrennte Liste der Schlüsselspalten in Tabelle Person, in denen nach dem Benutzernamen gesucht werden soll. Standard: CentralAccount, PersonnelNumber | ||
|
LDAP Benutzerkonto (dynamisch) |
DynamicLdap |
User |
Benutzername. Standard: CN, DistinguishedName, UserID, UIDLDAP |
| Password | Kennwort des Benutzers. | ||
|
LDAP Benutzerkonto (rollenbasiert)
|
RoleBasedLdap
|
User |
Benutzername. Standard: CN, DistinguishedName, UserID, UIDLDAP |
| Password | Kennwort des Benutzers. | ||
|
Single Sign-on generisch (rollenbasiert) |
RoleBasedGeneric |
SearchTable | Tabelle, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. Diese Tabelle muss einen FK namens UID_Person enthalten, der auf die Tabelle Person zeigt. |
| SearchColumn | Spalte von <SearchTable>, in welcher nach dem Benutzernamen des angemeldeten Benutzers gesucht wird. | ||
| DisabledBy | Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden sperren. | ||
| EnabledBy | Durch Pipe (|) getrennte Liste von booleschen Spalten, welche ein Benutzerkonto für das Anmelden freischalten. | ||
|
OAuth 2.0/OpenID Connect |
OAuth |
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. | |
| OAuth 2.0/OpenID Connect (rollenbasiert)
|
OAuthRoleBased
|
Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes. | |
|
Kontobasierter Systembenutzer |
DialogUserAccountBased |
|
Keine Parameter erforderlich. |
|
Benutzerkonto |
QERAccount |
|
|
|
Benutzerkonto (rollenbasiert) |
RoleBasedQERAccount |
|
|
Bei den dynamischen Authentifizierungsmodulen wird nicht der an einer Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern der anzuwendende Systembenutzer über spezielle Konfigurationsdaten der Benutzeroberfläche bestimmt.
Um Konfigurationsdaten festzulegen
Die Konfigurationsdaten erfassen Sie in XML-Syntax:
<DialogUserDetect>
<Usermappings>
<Usermapping
DialogUser = "Name des Systembenutzers"
Selection = "Auswahlkriterium"
/>
<Usermapping
DialogUser = "Name des Systembenutzers"
/>
...
</Usermappings>
</DialogUserDetect>
In der Sektion Usermappings geben Sie die Systembenutzer (DialogUser) an. Über ein Auswahlkriterium (Selection) legen Sie fest, welche Personen den angegebenen Systembenutzer verwenden sollen. Die Angabe eines Auswahlkriteriums für die Zuordnung ist nicht zwingend erforderlich. Es wird der Systembenutzer aus der ersten zutreffenden Zuordnung zur Anmeldung verwendet.
Für eine komplexe Rechte- und Benutzeroberflächenstruktur können Sie eine Zuordnung von Funktionsgruppen zu Rechtegruppen vornehmen. Über Funktionsgruppen bilden Sie die Funktionen der Personen in einem Unternehmen ab, beispielsweise IT Controller oder Niederlassungsleiter. Die Funktionsgruppen ordnen Sie den Rechtegruppen zu. Eine Funktionsgruppe kann auf mehrere Rechtegruppen verweisen und es können mehrere Funktionsgruppen auf eine Rechtegruppe verweisen.
Ist die Sektion FunctionGroupMapping in den Konfigurationsdaten enthalten, so wird diese zuerst ausgewertet und der ermittelte Systembenutzer verwendet. Das Authentifizierungsmodul verwendet den Systembenutzer zur Anmeldung, der genau in den ermittelten Rechtegruppen Mitglied ist. Wird so kein Systembenutzer ermittelt, wird die Sektion Usermapping ausgewertet.
<DialogUserDetect>
<FunctionGroupMapping
PersonToFunction = "View Mapping Person auf Funktionsgruppe"
FunctionToGroup = "View Mapping Funktionsgruppe auf Rechtegruppe"
/>
<Usermappings>
<Usermapping
DialogUser = "Name des Systembenutzers"
Selection = "Auswahlkriterium"
/>
...
</Usermappings>
</DialogUserDetect>
© 2021 One Identity LLC. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy
