Chat now with support
Chat with Support

Identity Manager 8.1.4 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Rechtegruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank

One Identity Manager Authentifizierungsmodule

Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechte auf Ressourcen der Datenbank.

  • Für die Anmeldung an den One Identity Manager-Werkzeugen mit einem Authentifizierungsmodul, das einen definierten Systembenutzer erwartet, werden die Berechtigungen aus den Rechtegruppen ermittelt, die dem Systembenutzer zugewiesen sind.
  • Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Person werden zunächst die Mitgliedschaften der Person in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Rechtegruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Rechtegruppen für die Person gültig sind. Aus diesen Rechtegruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Person benutzt wird.

Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, sind folgende Voraussetzungen zu erfüllen:

  1. Das Authentifizierungsmodul muss aktiviert sein.

  2. Das Authentifizierungsmodul muss der Anwendung zugewiesen sein.

  3. Die Zuweisung des Authentifizierungsmoduls zur Anwendung muss aktiviert sein.

Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicher, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Programmfunktionen besitzen, die Anwendung zu benutzen.

HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule Systembenutzer und Component Authenticator sowie die rollenbasierten Authentifizierungsmodule aktiviert.

Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.

HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Systembenutzer

Anmeldeinformationen

Bezeichnung und Kennwort des Systembenutzers.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen.

Datenänderungen werden dem Systembenutzer zugeordnet.

WICHTIG: Standardmäßig ist der Systembenutzer viadmin vorhanden. Der Systembenutzer hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur für den Systembenutzer sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierung überschrieben wird.

TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen.

Single Sign-on generisch (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Das Authentifizierungsmodul verwendet die Anmeldeinformationen des aktuell an der Arbeitsstation angemeldeten Benutzers.

Voraussetzungen

  • Die Person ist in der One Identity Manager-Datenbank vorhanden.
  • Die Person ist mindestens einer Anwendungsrolle zugewiesen.
  • Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Person eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager sucht laut Konfiguration das Benutzerkonto und ermittelt die Person, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Person ermittelt. Die Benutzeroberfläche und die Bearbeitungsrechte werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Person zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 29: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung
QER | Person | GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird.
QER | Person | GenericAuthenticator | SearchTable

Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER | Person | GenericAuthenticator | SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird.

Beispiel: CN

QER | Person | GenericAuthenticator | EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.

QER | Person | GenericAuthenticator | DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Person

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Anmeldeinformationen

Zentrales Benutzerkonto und Kennwort der Person.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.
  • Die Person ist in der One Identity Manager-Datenbank vorhanden.
  • In den Personenstammdaten ist das zentrale Benutzerkonto eingetragen.
  • In den Personenstammdaten ist der Systembenutzer eingetragen.
  • In den Personenstammdaten ist das Systembenutzerkennwort eingetragen.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Besitzt eine Person mehrere Identitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Person zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt.
  • Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating