Chat now with support
Chat with Support

Identity Manager 8.1.4 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Rechtegruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Konfiguration Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank

Überprüfung der Authentifizierung

Bei der Anmeldung eines Benutzers erfolgt eine Gültigkeitsprüfung. Über Einstellungen können Sie zusätzlich konfigurieren.

  • Um zu verhindern, dass Benutzer mit ihren bestehenden Verbindungen arbeiten, wenn sie seit ihrer Anmeldung deaktiviert wurden, führt das System zusätzliche Gültigkeitsprüfungen im definierten Zeitabstand aus aus. Die Prüfung erfolgt bei der nächsten rechtebasierten Aktion auf der Verbindung nach einem festgelegten Intervall von 20 Minuten.

    Das Intervall können Sie über den Konfigurationsparameter Common | Authentication | CheckInterval anpassen. Bearbeiten Sie den Konfigurationsparameter im Designer.

  • Die Anzahl der Sitzungen, die ein Benutzer innerhalb kurzer Zeit öffnen darf, ist begrenzt auf 10 Sitzungen in einer Minute.

    Ist die Anzahl überschritten, erhält der Benutzer eine Fehlermeldung:

    Sie haben sich in der letzten Minute zu häufig angemeldet. Bitte warten Sie einen Moment mit einer Neuanmeldung.

    Bei lokaler Anmeldung erfolgt die Prüfung je Frontend. Bei Anmeldung über den Anwendungsserver erfolgt die Prüfung je Anwendungsserver.

    Die Anzahl der Sitzungen können Sie über den Konfigurationsparameter Common | Authentication | SessionsPerUserAndMinute anpassen. Bearbeiten Sie den Konfigurationsparameter im Designer.

  • Legen Sie über den Konfigurationsparameter QBM | AppServer | SessionTimeout den Zeitraum in Stunden fest, nach dem nicht mehr benutzte Sitzungen eines Anwendungsserver geschlossen werden. Der Standardwert ist 24 Stunden. Bearbeiten Sie den Konfigurationsparameter im Designer.

OAuth 2.0/OpenID Connect Konfiguration

Die Authentifizierungsmodule OAuth2.0/OpenID Connect und OAuth2.0/OpenID Connect (rollenbasiert) unterstützen den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Um die OAuth2.0/OpenID Connect Authentifizierung zu nutzen:

  • Erstellen Sie im Designer den Identitätsanbieter und die OAuth2.0/OpenID Connect Anwendungen beim Identitätsanbieter. Dazu wird im Designer ein Assistent angeboten.

  • Weisen Sie den Webanwendungen die OAuth2.0/OpenID Connect Anwendung zu.

Verwandte Themen

Ablauf der OAuth 2.0/OpenID Connect Authentifizierung

Die Webanwendung (oder native Anwendung) fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Anmeldeendpunkt wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert ein Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen.

Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Einstellungen des Identitätsanbieters verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:

  1. Konfiguration der OAuth 2.0/OpenID Connect Anwendung (Tabelle QBMIdentityClient)

    1. Zertifikatstext (QBMIdentityClient.CertificateText) .
    2. Subjekt oder Fingerabdruck aus dem lokalen Speicher (QBMIdentityClient.CertificateSubject und QBMIdentityClient.CertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMIdentityClient.CertificateEndpoint).

      Zusätzlich werden das Subjekt oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

  2. Konfiguration des Identitätsanbieters (Tabelle QBMIdentityProvider)

    1. Zertifikatstext ((QBMIdentityProvider.CertificateText).
    2. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMIdentityProvider.CertificateSubject und QBMIdentityProvider.CertificateThumbPrint).
    3. Zertifikatsendpunkt (QBMIdentityProvider.CertificateEndpoint)).

      Zusätzlich werden das Subjekt oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.

    4. JSON-Web-Key-Endpunkt (QBMIdentityProvider.JsonWebKeyEndpoint).

Um das Benutzerkonto zu ermitteln, wird festgelegt über welchen Claim-Typ die Benutzerinformationen ermittelt werden und welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth 2.0 auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen UserInfo-Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Scope der Wert openid enthalten, verwenden die Authentifizierungsmodule OpenID Connect zur Authentifizierung.

Verwandte Themen

OAuth 2.0/OpenID Connect Konfiguration erstellen

Um eine OAuth 2.0/OpenID Connect Konfiguration zu erstellen

  1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen | OAuth 2.0/OpenID Connect Konfiguration.

  2. Wählen Sie die Aufgabe Einen neuen Identitätsanbieter erstellen.

  3. Auf der Startseite des Assistenten klicken Sie Weiter.

  4. Auf der Seite Neuer Identitätsanbieter erfassen Sie den Anzeigenamen der Konfiguration und eine Beschreibung.

  5. Klicken Sie Weiter.

  6. Auf der Seite Automatische Konfigurationsermittlung legen Sie fest, wie Sie die Informationen zum Identitätsanbieter eingeben möchten.

    • Wenn die Konfigurationsdaten automatisch über OpenID Connect Discovery ermittelt werden können:

      1. Wählen Sie Automatische Konfigurationsdatenermittlung.

      2. Geben Sie im Eingabefeld die Adresse (URL) für die automatische Ermittlung der Konfigurationsdaten an oder wählen Sie über das Pfeilmenü eine Beispieladresse.

      3. Klicken Sie Ausführen.

      4. Die Konfigurationsdaten werden ermittelt und in einen Dialogfenster anzeigt. Um die Konfigurationsdaten zu übernehmen, klicken Sie OK.

    • Sollen die Konfigurationsdaten nicht automatisch ermittelt werden, wählen Sie Manuelle Dateneingabe.

      Sie müssen die Konfigurationsdaten auf den nächsten Seiten des Assistenten manuell eingeben.

  7. Klicken Sie Weiter.

  8. Auf der Seite Konfigurationsdaten erfassen Sie die allgemeinen Informationen zum Identitätsanbieter.

    HINWEIS: Haben Sie die automatische Konfigurationsdatenermittlung gewählt, dann sind einige der Informationen bereits ausgefüllt.

    Tabelle 36: Allgemeine Konfigurationsdaten des Identitätsanbieters

    Eigenschaft

    Beschreibung

    Anmeldeendpunkt

    Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes.

    Beispiel: http://localhost/rsts/login

    Abmeldeendpunkt

    URL des Abmeldeendpunktes.

    Beispiel: http://localhost/rsts/login?wa=wsignout1.0

    Tokenendpunkt

    URL des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung.

    Beispiel: https://localhost/rsts/oauth2/token

    UserInfo-Endpunkt

    URL des OpenID Connect UserInfo-Endpunktes.

    Selbstsignierte Zertifikate zulässig

    Angabe, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Tokenendpunkt und User Info-Endpunkt erlaubt ist.

    Aussteller

    Uniform Resource Identifier (URI) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens.

    Beispiel: urn:RSTS/identity

    Scope

    Protokoll für die Authentifizierung. Ist der Wert openid, wird OpenID Connect zur Authentifizierung verwendet, ansonsten wird OAuth 2.0 verwendet.

    Shared Secret

    Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. Wenn alle Anwendungen des Identitätsanbieters dasselbe Shared Secret nutzen, tragen Sie hier den Wert ein. Nutzen die Anwendungen unterschiedliche Shared Secrets, dann erfassen Sie die Shared-Secret-Werte beim Erstellen der Anwendungen.

  9. Klicken Sie Weiter.

  10. Auf der Seite Zertifikate konfigurieren erfassen Sie die Informationen zum Zertifikat des Identitätsanbieters. Wenn alle Anwendungen dasselbe Zertifikat nutzen, tragen Sie hier die Informationen ein. Nutzen die Anwendungen unterschiedliche Zertifikatseinstellungen, dann erfassen Sie die Informationen beim Erstellen der Anwendung.

    HINWEIS: Haben Sie die automatische Konfigurationsdatenermittlung gewählt, dann sind einige der Informationen bereits ausgefüllt.

    Tabelle 37: Informationen zum Zertifikat des Identitätsanbieters

    Eigenschaft

    Beschreibung

    Zertifikatsendpunkt

    Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

    Beispiel: https://localhost/RSTS/SigningCertificate

    Subjekt des Zertifikates

    Subjekt des Zertifikats, das zur Überprüfung verwendet wird. Subjekt oder Fingerabdruck müssen gesetzt sein.

    Fingerabdruck

    Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

    JSON-Web-Key-Endpunkt

    URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert.

    Zertifikat

    Inhalt des Zertifikats Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

  11. Klicken Sie Weiter.

  12. Auf der Seite Suchregel für Benutzerinformationen legen Sie fest, wie die Anmeldeinformationen zwischen Identitätsanbieter und One Identity Manager-Datenbank ermittelt werden.

    Tabelle 38: Ermitteln der Anmeldeinformationen

    Eigenschaft

    Beschreibung

    Wert für die Suche

    Kompletter Name des Claim-Typs aus dem beim Identitätsanbieter die Anmeldeinformationen ermittelt werden.

    Beispiel: Name einer Entität

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

    Haben Sie die Konfigurationsdaten automatisch ermittelt, wählen Sie einen Wert aus der Liste.

    Spalte für die Suche

    Tabelle und Spalte in der One Identity Manager-Datenbank in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

    Beispiel: ADSAccount.ObjectGUID

    Wert für Benutzernamen

    Kompletter Name des Claim-Typs aus dem beim Identitätsanbieter der Benutzername ermittelt wird. Der Benutzername wird beispielsweise dazu verwendet Datenänderungen im One Identity Manager zu kennzeichnen (Spalten XUserInserted und XUserUpdated).

    Beispiel: User Principal Name (UPN)

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

    Haben Sie die Konfigurationsdaten automatisch ermittelt, wählen Sie einen Wert aus der Liste.

  13. Klicken Sie Weiter.

  14. Auf der Seite OAuth 2.0/OpenID Connect Anwendungen erstellen erfassen Sie die Informationen zur Anwendung beim Identitätsanbieter.

    1. Klicken Sie neben dem Eingabefeld Anwendungen auf die Schaltfläche .

    2. Auf dem Tabreiter Allgemein erfassen Sie allgemeinen Informationen zur Anwendung.

      Tabelle 39: Allgemeine Informationen zur Anwendung

      Eigenschaft

      Beschreibung

      Anzeigename

      Anzeigename der Anwendung.

      Beschreibung

      Freitextfeld für zusätzliche Erläuterungen.

      Client ID

      ID der Anwendung beim Identitätsanbieter. Für native Anwendungen aktivieren Sie die Option Standard.

      Beispiel: urn:OneIdentityManager/Web

      Shared Secret

      Anwendungsspezifischer Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird.

      Abzufragende Ressource

      URN der abzufragenden Ressource, zum Beispiel für ADFS. Wird nur benötigt, wenn der Identitätsanbieter diesen Wert erfordert.

      Weiterleitungs-URL

      Weiterleitungsadresse zur Weiterleitung für Anwendungen.

      Beispiel: urn:InstalledApplication

      Standard

      Angabe, ob es sich um eine Standardanwendung für native Anwendungen handelt.

    3. Auf dem Tabreiter Zertifikat erfassen Sie die Informationen zum Zertifikat der Anwendung.

      Tabelle 40: Informationen zum Zertifikat der Anwendung

      Eigenschaft

      Beschreibung

      Zertifikatsendpunkt

      Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver.

      Beispiel: https://localhost/RSTS/SigningCertificate

      Fingerabdruck

      Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens.

      Subjekt des Zertifikates

      Subjekt des Zertifikats, das zur Überprüfung verwendet wird. Subjekt oder Fingerabdruck müssen gesetzt sein.

      Zertifikat

      Inhalt des Zertifikats. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

    4. Auf dem Tabreiter Authentifizierung erfassen Sie folgende Informationen:

      Tabelle 41: Informationen zur Authentifizierungsmethode

      Eigenschaft

      Beschreibung

      Authentifizierungsmethode

      Authentifizierungsmethode am Tokenendpunkt. Zulässige Werte sind:

      • client_secret_basic (Standardwert): HTTP Basisauthentifizierungsmethode. Das Shared Secret wird im HTTP Header übergeben.

      • client_secret_post: Das Shared Secret wird im Wert client_secret des POST-Bodys übergeben.

      • none: Keine Authentifizierung am Tokenendpunkt.
      • client_secret_jwt: Das Shared Secret wird als JSON Web Token (JWT) übergeben.
      • private_key_jwt: Das Shared Secret wird als JWT übergeben. Zusätzlich erfolgt eine Verschlüsselung mit dem privatem Schlüssel.

      Tokenendpunkt Zertifikat

      Hexadezimaler Fingerabdruck des Zertifikates zur Prüfung des Tokens.

  15. Um den Identitätsanbieter und die Anwendung in der One Identity Manager-Datenbank zu erstellen, klicken Sie Weiter.
  16. Um den Assistenten zu beenden, klicken Sie Fertig.
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating