Chat now with support
Chat with Support

Identity Manager 9.3 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable Secure Token Server Blind SQL-Injection verhindern Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

OAuth 2.0/OpenID Connect (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist.

Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen

Abhängig vom Authentifizierungsverfahren des Sicherheitstokendienstes.

Voraussetzungen

  • Die Identität ist in der One Identity Manager-Datenbank vorhanden.

  • Die Identität ist mindestens einer Anwendungsrolle zugewiesen.

  • Das Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten des Benutzerkontos ist die Identität eingetragen.

Aktiviert im Standard

nein

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

ja

Bemerkungen

Der One Identity Manager ermittelt die Identität, die dem Benutzerkonto zugeordnet ist.

Besitzt eine Identität eine Hauptidentität und eine oder mehrere Subidentitäten, wird über den Konfigurationsparameter QER | Person | MasterIdentity | UseMasterForAuthentication gesteuert, welche Identität zur Authentifizierung verwendet wird.

  • Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Identität für die Authentifizierung genutzt.

  • Ist der Konfigurationsparameter deaktiviert, wird die Subidentität der Identität für die Authentifizierung genutzt.

HINWEIS: Identitäten, die als sicherheitsgefährdend eingestuft sind, können sich nicht mehr am One Identity Manager anmelden. Um die Anmeldung zu erlauben, aktivieren Sie den Konfigurationsparameter QER | Person | AllowLoginWithSecurityIncident.

Es wird ein dynamischer Systembenutzer aus den Anwendungsrollen der Identität ermittelt. Die Benutzeroberfläche und die Berechtigungen werden über diesen Systembenutzer geladen.

Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.

HINWEIS: Wenn für den Claim-Wert keine passende Identität gefunden wird, sucht das Authentifizierungsmodul den Claim-Wert in den zulässigen Anmeldungen der Systembenutzer (DialogUser.AuthentifierLogons). Gibt es dort einen Eintrag, wird dieser Systembenutzer angemeldet. Für Zuordnung von Datenänderungen werden die Werte aus den entsprechenden Claims genutzt. Wenn eine passende Identität gefunden wird, wird der Fallback nicht mehr angewendet.

Verwandte Themen

Synchronisationsauthenticator

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Modul Zielsystemsynchronisation vorhanden ist.

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Synchronization Editor.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer sa.

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer sa sollten Sie nicht verändern. Der Systembenutzer wird bei jeder Schemaaktualisierung überschrieben.

Component Authenticator

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung der Prozesskomponenten.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer sa.

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer sa sollten Sie nicht verändern. Der Systembenutzer wird bei jeder Schemaaktualisierung überschrieben.

Crawler

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.

Das Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes für die Volltextsuche über die Datenbank verwendet.

Anmeldeinformationen

Die Anmeldung erfolgt über den Systembenutzer sa.

Voraussetzungen

 

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

nein

Anmeldung am Web Portal möglich

nein

Bemerkungen

Den Systembenutzer sa sollten Sie nicht verändern. Der Systembenutzer wird bei jeder Schemaaktualisierung überschrieben.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating