Chat now with support
Chat with Support

Identity Manager 9.3 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

LDAP Benutzerkonto (dynamisch)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.

Anmeldeinformationen

Anmeldename, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen.

  • Die Konfigurationsdaten zur dynamischen Ermittlung des Systembenutzers sind an der Anwendung definiert. Somit kann beispielsweise einer Identität, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Die zulässigen Domänen für die Anmeldung sind im Konfigurationsparameter TargetSystem | LDAP | Authentication | RootDN beziehungsweise im Konfigurationsparameter TargetSystem | LDAP | AuthenticationV2 | RootDN eingetragen. Erfolgt die Anmeldung über den definierten Namen, wird das LDAP Benutzerkonto ermittelt, das diesen definierten Namen verwendet. Der One Identity Manager ermittelt die Identität, die dem LDAP Benutzerkonto zugeordnet ist.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Über die Konfigurationsdaten der Anwendung wird ein Systembenutzer ermittelt und der Identität dynamisch zugeordnet. Die Benutzeroberfläche und die Berechtigungen werden über den Systembenutzer geladen, der der angemeldeten Identität dynamisch zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.

Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an.

Tabelle 30: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter Bedeutung

TargetSystem | LDAP | Authentication

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem | LDAP | Authentication | Authentication

Authentifizierungsmechanismus. Gültige Werte sind Secure, Encryption, SecureSocketsLayer, ReadonlyServer, Anonymous, FastBind, Signing, Sealing, Delegation und ServerBind. Die Werte können mit Komma (,) kombiniert werden. Ausführliche Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

Standard: ServerBind

TargetSystem | LDAP | Authentication | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | Authentication | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | Authentication | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2

Erlaubt die Konfiguration der LDAP Authentifizierungsmodule.

TargetSystem | LDAP | AuthenticationV2 | AcceptSelfSigned

Gibt an, ob selbstsignierte Zertifikate akzeptiert werden.

TargetSystem | LDAP | AuthenticationV2 | Authentication

Authentifizierungsmethode zur Anmeldung am LDAP System. Zulässig sind:

  • Basic: Die Standardauthentifizierung wird verwendet.

  • Negotiate: Die Negotiate-Authentifizierung von Microsoft wird verwendet.

  • Kerberos: Die Kerberos-Authentifizierung wird verwendet.

  • NTLM: Die Windows NT-Abfrage/Rückmeldung-Authentifizierung wird verwendet.

Standard: Basic

Weitere Informationen zu den Authentifizierungsarten finden Sie in der MSDN Library.

TargetSystem | LDAP | AuthenticationV2 | ClientTimeout

Client-Timeout in Sekunden.

TargetSystem | LDAP | AuthenticationV2 | Port

Kommunikationsport auf dem Server.

Standard: 389

TargetSystem | LDAP | AuthenticationV2 | ProtocolVersion

Version des LDAP Protokolls. Zulässig sind die Werte 2 und 3.

Standard: 3

TargetSystem | LDAP | AuthenticationV2 | RootDN

Pipe (|) getrennte Liste von Root-Domänen, in denen das Benutzerkonto zur Authentifizierung gesucht werden soll.

Syntax:

DC=<MyDomain>|DC=<MyOtherDomain>

Beispiel:

DC=Root1,DC=com|DC=Root2,DC=de

TargetSystem | LDAP | AuthenticationV2 | Security

Sicherheit der Verbindung. Zulässige Werte sind None, SSL und STARTTLS.

TargetSystem | LDAP | AuthenticationV2 | Server

Name des LDAP Servers.

TargetSystem | LDAP | AuthenticationV2 | UseSealing

Gibt an, ob die Nachrichtenvertraulichkeit aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | UseSigning

Gibt an, ob Nachrichtenintegrität aktiviert ist.

TargetSystem | LDAP | AuthenticationV2 | VerifyServerCertificate

Gibt an, ob bei Verschlüsselung mit SSL das Serverzertifikat geprüft werden soll.

Verwandte Themen

HTTP Header

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-on Lösungen, die mit einer Proxy-basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Identität.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • In den Identitätenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

  • In den Identitätenstammdaten ist der Systembenutzer eingetragen.

Aktiviert im Standard

nein

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Identität ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Die Benutzeroberfläche und die Berechtigungen werden über den Systembenutzer geladen, der der angemeldeten Identität direkt zugeordnet ist. Ist der Identität kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter SysConfig | Logon | DefaultUser ermittelt.

Datenänderungen werden der angemeldeten Identität zugeordnet.

HTTP Header (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-on Lösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen

Zentrales Benutzerkonto oder Personalnummer der Identität.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • In den Identitätenstammdaten ist das zentrale Benutzerkonto oder die Personalnummer eingetragen.

  • Die Identität ist mindestens einer Anwendungsrolle zugewiesen.

Aktiviert im Standard

ja

Single Sign-on

ja

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

ja

Bemerkungen

Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Identität ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Identität ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Datenänderungen werden der angemeldeten Identität zugeordnet.

OAuth 2.0/OpenID Connect

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • In den Identitätenstammdaten ist der Systembenutzer eingetragen.

  • Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Identität, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Die Benutzeroberfläche und Berechtigungen werden über den Systembenutzer geladen, der der ermittelten Identität direkt zugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

HINWEIS: Wenn für den Claim-Wert keine passende Identität gefunden wird, sucht das Authentifizierungsmodul den Claim-Wert in den zulässigen Anmeldungen der Systembenutzer (DialogUser.AuthentifierLogons). Gibt es dort einen Eintrag, wird dieser Systembenutzer angemeldet. Für Zuordnung von Datenänderungen werden die Werte aus den entsprechenden Claims genutzt. Wenn eine passende Identität gefunden wird, wird der Fallback nicht mehr angewendet.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating