立即与支持人员聊天
与支持团队交流

Identity Manager 8.2.1 - Handbuch zur Autorisierung und Authentifizierung

Über dieses Handbuch One Identity Manager Anwendungsrollen Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen Steuern von Berechtigungen über Programmfunktionen One Identity Manager Authentifizierungsmodule OAuth 2.0/OpenID Connect Authentifizierung Multifaktor-Authentifizierung im One Identity Manager Abgestufte Berechtigungen für SQL Server und Datenbank One Identity Redistributable STS installieren Programmfunktionen zum Starten der One Identity Manager-Werkzeuge Minimale Berechtigungsebenen der One Identity Manager-Werkzeuge

Berechtigungen zum Auslösen von Prozessen

Die grundlegende Berechtigung zum Auslösen von Prozessen erhält der angemeldete Benutzer über die Programmfunktion Erlaubt das Auslösen von Ereignissen im Frontend (Common_TriggerEvents).

Im One Identity Manager ist das Auslösen von Ereignissen an den hinterlegten Prozessen mit dem Berechtigungskonzept verbunden. Benutzer dürfen nur an solchen Objekten Ereignisse auslösen, für die Sie auch Bearbeitungsberechtigungen besitzen. Dies kann dazu führen, dass Benutzer an Tabellen, für die nur Sichtbarkeitsberechtigungen definiert sind, keine zusätzlichen Ereignisse für Prozesse auslösen können.

Für diesen Fall gibt es die Möglichkeit die Objektereignisse (Tabelle QBMEvent) mit einer Programmfunktion (Tabelle QBMFeature) zu verbinden. Ein Ereignis (Tabelle JobEventGen), welches für einen Prozess definiert wird, wird mit einem Objektereignis (Spalte JobEventGen.UID_QBMEvent) verknüpft. Das Objektereignis wird mit einer Programmfunktion (Tabelle QBMEventHasFeature) verbunden. Benutzer mit dieser Programmfunktion können, unabhängig von ihren Berechtigungen, das Objektereignis und damit auch den Prozess auslösen.

Um das Auslösen eines Prozesses über eine Programmfunktion zu steuern

  1. Erstellen Sie eine neue Programmfunktion.

    1. Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.

    2. Wählen Sie den Menüeintrag Objekt > Neu.

    3. Erfassen Sie die folgenden Informationen:
      • Programmfunktion: Bezeichnung der Programmfunktion.

      • Beschreibung: Kurze Beschreibung der Programmfunktion.

      • Funktionsgruppe: Merkmal zu Gruppierung von Programmfunktionen.

  2. Verbinden Sie die Programmfunktion mit den Objektereignissen, die die Benutzer auslösen sollen.

    1. Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.

    2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle QBMEventHasFeature.

    3. Wählen Sie im Listeneditor die neu erstellte Programmfunktion.

    4. Weisen Sie in der Bearbeitungsansicht Objektereignis die Objektereignisse zu.

  3. Weisen Sie die benötigten Programmfunktionen an die kundenspezifische Berechtigungsgruppe zu, deren Systembenutzer die Ereignisse auslösen sollen.

    1. Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.

    2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle DialogGroupHasFeature.

    3. Wählen Sie im Listeneditor mit Strg + Auswahl Ihre neu erstellte Programmfunktion und die Programmfunktion Erlaubt das Auslösen von Ereignissen im Frontend (Common_TriggerEvents).

    4. Weisen Sie in der Bearbeitungsansicht Berechtigungsgruppe die Berechtigungsgruppe zu.

  4. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

Verwandte Themen

Berechtigungen zum Ausführen von Aktionen im Launchpad

One Identity Manager liefert eine Reihen von Launchpad Aktionen, die Sie zum Starten von Anwendungen über das Launchpad verwenden können. Bei Bedarf können Sie auch eigene Anwendungen über Launchpad Aktionen starten.

Sollen Aktionen im Launchpad nicht für alle Benutzer verfügbar sein, steuern Sie die Berechtigungen über die Zuweisung von Launchpad Aktionen an Programmfunktionen (Tabelle QBMLaunchActionHasFeature). Es werden nur die Aufgaben im Launchpad angezeigt, deren Aktionen ein Benutzer über seine Programmfunktion ausführen darf.

Um eine Programmfunktion an Launchpad Aktionen zuzuweisen

  1. Wählen Sie im Designer die Kategorie Berechtigungen > Programmfunktionen.

  2. Wählen Sie den Menüeintrag Ansicht > Tabellenrelationen wählen und aktivieren Sie die Tabelle QBMLaunchActionHasFeature.

  3. Wählen Sie im Listeneditor die Programmfunktion.

  4. Weisen Sie in der Bearbeitungsansicht Launchpad Aktion die Aktionen zu.

  5. Wählen Sie den Menüeintrag Datenbank > Übertragung in Datenbank und klicken Sie Speichern.

One Identity Manager Authentifizierungsmodule

Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Berechtigungsgruppen die Benutzeroberfläche und die Berechtigungen auf Ressourcen der Datenbank.

  • Für die Anmeldung an den One Identity Manager-Werkzeugen mit einem Authentifizierungsmodul, das einen definierten Systembenutzer erwartet, werden die Berechtigungen aus den Berechtigungsgruppen ermittelt, die dem Systembenutzer zugewiesen sind.

  • Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Person werden zunächst die Mitgliedschaften der Person in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Berechtigungsgruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Berechtigungsgruppen für die Person gültig sind. Aus diesen Berechtigungsgruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Person benutzt wird.

Um ein Authentifizierungsmodul zur Anmeldung zu verwenden, sind folgende Voraussetzungen zu erfüllen:

  1. Das Authentifizierungsmodul muss aktiviert sein.

  2. Das Authentifizierungsmodul muss der Anwendung zugewiesen sein.

  3. Die Zuweisung des Authentifizierungsmoduls zur Anwendung muss aktiviert sein.

Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicher, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Programmfunktionen besitzen, die Anwendung zu benutzen.

HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule Systembenutzer und Component Authenticator sowie die rollenbasierten Authentifizierungsmodule aktiviert.

Für die Anmeldung am Designer verwenden Sie nicht-rollenbasierte Authentifizierungsmodule. Rollenbasierte Authentifizierungsmodule werden für die Anmeldung am Designer nicht unterstützt.

HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Verwandte Themen

Systembenutzer

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Konfigurationsmodul vorhanden ist.

Anmeldeinformationen

Bezeichnung und Kennwort des Systembenutzers.

Voraussetzungen

  • Der Systembenutzer mit Berechtigungen ist in der One Identity Manager-Datenbank vorhanden.

Aktiviert im Standard

ja

Single Sign-on

nein

Anmeldung am Frontend möglich

ja

Anmeldung am Web Portal möglich

nein

Bemerkungen

Die Benutzeroberfläche und Berechtigungen werden über den Systembenutzer geladen.

Datenänderungen werden dem Systembenutzer zugeordnet.

WICHTIG: Standardmäßig ist der Systembenutzer viadmin vorhanden. Der Systembenutzer hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Berechtigungen für den Systembenutzer sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierung überschrieben wird.

TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen.

相关文档

The document was helpful.

选择评级

I easily found the information I needed.

选择评级