Um den sicheren Betrieb Ihrer One Identity Manager Webanwendungen zu gewährleisten, werden hier einige Empfehlungen vorgestellt, die sich im Zusammenspiel mit den One Identity-Werkzeugen als bewährte Lösungen erwiesen haben. Welche empfohlene oder alternative Sicherheitslösung für Ihre individuell angepassten Webanwendungen die geeignetste ist, bleibt Ihnen selbst überlassen.
Über dieses Handbuch
Konfiguration des Web Portals
IT Shop Konfiguration
Webauthn-Sicherheitsschlüssel
Starling Two-Factor Authentication
Bestellung nach Referenzbenutzer
Einkaufswagen absenden
Anzeigen benutzerbezogener Prozesse im Web Portal
Selbstregistrierung neuer Benutzer konfigurieren
Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren
Kennwortfragen konfigurieren
Suche konfigurieren
Priorität einstellen
Bestellung bestätigen
Erneute Authentifizierung erzwingen
Umgang mit Pflichtprodukten
Optionen für den Entscheider
Entscheidungen über URL-Links
Starling Two-Factor Authentication einrichten
Starling Two-Factor Authentication für bestimmte Personen
Anmeldung ohne Starling 2FA Token
Starling Two-Factor Authentication für das Web Portal für Betriebsunterstützung aktivieren
Web Portal für Application Governance
Kennwortfragen konfigurieren
Kennwortrücksetzungsportal
Einrichten eines Kennwortrücksetzungsportal
Empfehlungen für einen sicheren Betrieb von Webanwendungen
Installation des Kennwortrücksetzungsportal
Authentifizierung
Setzbare Kennwörter
Kennwörter von Rücksetzung ausschließen
Zentrales Kennwort
Kennwortabhängigkeiten definieren
Setzen eines zentralen Kennwortes
Prüfung aller Kennwortrichtlinien aktivieren
Neues Anwendungstoken einrichten
Anmeldung am Kennwortrücksetzungsportal über Zielsystembenutzerkonten konfigurieren
HTTPS verwenden
Automatische Kennwortspeicherung abschalten
HTTP-Anfragemethode TRACE abschalten
HTTP Strict Transport Security (HSTS) verwenden
Unsichere Verschlüsselungsmechanismen abschalten
"HttpOnly"-Attribut für ASP.NET-Session-Cookies setzen
"Same-site"-Attribut für ASP.NET-Session-Cookies setzen
"Secure"-Attribut für ASP.NET-Session-Cookies setzen
Windows-IIS-8.3-Kurznamen deaktivieren
HTTP-Response-Header in Windows IIS entfernen
X-Frame-Options-HTTP-Response-Header erstellen
Webanwendungen im Release-Modus laufen lassen
Empfehlungen für einen sicheren Betrieb von Webanwendungen
Empfehlungen für einen sicheren Betrieb von Webanwendungen
HTTPS verwenden
Betreiben Sie die Webanwendungen des One Identity Managers immer über das sichere Kommunikationsprotokoll "Hypertext Transfer Protocol Secure" (HTTPS).
Damit Webanwendungen das sichere Kommunikationprotokoll verwenden, können Sie bei der Installation der Anwendungen die Nutzung von "Secure Sockets Layer" (SSL) erzwingen. Weitere Informationen zur Nutzung von HTTPS/SSL finden Sie im One Identity Manager Installationshandbuch.
Automatische Kennwortspeicherung abschalten
Empfehlungen für einen sicheren Betrieb von Webanwendungen > Automatische Kennwortspeicherung abschalten
Mit dieser Einstellung können Sie das automatische Vervollständigen Ihrer Benutzerdaten auf der Anmeldeseite unterbinden. Diese Einstellung wird im Web Designer vorgenommen und kann zur Sicherheit des Betriebs der Webanwendung beitragen.
|
Konfigurationsparameter |
Beschreibung |
|---|---|
|
VI_Common_Login_PrefillLoginData |
Unterbindet die Vervollständigung der Benutzerdaten auf der Anmeldeseite. |
Um die automatische Kennwortspeicherung zu deaktivieren
- Öffnen Sie den Web Designer.
- Öffnen Sie in der Menüleiste den Menüeintrag Bearbeiten > Projekt konfigurieren > Webprojekt.
- Suchen Sie im Tabreiter Projekt konfigurieren den Konfigurationsparameter "VI_Common_Login_PrefillLoginData".
- Klicken Sie am Schlüssel Vorausfüllen der Anmeldedaten erlauben in der Spalte Wert (kundenspezifisch)
.
Der Standardwert wird auf "False" gesetzt. Die automatische Kennwortspeicherung ist deaktiviert.
HTTP-Anfragemethode TRACE abschalten
Über die Anfrage TRACE kann der Weg zum Webserver verfolgt und die korrekte Datenübermittlung dorthin überprüft werden. Somit wird ein traceroute auf Anwendungsebene, also der Weg zum Webserver über die verschiedenen Proxys hinweg, ermittelt. Diese Methode ist besonders für das Debugging von Verbindungen sinnvoll.
WICHTIG: TRACE sollte nicht auf einer produktiven Umgebung aktiviert sein, da es zu Leistungseinbußen führen kann.
Um die HTTP-Anfragemethode TRACE über Internet Information Services zu deaktivieren
- Lesen Sie die Anweisungen, die Sie über folgenden Link aufrufen können.
https://docs.microsoft.com/en-us/iis/configuration/system.webserver/tracing/