View
0
Download
0
Category
Preview:
Citation preview
One Identity Manager 8.0
Installationshandbuch
Copyright 2017 One Identity LLC.
ALLE RECHTE VORBEHALTEN.Diese Anleitung enthält urheberrechtlich geschützte Informationen. Die in dieser Anleitungbeschriebene Software wird unter einer Softwarelizenz oder einer Geheimhaltungsvereinbarungbereitgestellt. Diese Software darf nur in Übereinstimmungmit den Bestimmungen der geltendenVereinbarung verwendet oder kopiert werden. Kein Teil dieser Anleitung darf ohne die schriftlicheErlaubnis von One Identity LLC in irgendeiner Form oder mit irgendwelchen Mitteln, elektronisch odermechanisch reproduziert oder übertragen werden, einschließlich Fotokopien und Aufzeichnungen fürirgendeinen anderen Zweck als den persönlichen Gebrauch des Erwerbers.Die Informationen in diesem Dokument werden in Verbindungmit One Identity Produktenbereitgestellt. Durch dieses Dokument oder im Zusammenhangmit dem Verkauf von One Identity LLCProdukten wird keine Lizenz, weder ausdrücklich oder stillschweigend, noch durch Duldung oderanderweitig, an jeglichem geistigen Eigentumsrechts eingeräumt. MIT AUSNAHME DER IN DERLIZENZVEREINBARUNG FÜR DIESES PRODUKT GENANNTEN BEDINGUNGEN ÜBERNIMMTONEIDENTITY KEINERLEI HAFTUNG UND SCHLIESST JEGLICHE AUSDRÜCKLICHE, IMPLIZIERTE ODERGESETZLICHE GEWÄHRLEISTUNGODER GARANTIE IN BEZUG AUF IHRE PRODUKTE AUS,EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE IMPLIZITE GEWÄHRLEISTUNGEN DERALLGEMEINEN GEBRAUCHSTAUGLICHKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODERNICHTVERLETZUNG VON RECHTEN. IN KEINEM FALL HAFTET ONE IDENTITY FÜR JEGLICHE DIREKTE,INDIREKTE, FOLGE-, STÖRUNGS-, SPEZIELLE ODER ZUFÄLLIGE SCHÄDEN (EINSCHLIESSLICH,OHNE EINSCHRÄNKUNG, SCHÄDEN FÜR VERLUST VON GEWINNEN, GESCHÄFTSUNTERBRECHUNGENODER VERLUST VON INFORMATIONEN), DIE AUS DER NUTZUNGODER UNMÖGLICHKEIT DERNUTZUNGDIESES DOKUMENTS RESULTIEREN, SELBSTWENN ONE IDENTITY AUF DIE MÖGLICHKEITSOLCHER SCHÄDEN HINGEWIESEN HAT. One Identity übernimmt keinerlei Zusicherungen oderGarantien hinsichtlich der Richtigkeit und Vollständigkeit des Inhalts dieses Dokuments und behält sichdas Recht vor, Änderungen an Spezifikationen und Produktbeschreibungen jederzeit ohne vorherigeAnkündigung vorzunehmen. One Identity verpflichtet sich nicht, die in diesem Dokument enthaltenenInformationen zu aktualisieren.Wenn Sie Fragen zu Ihrer potenziellen Nutzung dieses Materials haben, wenden Sie sich bitte an:One Identity LLC.Attn: LEGAL Dept4 Polaris WayAliso Viejo, CA 92656Besuchen Sie unsere Website (http://www.OneIdentity.com) für regionale und internationaleBüro-Adressen.
PatenteOne Identity ist stolz auf seine fortschrittliche Technologie. Für dieses Produkt können Patente undanhängige Patente gelten. Für die aktuellsten Informationen über die geltenden Patente für diesesProdukt besuchen Sie bitte unsere Website unter http://www.OneIdentity.com/legal/patents.aspx.
MarkenOne Identity und das One Identity Logo sindMarken und eingetragene Marken von One Identity LLC.in den USA und anderen Ländern. Für eine vollständige Liste der One Identity Marken, besuchen Siebitte unsere Website unter www.OneIdentity.com/legal. Alle anderen Marken sind Eigentum derjeweiligen Besitzer.
Legende
WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oderSachschäden oder Schaden mit Todesfolge hin.
VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigungvon Hardware oder den möglichen Verlust von Daten hin, wenn die Anwei-sungen nicht befolgt werden.
WICHTIG, HINWEIS, TIPP, MOBIL, oder VIDEO: Ein Informationssymbol weist aufBegleitinformationen hin.
One Identity Manager InstallationshandbuchAktualisiert - November 2017Version - 8.0
Inhalt
Über dieses Handbuch 9
Überblick über den One Identity Manager 10
Editionen des One Identity Manager 10
Architektur des One Identity Manager 11
Werkzeuge des One Identity Manager 14
Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? 19
Installationsvoraussetzungen 22
Minimale Systemanforderungen für den Datenbankserver 23
Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank 24
Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank 25
Minimale Systemanforderungen für die administrative Arbeitsstation 27
Minimale Systemanforderungen für den Dienstserver 28
Minimale Systemanforderungen für den Webserver 30
Minimale Systemanforderungen für den Anwendungsserver 32
Benutzer und Berechtigungen für den One Identity Manager 34
Berechtigungen für SQL Server Datenbankbenutzer 35
Berechtigungen für Oracle Datenbankbenutzer 37
Einrichten der Berechtigung zum Erstellen eines HTTP Server 39
Kommunikationsports und Firewall Konfiguration 40
Installieren des One Identity Manager 41
Bevor Sie die Installation des One Identity Manager starten 42
Installieren der One Identity Manager-Komponenten 43
Installieren der One Identity Manager-Komponenten auf einem Windows Termi-nalserver 46
Installieren und Konfigurieren einer One Identity Manager-Datenbank 47
Starten des Configuration Wizard 49
Erstellen einer neuen SQL Server Datenbank 49
Verwenden einer bestehenden leeren SQL Server Datenbank 52
Erstellen eines neuen Oracle Datenbankbenutzers 54
Verwenden eines bestehenden leeren Oracle Datenbankbenutzers 56
One Identity Manager 8.0 Installationshandbuch 4
Verarbeiten der Datenbank 57
Erfassen der Systeminformationen 58
Installieren des One Identity Manager Service für die Datenbank 60
Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwick-lungs- oder Produktivumgebung 62
Verschlüsseln von Datenbankinformationen 64
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Daten-bankinformationen 65
Ändern eines Datenbankschlüssels und Verschlüsseln der Daten-bankinformationen 66
Erneutes Verschlüsseln der Datenbankinformationen 67
Entschlüsseln der Datenbankinformationen 68
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank 69
Lieferantenbenachrichtigung im One Identity Manager 70
Aktivieren der Lieferantenbenachrichtigung 71
Prüfen der Lieferantenbenachrichtigung 72
Deaktivieren der Lieferantenbenachrichtigung 72
Installieren und Konfigurieren des One Identity Manager Service 74
Anzeigen der Protokolldatei des One Identity Manager Service 78
Ändern des Benutzerkontos oder der Startart des One Identity Manager Service 79
Der One Identity Manager Service im Cluster 80
Registrieren des One Identity Manager Service im Cluster 81
Installieren und Konfigurieren des One Identity Manager Service im Cluster 82
Aktualisieren des One Identity Manager 84
Aktualisieren der One Identity Manager-Komponenten 86
Aktualisieren der One Identity Manager-Komponenten mit dem Instal-lationsassistenten 86
Aktualisieren der One Identity Manager-Datenbank 87
Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard 89
Aktualisieren einer SQL Server Datenbank 90
Aktualisieren eines Oracle Datenbankbenutzers 92
Verarbeiten der Datenbank während der Aktualisierung 95
Einspielen eines Hotfixes in die One Identity Manager-Datenbank 96
Inhalt eines Transportpaketes mit dem Database Transporter anzeigen 97
Importieren eines Transportpaketes mit dem Database Transporter 98
One Identity Manager 8.0 Installationshandbuch 5
Importieren von Dateien mit dem Software Loader 99
Automatisches Aktualisieren des One Identity Manager 102
Grundlagen zur automatischen Aktualisierung 102
Inbetriebnahme der automatischen Softwareaktualisierung 105
Installieren und Aktualisieren eines One Identity Manager Anwen-dungsservers 108
Installieren eines One Identity Manager Anwendungsservers 108
Aktualisieren eines One Identity Manager Anwendungsservers 113
Anzeigen des Status eines One Identity Manager Anwendungsservers 113
Deinstallieren eines One Identity Manager Anwendungsservers 114
Installieren, Konfigurieren und Warten des Web Portals 115
Installieren des Web Portal 115
Installieren des Web Portal über die Kommandozeilenkonsole 120
Kompilieren des Web Portal über die Kommandozeilenkonsole 123
Deinstallieren des Web Portal 125
Konfigurieren des Web Portal 125
Datenbankverbindung 126
Webprojekt 128
Log 128
Automatische Aktualisierung 129
Webeinstellungen 130
Cache 131
Debugger Service 131
Suchdienst 131
Warten des Web Portal 132
Runtime Monitoring 132
Sicherheit 132
Ansehen der Protokolldateien und Exceptions 133
Anwenden automatischer Aktualisierungen für das Web Portal 133
Wartungsmodus 134
Manuelle Aktualisierung 134
Überwachung mithilfe von Leistungsindikatoren 135
Installieren des Web Portal für Betriebsunterstützung 137
Installieren und Aktualisieren der Manager Webanwendung 138
One Identity Manager 8.0 Installationshandbuch 6
Installieren der Manager Webanwendung 138
Aktualisieren der Manager Webanwendung 142
Deinstallieren der Manager Webanwendung 143
Anmelden an den One Identity Manager-Werkzeugen 144
Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer 145
Anmelden an den One Identity Manager-Werkzeugen mit einer System-benutzerkennung 150
Aktivieren weiterer Authentifizierungsmodule 152
Aktivieren weiterer Anmeldesprachen 153
Ablauf von Kennwörtern 153
Überprüfung der Authentifizierung 154
Fehlerbehebung 155
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version 155
Behandlung von Fehlern und Warnungen während der Systemkompilierung 156
Prüfen der Datenkonsistenz 158
DBQueue Prozessor verarbeitet keine Aufträge 159
Meldung: Enter email address in configuration parameter 160
Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks whilecompiling database. 168
Datenbankfehler bei der Migration einer Datenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen 168
Anhang: One Identity Manager Authentifizierungsmodule 169
Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test-oder Entwicklungsumgebung aus einer Datenbanksicherung 200
Anhang: Erweiterte Konfiguration der Manager Webanwendung 202
Allgemein 203
Datenbankverbindung 203
Sicherheit 204
Debugging 205
Leistung 206
Dateidownload 207
ASP.Net Basiseinstellungen 208
Verzeichnisse 208
Applikationspool 209
Plugins 210
One Identity Manager 8.0 Installationshandbuch 7
Load Balancing 210
Single Sign-On 212
Anhang: Maschinenrollen und Installationspakete 213
Anhang: Einstellungen für eine neue SQL Server Datenbank 215
Über uns 217
Kontaktieren Sie uns 217
Technische Supportressourcen 217
Index 218
One Identity Manager 8.0 Installationshandbuch 8
1
Über dieses Handbuch
Dieses Handbuch beschreibt die Installation und erste Inbetriebnahme des One IdentityManager. Sie erhalten einen Überblick die Architektur des One Identity Manager und überdie Funktionen der verschiedenen One Identity Manager-Werkzeuge. Sei erhaltenInformationen darüber, welche Voraussetzungen Sie zur Installation des One IdentityManager benötigen, wie Sie die Komponenten des One Identity Manager einrichten,installieren und aktualisieren.
Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren,Berater, Analysten und andere IT-Fachleute entwickelt.
HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, diefür den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration undden Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.
One Identity Manager 8.0 Installationshandbuch
Über dieses Handbuch9
2
Überblick über den One IdentityManager
One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung vonBenutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichenden Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen,während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können.
Mit diesen Produkten können Sie:
l Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directorymit der One Identity Manager Active Directory Edition umsetzen,
l Zugriffsentscheidungen für unstrukturierte Daten mit der One Identity Manager DataGovernance Edition vereinfachen,
l Access Governance Anforderungen in Ihrem gesamten Konzernplattformübergreifend mit dem One Identity Manager verwirklichen.
Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimiertenArchitektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichenIdentity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität,Zeitaufkommen und Kosten.
Editionen des One Identity Manager
Der One Identity Manager ist in folgenden Editionen verfügbar.
Edition Beschreibung
One Identity Manager Die Edition enthält alle Management Module (IT Shop &Workflow, Delegation, Verwaltung von Systemrollen undGeschäftsrollen, Role Mining, Risikobewertung, Attestierung,Compliance, Unternehmensrichtlinien, Abonnements vonBerichten) sowie den Unified Namespace und Konnektoren
Tabelle 1: One Identity Manager Editionen
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager10
Edition Beschreibung
für Active Directory .
One Identity ManagerActive Directory Edition
Die Edition enthält alle erforderlichen Funktionen für dieActive Directory Unterstützung inklusive Konnektoren fürActive Directory , Attestierung, IT Shop & Workflow undBerichtsfunktionen.
One Identity Manager DataGovernance Edition
Die Edition enthält alle erforderlichen Funktionen für dieData Governance Unterstützung inklusive Konnektoren fürActive Directory und SharePoint , Risikobewertung,Attestierung, Compliance, Unternehmensrichtlinien,Delegierung, Abonnements von Berichten und den DataGovernance Dienst.
Architektur des One Identity Manager
Abbildung 1: Überblick über die Komponenten des One Identity Manager
Der One Identity Manager besteht aus folgenden Komponenten.
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager11
Datenbank
Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgabender Datenhaltung und der Berechnung von Vererbungen. Vererbt werden könnenEigenschaften von Objekten entlang von hierarchischen Strukturen, wie Abteilungen,Kostenstellen, Standorten oder Geschäftsrollen. Bei der Datenhaltung bildet die Datenbankdie zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur Compliance undZugriffsberechtigungen ab.
Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. DieNutzdaten enthalten alle für die Datenpflege nötigen Informationen wie beispielsweiseInformationen über Personen, Benutzerkonten, Gruppen, Mitgliedschaften undBetriebsdaten, Genehmigungsworkflows, Attestierungen, Rezertifizierungen undComplianceregeln.
Die Metadaten enthalten die Beschreibung des Nutzdatenmodells sowie Skripte für Format-und Bildungsvorschriften oder bedingte Wechselwirkungen. Die kompletteSystemkonfiguration des One Identity Managers, die gesamten Einstellungen zurSteuerung der Frontends und die Queues für asynchrone Verarbeitung der Daten undProzesse sind ebenfalls Teil der Metadaten.
Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst.Die Trigger stellen dazu Verarbeitungsaufträge in eine als "DBQueue" bezeichneteAuftragsliste ein. Der DBQueue Prozessor verarbeitet diese Aufträge und berechnet dieVererbungen der jeweiligen Datenbankobjekte neu. Eine als "JobQueue" bezeichneteTabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschichtauszuführen sind.
Als Datenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz.
Serverdienst
Der One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannteProzesse. Ein Prozess besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellenund über Vorgänger-Nachfolger-Beziehungen miteinander verbunden sind. DiesesFunktionsprinzip erlaubt es, flexibel Aktionen und Abläufe an die Ereignisse von Objektenzu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die Umwandlungder als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkretenProzess in der JobQueue übernimmt der Jobgenerator.
Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der OneIdentity Manager-Datenbank verwalteten Informationen im Netzwerk. Der One IdentityManager Service übernimmt die Datensynchronisation zwischen Datenbank und denangebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbank- undDateiebene. Der One Identity Manager Service holt die Prozessschritte aus der JobQueueab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One IdentityManager Service erzeugt dazu eine Instanz der benötigten Prozesskomponente undübergibt die Parameter des Prozessschrittes. Eine Entscheidungslogik überwacht dieAusführung der Prozessschritte und veranlasst abhängig vom gemeldetenAusführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity ManagerService ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrereInstanzen von Prozesskomponenten erzeugen kann.
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager12
Der One Identity Manager Service ist die einzige Komponente des One Identity Manager,die berechtigt ist, Änderungen in den Zielsystemen auszuführen.
Anwendungsserver
Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. DerAnwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zurVerfügung und sorgt für eine sichere Verbindung zur Datenbank. Die Clients senden ihreAnfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wiebeispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet dieErgebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vomAnwendungsserver an die Datenbank übergeben.
Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst dieObjektschicht halten und direkt auf die Datenbankschicht zugreifen. In den Clientskommt in diesem Fall nur der Teil der Objektschicht zum Einsatz, der dieErfassungsprozesse abbildet.
Webserver
Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Applikationbetrieben, die aus einer Renderengine für Webseiten besteht. Der Benutzer greift mittelseines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. DerAustausch zwischen Datenbank und Webserver kann über den Anwendungsserver oderdirekt erfolgen.
Frontends
Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweisewird zur Konfiguration des One Identity Manager ein anderes Frontend verwendet als zurVerwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werdenin Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschichtbestimmt. Als Frontends stehen sowohl Clients als auch eine browserbasierte Lösung zurVerfügung.
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager13
Abbildung 2: Überblick über die Komponenten des One Identity Manager ohneAnwendungsserver
Verwandte Themen
l Werkzeuge des One Identity Manager auf Seite 14
l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? aufSeite 19
Werkzeuge des One Identity Manager
Für unterschiedliche Aufgabenstellungen gibt es verschiedene Werkzeuge. Beispielsweisewird zur Konfiguration des One Identity Manager ein anderes Werkzeuge verwendet alszur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeitwerden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch dieObjektschicht bestimmt.
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager14
Werkzeug Kurzbeschreibung
Launchpad Das Launchpad ist das zentrale Werkzeug zum Starten derAdministrationswerkzeuge und Konfigurationswerkzeuge des OneIdentity Manager. Mit dem Launchpad können Sie die vorhandene OneIdentity Manager Installation prüfen und die Werkzeuge des OneIdentity Manager zur Ausführung einzelner Aufgaben starten.
Das Launchpad ist kundenspezifisch erweiterbar. Sie können imDesigner eigene Menüeinträge und Aktionen für das Launchpaddefinieren.
Web Portal Das Web Portal ist eine webbasierte Applikation für alle One IdentityManager Benutzer. Das Web Portal stellt die stringente Arbeitsabläufein folgenden Bereichen bereit:
l Eigene Personenstammdaten und eigenes Kennwort ändern.
l Personenstammdaten für untergeordnete Mitarbeiter bearbeitenoder neu erfassen.
l Produkte im IT Shop suchen, bestellen, abbestellen oder verlän-gern.
l Eigene Rollen delegieren.
l Zugewiesene Entscheidungen, Attestierungsvorgänge und Regel-verletzungen bearbeiten.
Im Infosystem erhalten Sie verschiedene Auswertungen, zum Beispielüber eigene Bestellvorgänge oder Attestierungsvorgänge,Mitarbeiterzahlen, Genehmigungen, Regelverletzungen oder denUnified Namespace.
Das Web Portal benötigt einen Webserver. Der Benutzer greift mittelseines Webbrowsers auf die für ihn dynamisch erstellte und angepassteWebsite zu. Nach der Konfiguration des Webservers und der Freigabeeines Webprojekts im Web Designer starten Sie das Web Portal ineinem Webbrowser.
Manager Der Manager ist das zentrale Administrationswerkzeug zur Einrichtungaller Informationen über Personen und ihre Identitäten. Es werden alleInformationen abgebildet und bearbeitet, die zur Verwaltung vonPersonen mit ihren Benutzerkonten, Berechtigungen undunternehmensspezifischen Rollen in einem One Identity Manager-Netzwerk erforderlich sind. Unternehmensressourcen, die dieMitarbeiter für ihre Arbeit benötigen, können erfasst und den Personenzugewiesen werden.
Nutzen Sie den Manager außerdem, um
l unternehmensspezifische IT-Richtlinien zu definieren,
Tabelle 2: Übersicht der One Identity Manager Werkzeuge
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager15
Werkzeug Kurzbeschreibung
l einen IT Shop einzurichten, über den Unternehmensressourcenund Zuweisungen bestellt werden,
l spezielle Genehmigungsverfahren einzurichten, mit denen Bestel-lungen autorisiert und die Einhaltung der IT-Richtlinien überprüftwerden,
l Attestierungsverfahren einzurichten, mit denen die Korrektheitder Informationen über Personen oder Rollen und ihre Zuwei-sungen regelmäßig attestiert werden.
Durch den Einsatz von One Identity Manager Anwendungsrollen erhältjeder One Identity Manager Benutzer nur die Bearbeitungsrechte, die erzur Erfüllung seiner administrativen Aufgaben benötigt.
Die Funktionen des Manager können als Webanwendung bereitgestelltwerden.
SynchronizationEditor
Die Anbindung verschiedener Zielsysteme an den One Identity Managerwird mit dem Synchronization Editor realisiert. Mit diesem Werkzeugkonfigurieren Sie die Synchronisation von Daten beliebiger Zielsystemeund legen fest, welche Daten der Zielsysteme in der One IdentityManager-Datenbank abgebildet werden. Dazu definieren Sie dasMapping der Objekteigenschaften und den Ablauf der Synchronisationals Workflow.
Analyzer Mit dem Analyzer können Sie Datenkorrelationen in der Datenbankautomatisch analysieren und erkennen. Diese Informationen könnengenutzt werden, um zum Beispiel direkte Berechtigungszuordnungendurch indirekte Zuordnungen zu ersetzen, und somit denVerwaltungsaufwand zu reduzieren.
Job Queue Info Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der ineinem One Identity Manager-Netzwerk laufenden Dienste. Esermöglicht eine detaillierte und übersichtliche Darstellung der Aufträgein der JobQueue und stellt verschiedene Abfragen des One IdentityManager Service auf den Servern zur Verfügung. Das Werkzeug liefertZustandsinformationen im laufenden Betrieb und ermöglicht eineschnelle Fehlererkennung und Fehlersuche.
ConfigurationWizard
Der Configuration Wizard ist das Werkzeug mit dem die Datenbank aufeinem SQL Server bzw. einem Oracle Database Datenbanksystem fürdie Verwendung in einem One Identity Manager-Netzwerk eingerichtetwird. Mit dem Configuration Wizard werden die benötigten Tabellen,Datentypen, Datenbankprozeduren des One Identity Manager Schemasin die Datenbank eingespielt. Die Datenbankrollen mit denBerechtigungen auf das One Identity Manager Schema werdenangelegt.
Im One Identity Manager ist eine automatische Versionsverwaltung
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager16
Werkzeug Kurzbeschreibung
integriert, die einen konsistenten Stand der Bestandteile des OneIdentity Manager untereinander als auch zur Datenbank sichert.Werden Erweiterungen implementiert, die die Struktur verändern (zumBeispiel Tabellenerweiterungen), ist eine Migration der Datenbankerforderlich. Der Configuration Wizard führt diese Schemainstallation inAbhängigkeit vom aktuellen Stand des Schemas durch.
Designer Der Designer ist das zentrale Werkzeug zur Konfiguration des OneIdentity Manager. Das Programm bietet einen Überblick über dasgesamte Datenmodell des One Identity Manager. Es ermöglicht dieKonfiguration globaler Systemeinstellungen, wie beispielsweiseSprachen oder Konfigurationsparametern sowie die Anpassung derBenutzeroberfläche der unterschiedlichen Administrationswerkzeuge.Mit dem Designer können Sie die Rechtestruktur für die verschiedenenadministrativen Aufgaben der einzelnen Anwender undAnwendergruppen festlegen. Eine weitere zentrale Aufgabe ist dieDefinition von Arbeitsabläufen zur technischen Abbildung derAdministrationsprozesse in einem Unternehmen. Der Designer stellt fürdie Systemkonfiguration des One Identity Manager verschiedeneEditoren zur Verfügung. Funktionsumfang und Arbeitsweise derEditoren sind abgestimmt auf die unterschiedlichenKonfigurationsanforderungen.
Web Designer Der Web Designer ist das Werkzeug zur Konfiguration und Erweiterungdes Web Portals. Er stellt Funktionen zur Verfügung, mit denen dieArbeitsabläufe des Web Portals angepasst und neue Arbeitsabläufeentwickelt werden.
Data Import Mit dem Programm "Data Import" bietet der One Identity Managereinen einfache Möglichkeit für den Datenimport aus anderen Systemen.Nutzen Sie das Programm, um Daten betrieblicher Ressourcen ausexternen Quellen in Ihre Datenbank zu importieren. Das Programmunterstützt Importe aus Dateien und direkte Importe aus anderenDatenbanksystemen. Datenimporte können sofort ausgeführt werden.Zusätzlich werden Importskripte erzeugt, mit denen Datenimporte überkundenspezifische Prozesse ausführbar sind. Die Importdefinition wirdgespeichert und kann bei weiteren Datenimporten genutzt werden.
CryptoConfiguration
Unter Umständen ist es notwendig, Informationen verschlüsselt in derDatenbank abzulegen. Die Verschlüsselung erfolgt mit dem Programm"Crypto Configuration". Das Programm erzeugt eine Schlüsseldatei undkonvertiert die Inhalte der betroffenen Datenbankspalten. DieSchlüsselinformationen werden in der Datenbank abgelegt.
DatabaseCompiler
Nach Änderungen von Konfigurationsdaten müssen Sie die One IdentityManager-Datenbank kompilieren. Nach dem Import einesMigrationspaketes oder eines kompletten Kundenkonfigurationspaketeswird die Kompilierung der Datenbank aus dem Configuration Wizard
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager17
Werkzeug Kurzbeschreibung
oder dem Database Transporter heraus sofort gestartet.
Nach dem Import von Hotfixpaketen oder eingeschränktenKundenkonfigurationspaketen sowie nach Änderungen von Prozessen,Skripten, Bildungsvorschriften, Objektdefinitionen,Methodendefinitionen und präprozessorrelevantenKonfigurationsparametern wird der Database Compiler zurKompilierung der One Identity Manager-Datenbank eingesetzt.
Report Editor Mit dem Report Editor können Sie Informationen über die One IdentityManager-Objekte in Reporten zusammenzustellen. Sie können dieseDaten gruppieren, aggregieren und grafisch darstellen. Bei derMigration werden bereits von uns definierte Reporte mitgeliefert. Mitdem Report Editor können Sie aber auch eigene Reporte erstellen.
SchemaExtension
Schema Extension wird zur Erweiterung des bestehendenAnwendungsdatenmodells einer One Identity Manager-Datenbank umkundenspezifische Tabellen und Spalten eingesetzt. Mit der im OneIdentity Manager verwendeten Objekttechnologie ist es möglich, dasAnwendungsdatenmodell kundenspezifisch um Spalten und Tabellen aufDatenbankebene zu erweitern, sodass diese Erweiterungen auf derObjektebene mit allen Funktionen verfügbar sind.
SystemDebugger
Mit dem System Debugger können Sie Skripte erstellen, starten unddebuggen. Die in Ihrer One Identity Manager-Datenbank vorhandenenSkripte werden in eine Visual Studio Skriptbibliothek importiert. Dortkönnen Sie die Skripte lokal bearbeiten und testen. Anschließendentscheiden Sie, ob Ihre Änderungen in die One Identity Manager-Datenbank übernommen werden sollen.
DatabaseTransporter
Der Database Transporter wird eingesetzt, um Objekte undkundenspezifische Anpassungen sowie kundenspezifischeDatenbankprozeduren, Trigger, Funktionen und Views aus einer OneIdentity Manager-Datenbank (Quellsystem) in eine andere One IdentityManager-Datenbank (Zielsystem) zu transportieren.
HistoryDBManager
Historische Daten der One Identity Manager-Datenbank werden inzyklischen Abständen in eine One Identity Manager History Databaseübertragen. Diese One Identity Manager History Database stellt somitdas Veränderungsarchiv dar. Der HistoryDB Manager ist das Werkzeugzur Anzeige der Daten der One Identity Manager History Database.Nutzen Sie den HistoryDB Manager um den Zugriff auf dieQuelldatenbanken einzurichten.
Job ServiceConfiguration
Job Service Configuration ist das Werkzeug mit dem dieKonfigurationsdatei für den One Identity Manager Service erstellt undangepasst wird. Mit dieser Datei werden der One Identity ManagerService selbst und seine Plugins konfiguriert. Die Konfigurationsdateiist sowohl für den One Identity Manager Service auf einem Windows
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager18
Werkzeug Kurzbeschreibung
Betriebssystem als auch für den Linux-Deamon notwendig.
License Meter Mit dem Assistenten "License Meter" führen Sie eine LizenzvermessungIhrer One Identity Manager-Datenbank durch. Der Assistent erstellteinen Bericht mit den Lizenz-relevanten Informationen.
SoftwareLoader
Mit dem Software Loader werden neue oder geänderte Dateien,beispielsweise kundenspezifische Formulararchive, in die One IdentityManager-Datenbank geladen um diese über die Mechanismen derautomatischen Softwareaktualisierung an die Arbeitsstationen undJobserver eines One Identity Manager-Netzwerkes zu verteilen.
Server Installer Mit dem Server Installer können Sie den One Identity Manager Serviceinstallieren und konfigurieren. Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokaleInstallation des Dienstes ist mit diesem Programm nicht möglich.
Verwandte Themen
l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? aufSeite 19
Welche Komponenten und Frontendsarbeiten mit einem Anwendungsserver?
Der nachfolgenden Liste entnehmen Sie, welche der Komponenten des One IdentityManager gegen einen Anwendungsserver arbeiten können. Einige Frontends arbeiten nurmit eingeschränkter Funktionalität gegen einen Anwendungsserver.
Komponente Verbindung überAnwendungsservermöglich?
Einschränkungen
Launchpad Ja Einige der Anwendungen, die aus demLaunchpad gestartet werden, benötigen einedirekte Verbindung zur Datenbank.
Web Portal Ja
Manager Ja Die Konsistenzprüfung wird nicht unterstützt.
Die Simulation der Complianceregeln wird nichtunterstützt.
Tabelle 3: One Identity Manager Komponenten und Anwendungsserver
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager19
Komponente Verbindung überAnwendungsservermöglich?
Einschränkungen
Einige Formulare werden nicht unterstützt.
ManagerWebanwendung
Ja Einige Formulare werden nicht unterstützt.
SynchronizationEditor
Ja
Analyzer Ja
Job Queue Info Nein
ConfigurationWizard
Nein
Designer Ja Die Konsistenzprüfung wird nicht unterstützt.
Die Simulation von Prozessen wird nichtunterstützt.
Das Kompilieren der Datenbank wird nichtunterstützt.
Web Designer Ja
Data Import Ja
CryptoConfiguration
Nein
DatabaseCompiler
Nein
Report Editor Ja Testen von SQL Abfragen wird nicht unterstützt.
SchemaExtension
Nein
SystemDebugger
Ja
DatabaseTransporter
Nein
HistoryDBManager
Ja
License Meter Ja
SoftwareLoader
Ja
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager20
Komponente Verbindung überAnwendungsservermöglich?
Einschränkungen
SPMLWebanwendung
Nein
SOAP WebService
Nein
One IdentityManagerService
Ja
Server Installer Ja
One Identity Manager 8.0 Installationshandbuch
Überblick über den One Identity Manager21
3
Installationsvoraussetzungen
Die nachfolgend beschriebenen Installationsvoraussetzungen stellen lediglichMindestanforderungen zur Inbetriebnahme und uneingeschränkten Nutzung des OneIdentity Manager dar. Abhängig von der Projektgröße und den unterstütztenGeschäftsprozessen und Geschäftsvorfällen können diese Voraussetzungen als Ansatzpunktfür weitere Planungen verwendet werden. Die Ermittlung und gegebenenfallsWeiterentwicklung von Hardwarekapazitäten ist Bestandteil der Projektplanung undabhängig von der Spezifikation des Identity Management Projektes. BesonderesAugenmerk muss auf I/O Performance (in Durchsatz und Latenz) gelegt werden,insbesondere in SAN Umgebungen empfiehlt sich eine gezielte Leistungsanalyse derkonkreten Infrastruktur vor dem Einsatz.
Jede One Identity Manager Installation kann virtualisiert werden. Stellen Sie sicher, dassder jeweiligen One Identity Manager-Komponente die laut Systemanforderungspezifizierte Leistung und Ressourcen zur Verfügung stehen. Idealerweise solltenRessourcenzuordnungen für den Datenbankserver statisch festgesetzt werden. DieVirtualisierung einer One Identity Manager Installation sollte von Experten mit einemfundierten Wissen über Virtualisierungstechniken vorgenommen werden. WeitereInformationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für denProdukt-Support.
HINWEIS: Sollten für den Einsatz einzelner One Identity Manager Module zusätzlicheSystemanforderungen und Berechtigungen erforderlich sein, so werden diese in denentsprechenden Handbüchern aufgeführt.
Detaillierte Informationen zum Thema
l Minimale Systemanforderungen für den Datenbankserver auf Seite 23
l Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 24
l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 25
l Minimale Systemanforderungen für die administrative Arbeitsstation auf Seite 27
l Minimale Systemanforderungen für den Dienstserver auf Seite 28
l Minimale Systemanforderungen für den Webserver auf Seite 30
l Minimale Systemanforderungen für den Anwendungsserver auf Seite 32
l Benutzer und Berechtigungen für den One Identity Manager auf Seite 34
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen22
l Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35
l Berechtigungen für Oracle Datenbankbenutzer auf Seite 37
l Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 39
l Kommunikationsports und Firewall Konfiguration auf Seite 40
Minimale Systemanforderungen für denDatenbankserver
One Identity Manager unterstützt folgende Datenbanksysteme:
l SQL Server
l Oracle Database
Für die Installation der Datenbank sind auf einem Server folgende Systemvoraussetzungenzu gewährleisten.
Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung
HINWEIS: Aus Performancegründen wird der Einsatz von 16physischen Kernen empfohlen.
Arbeitsspeicher 16 GB+ RAM
FreierFestplattenspeicher
100 GB
Betriebssystem Windows Betriebssysteme
Unterstützt werden die Versionen:
l Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack2
l Windows Server 2008 R2 (nicht-Itanium 64 bit) ab ServicePack 1
l Windows Server 2012
l Windows Server 2012 R2
l Windows Server 2016
UNIX und Linux Betriebssysteme
l Beachten Sie die Minimalanforderungen des Betriebs-systemherstellers für Oracle Datenbanken.
Tabelle 4: Minimale Systemanforderungen - Datenbankserver
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen23
HINWEIS: In virtuellen Umgebungen muss gesichert sein, dass der VM-Host demDatenbankserver die laut Systemanforderung spezifizierte Leistung und Ressourcenzur Verfügung stellt. Idealerweise sollten Ressourcenzuordnungen für denDatenbankserver statisch festgesetzt werden. Des Weiteren ist eine optimale I/OPerformance insbesondere für den Datenbankserver zwingend erforderlich. WeitereInformationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für denProdukt-Support.
Verwandte Themen
l Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 24
l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 25
l Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35
l Berechtigungen für Oracle Datenbankbenutzer auf Seite 37
Weitere Systemanforderungen bei Einsatzeiner SQL Server Datenbank
Wenn Sie eine SQL Server Datenbank einsetzen, stellen Sie für die Installation des OneIdentity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit,der die folgenden Mindestanforderungen erfüllt.
Software l SQL Server
Unterstützt werden die Versionen:
l SQL Server 2016 Standard Edition, Service Pack 1 oderhöher
l SQL Server 2017 Standard Edition
HINWEIS: Aus Performancegründen wird der Einsatzder SQL Server Enterprise Edition empfohlen.
l SQL Server Management Studio (empfohlen)
Kompatibilitätsgradfür Datenbanken
SQL Server 2016 (130)
Standard-Sortierschema
l Case-Insensitiv
Tabelle 5: Systemanforderungen bei Einsatz einer SQL Server Datenbank
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen24
l Empfehlung: SQL_Latin1_General_CP1_CI_AS
HINWEIS: Das Sortierschema "SQL_Latin1_General_CP1_CI_AS" wird bei der Installation des One IdentityManager Schemas erwartet und gegebenenfalls für dieDatenbank eingestellt.
Standardsprachefür Benutzer desDatenbankservers
English
Sprache fürDatenbankbenutzer
English
ZusätzlicheAnforderungen
Starten Sie den SQL Server Agent in der Dienstverwaltung des SQLServer. Sie können sich am SQL Server Agent sowohl mit einemDomänen-Benutzerkonto (Domain User) mit WindowsAuthentifizierung anmelden als auch mit einem lokalenSystemkonto.
HINWEIS: Es kann zu einer schlechten Performance bei der Verwendung vonTabellenvariablen kommen. Hierzu gibt es einen Fix von Microsoft. Dazu musszusätzlich das Ablaufverfolgungsflag 2453 gesetzt werden. Sie können dazu in denServerstartoptionen den Startparameter -T2453 setzen. Weitere Informationenfinden Sie unter https://support.microsoft.com/en-us/kb/2952444 undhttps://msdn.microsoft.com/en-us/library/ms345416%28v=sql.110%29.aspx.
Verwandte Themen
l Minimale Systemanforderungen für den Datenbankserver auf Seite 23
l Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35
Weitere Systemanforderungen bei Einsatzeiner Oracle Datenbank
Wenn Sie eine Oracle Datenbank einsetzen, stellen Sie für die Installation des One IdentityManager Schemas einen installierten und konfigurierten Datenbankserver bereit, derfolgende Mindestanforderungen erfüllt.
HINWEIS: Um die einwandfreie Funktion des One Identity Manager sicherzustellen,wird ein Datenbankserver erwartet, dessen Konfigurationseinstellungen einerStandardinstallation entsprechen.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen25
Software l Oracle Database
Unterstützt werden die Versionen:
l Oracle Database 12c Standard Edition oder Enterprise Editionab Version 12.1.0.2
Das Patch Level unterscheidet sich je nach Systemplattform.
HINWEIS: Es wird dringend empfohlen die Patches für dieOracle Bugs 18097476 (Doc ID 1683819.1) und 19497286 (DocID 19497286.8) anzuwenden.
l Oracle Client Tools
Die Version sollte mindestens der Version der eingesetztenDatenbank entsprechen. Beachten Sie hierbei die Empfehlungen vonOracle bezüglich der einzusetzenden Client Tools.
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vomOne Identity Manager nur unter Windows Betriebssystemenunterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbankper TCP/IP möglich ist, kann auf den Oracle Client verzichtetwerden. Der im One Identity Manager integrierte OracleKonnektor stellt die Verbindung zur Datenbank her.
HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, die entweder
l eine Angabe mehrerer "ADDRESS" Einträge für einen"net_service_name" in der clientseitige tnsnames.ora
oder
l zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank über denOracle Client erfolgen.
Zeichensatz Unicode (AL32UTF8) und Option "Oracle Text"
Parameter NLS_LENGHT_SEMANTICS mit dem Wert "CHAR"
Tablespace Es muss ein initialer Tablespace eingerichtet sein. Der Tablespace mussmindestens eine Block-Size von 8 kByte haben.
Tabelle 6: Systemanforderungen bei Einsatz einer Oracle Datenbank
HINWEIS: Bei Einsatz vom Systemen mit mehreren Knoten (beispielsweise Clustern)müssen alle Knoten den gleichen Versionsstand (Patch Level) haben.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen26
Verwandte Themen
l Minimale Systemanforderungen für den Datenbankserver auf Seite 23
l Berechtigungen für Oracle Datenbankbenutzer auf Seite 37
Minimale Systemanforderungen für dieadministrative Arbeitsstation
Zur Darstellung und Bearbeitung von Daten werden die Administrationswerkzeuge undKonfigurationswerkzeuge des One Identity Manager auf einer administrativenArbeitsstation installiert.
Zur Installation der Werkzeuge sind auf der administrativen Arbeitsstation die folgendenSystemvoraussetzungen zu gewährleisten.
Prozessor 4 physische Kerne mit 2 GHz+ Taktung
Arbeitsspeicher 4 GB+ RAM
FreierFestplattenspeicher
1 GB
Betriebssystem Windows Betriebssysteme
Unterstützt werden die Versionen:
l Windows Vista mit dem aktuellen Service Pack
l Windows 7 (32 bit oder nicht-Itanium 64 bit) mit demaktuellen Service Pack
l Windows 8 (32 bit oder 64 bit) mit dem aktuellenService Pack
l Windows 8.1 (32 bit oder 64 bit) mit dem aktuellenService Pack
l Windows 10 (32 bit oder 64 bit) mindestens Version1511
Zusätzliche Software l Microsoft .NET Framework Version 4.5.2 oder höher
HINWEIS: Microsoft .NET Framework Version 4.6wird nicht unterstützt.
l Windows Installer
UnterstützteBrowserversionen
l Internet Explorer 11 oder höher
l Firefox (Release Channel)
Tabelle 7: Minimale Systemanforderungen - Administrative Arbeitsstation
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen27
l Chrome (Release Channel)
l Microsoft Edge (Release Channel)
ZusätzlicheSoftware
Windows Betriebssysteme
l Oracle Client Tools
Die Version sollte mindestens der Version der eingesetzten Datenbankentsprechen. Beachten Sie hierbei die Empfehlungen von Oraclebezüglich der einzusetzenden Client Tools.
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vomOne Identity Manager nur unter Windows Betriebssystemenunterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbankper TCP/IP möglich ist, kann auf den Oracle Client verzichtetwerden. Der im One Identity Manager integrierte OracleKonnektor stellt die Verbindung zur Datenbank her.
HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, die entweder
l eine Angabe mehrerer "ADDRESS" Einträge für einen"net_service_name" in der clientseitige tnsnames.ora
oder
l zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank über denOracle Client erfolgen.
Tabelle 8: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank
Minimale Systemanforderungen für denDienstserver
Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der OneIdentity Manager-Datenbank verwalteten Informationen im Netzwerk. Der One IdentityManager Service übernimmt die Datensynchronisation zwischen Datenbank und denangebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbankebeneund Dateiebene.
Zur Installation des One Identity Manager Service sind auf einem Server folgendeSystemvoraussetzungen zu gewährleisten.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen28
Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung
Arbeitsspeicher 16 GB RAM
FreierFestplattenspeicher
40 GB
Betriebssystem Windows Betriebssysteme
Unterstützt werden die Versionen:
l Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack2
l Windows Server 2008 R2 (nicht-Itanium 64 bit) ab ServicePack 1
l Windows Server 2012
l Windows Server 2012 R2
l Windows Server 2016
Linux Betriebssysteme
l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden.
ZusätzlicheSoftware
Windows Betriebssysteme
l Microsoft .NET Framework Version 4.5.2 oder höher
HINWEIS: Microsoft .NET Framework Version 4.6 wirdnicht unterstützt.
HINWEIS: Für die Zielsystemanbindung beachten Siedie Empfehlungen des Zielsystemherstellers.
l Windows Installer
Linux Betriebssysteme
l Mono 4.6 oder höher
Tabelle 9: Minimale Systemanforderungen - Dienstserver
ZusätzlicheSoftware
Windows Betriebssysteme
l Oracle Client Tools
Die Version sollte mindestens der Version der eingesetztenDatenbank entsprechen. Beachten Sie hierbei die Empfehlungen vonOracle bezüglich der einzusetzenden Client Tools.
Tabelle 10: Zusätzliche Systemanforderungen bei Einsatz einer OracleDatenbank
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen29
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vomOne Identity Manager nur unter Windows Betriebssystemenunterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbankper TCP/IP möglich ist, kann auf den Oracle Client verzichtetwerden. Der im One Identity Manager integrierte OracleKonnektor stellt die Verbindung zur Datenbank her.
HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, dieentweder
l eine Angabe mehrerer "ADDRESS" Einträge für einen"net_service_name" in der clientseitige tnsnames.ora
oder
l zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank überden Oracle Client erfolgen.
Linux Betriebssysteme
l Bei Verwendung eines Oracle Datenbanksystem ist der direkteZugriff auf die Datenbank per TCP/IP erforderlich. Eine Verbindungzu Oracle Real Application Clusters wird unter Linux Betriebs-systemen nicht unterstützt.
Verwandte Themen
l Benutzer und Berechtigungen für den One Identity Manager auf Seite 34
Minimale Systemanforderungen fürden Webserver
Zur Installation des Web Portals sind auf einem Webserver folgendeSystemvoraussetzungen zu gewährleisten.
Prozessor 4 physische Kerne mit 1.65 GHz+Taktung
Tabelle 11: Systemanforderungen - Webserver
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen30
Arbeitsspeicher 4 GB RAM
FreierFestplattenspeicher
40 GB
Betriebssystem Windows Betriebssysteme
Unterstützt werden die Versionen:
l Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack2
l Windows Server 2008 R2 (nicht-Itanium 64 bit) ab ServicePack 1
l Windows Server 2012
l Windows Server 2012 R2
l Windows Server 2016
Linux Betriebssysteme
l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden. Beachten Sie die Minima-lanforderungen des Betriebssystemherstellers für ApacheHTTP Server.
ZusätzlicheSoftware
Windows Betriebssysteme
l Microsoft .NET Framework Version 4.5.2 oder höher
HINWEIS: Microsoft .NET Framework Version 4.6 wirdnicht unterstützt.
l Windows Installer
l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10mit ASP.NET 4.5.2 und den Role Services:
l Web Server > Common HTTP Features > Static Content
l Web Server > Common HTTP Features > DefaultDocument
l Web Server > Application Development > ASP.NET
l Web Server > Application Development > .NET Exten-sibility
l Web Server > Application Development > ISAPI Exten-sions
l Web Server > Application Development > ISAPI Filters
l Web Server > Security > Basic Authentication
l Web Server > Security > Windows Authentication
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen31
l Web Server > Performance > Static Content Compres-sion
l Web Server > Performance > Dynamic ContentCompression
Linux Betriebssysteme
l NTP - Client
l Mono 4.6 oder höher
l Apache HTTP Server 2.0 oder 2.2 mit folgenden Modulen:
l mod_mono
l rewrite
l ssl (optional)
Minimale Systemanforderungen für denAnwendungsserver
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung und hält die Geschäftslogik. Zur Installation des One Identity Manager auf einemAnwendungsserver sind die folgenden Systemvoraussetzungen zu gewährleisten.
Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung
Arbeitsspeicher 8 GB RAM
FreierFestplattenspeicher
40 GB
Betriebssystem Windows Betriebssysteme
Unterstützt werden die Versionen:
l Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack2
l Windows Server 2008 R2 (nicht-Itanium 64 bit) ab ServicePack 1
l Windows Server 2012
l Windows Server 2012 R2
l Windows Server 2016
Linux Betriebssysteme
Tabelle 12: Systemanforderungen - Anwendungsserver
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen32
l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden. Beachten Sie die Minima-lanforderungen des Betriebssystemherstellers für ApacheHTTP Server.
ZusätzlicheSoftware
Windows Betriebssysteme
l Microsoft .NET Framework Version 4.5.2 oder höher
HINWEIS: Microsoft .NET Framework Version 4.6 wirdnicht unterstützt.
l Windows Installer
l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10mit ASP.NET 4.5.2 und den Role Services:
l Web Server > Common HTTP Features > Static Content
l Web Server > Common HTTP Features > DefaultDocument
l Web Server > Application Development > ASP.NET
l Web Server > Application Development > .NET Exten-sibility
l Web Server > Application Development > ISAPI Exten-sions
l Web Server > Application Development > ISAPI Filters
l Web Server > Security > Basic Authentication
l Web Server > Security > Windows Authentication
l Web Server > Performance > Static Content Compres-sion
l Web Server > Performance > Dynamic ContentCompression
Linux Betriebssysteme
l NTP - Client
l Mono 4.6 oder höher
l Apache HTTP Server 2.0 oder 2.2 mit folgenden Modulen:
l mod_mono
l rewrite
l ssl (optional)
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen33
Benutzer und Berechtigungen für denOne Identity Manager
Benutzer Berechtigungen
Datenbankbenutzerzur Installation desOne IdentityManager
SQL Server:
Weitere Informationen finden Sie unter Berechtigungen für SQLServer Datenbankbenutzer auf Seite 35.
Oracle Database:
Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.
Datenbankbenutzerfür den laufendenBetrieb des OneIdentity Manager
SQL Server:
Weitere Informationen finden Sie unter Berechtigungen für SQLServer Datenbankbenutzer auf Seite 35.
Oracle Database:
Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.
Datenbankbenutzerfür Endbenutzer
SQL Server:
Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten,müssen nur Mitglied der Datenbankrolle "basegroup" sein.
Oracle Database:
Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.
Benutzer zurAnmeldung am OneIdentity Manager
Zur Anmeldung an den Administrationswerkzeugen verwendet derOne Identity Manager unterschiedliche Authentifizierungsmodule.Die Authentifizierungsmodule ermitteln den anzuwendendenSystembenutzer und laden abhängig von dessen Mitgliedschaften inRechtegruppen die Benutzeroberfläche und die Bearbeitungsrechteauf Ressourcen der Datenbank.
Weitere Informationen finden Sie unter Anhang: One IdentityManager Authentifizierungsmodule auf Seite 169.
Benutzerkonto fürden One IdentityManager Service
Das Benutzerkonto für den One Identity Manager Service benötigtdie Rechte, um die Operationen auf Dateiebene durchzuführen(Rechtevergabe, Verzeichnisse und Dateien anlegen undbearbeiten).
Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (DomainUsers) angehören.
Das Benutzerkonto benötigt das erweiterte Benutzerrecht
Tabelle 13: Benutzer für den One Identity Manager
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen34
Benutzer Berechtigungen
"Anmelden als Dienst" (Log on as a service).
Das Benutzerkonto benötigt Rechte für den internen Webservice.
HINWEIS: Muss der One Identity Manager Service unter demBenutzerkonto des Network Service (NTAuthority\NetworkService) laufen, so können Sie die Rechtefür den internen Webservice über folgendenKommandozeilenaufruf vergeben:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/user="NT AUTHORITY\NETWORKSERVICE"
Für die automatische Aktualisierung des One Identity ManagerServices benötigt das Benutzerkonto Vollzugriff auf das One IdentityManager-Installationsverzeichnis.
In der Standardinstallation wird der One Identity Manager installiertunter:
l %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebs-systemen)
l %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
HINWEIS: Für die Synchronisation des One Identity Managermit den einzelnen Zielsystemen können weiterezielsystemspezifische Berechtigungen erforderlich sein. DieseBerechtigungen werden in den entsprechenden Handbüchernerläutert.
Weitere Informationen finden Sie unter Einrichten der Berechtigungzum Erstellen eines HTTP Server auf Seite 39.
Berechtigungen für SQL ServerDatenbankbenutzer
HINWEIS: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen.
Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypenunterschieden werden:
l Endbenutzer
Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nurMitglied der Datenbankrolle "basegroup" sein.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen35
l Administrative Benutzer
Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen.Hierbei kann zwischen Berechtigungen für die Installation und Berechtigungen fürden laufenden Betrieb unterschieden werden.
Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden folgendeBerechtigungen benötigt.
Berechtigung FürDatenbank
Benötigtfür Instal-lation
BenötigtfürlaufendenBetrieb
Benötigt für
Serverrolle "dbcreator"* x - Erzeugen derDatenbank.
Serverrolle"processadmin"
- x Aktivität vonVerbindungen prüfenund gegebenenfallsschließen derVerbindung.
Datenbankrolle "db_owner"
OneIdentityManager
x x Erzeugen derDatenbank.Betreiben derDatenbank.
Datenbankrolle"basegroup"**
OneIdentityManager
- x InterneBerechtigungsrollefürDatenbankobjekte.
Berechtigung "Execute" Master x x Starten des SQLServer Agent.
Datenbankrolle"SQLAgentUserRole"
msdb - x Ausführen vonDatenbankschedules.
Datenbankrolle "db_Datareader"
msdb - x Lesen und ÄndernvonDatenbankschedules.
Datenbankrolle"SQLAgentOperatorRole"
msdb x x Definieren vonDatenbankschedules.
Berechtigung "Connect" tempdb x x Prüfen, obEinzelbenutzermoduswährend derVerbindungerforderlich ist.
Tabelle 14: Berechtigungen für Datenbankbenutzer unter SQL Server
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen36
Berechtigung FürDatenbank
Benötigtfür Instal-lation
BenötigtfürlaufendenBetrieb
Benötigt für
*) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den ConfigurationWizard erstellt wird.
**) Die Datenbankrolle "basegroup" wird während der initialen Schemainstallation derOne Identity Manager-Datenbank standardmäßig angelegt.
HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migrationder Datenbank gewechselt, dann muss der neue Datenbankbenutzer nachträglich alsEigentümer der Datenbankschedules eingetragen werden. Ansonsten kommt es zuFehlermeldungen bei der Ausführung der Datenbankschedules.
Hinweise zur Nutzung der integrierten Windows Authentifizierung
Die integrierte Windows Authentifizierung kann für den One Identity Manager Service unddie Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann dieintegrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppenzur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringenddie Nutzung einer SQL Server Anmeldung empfohlen.
Um die integrierte Windows Authentifizierung einzusetzen
l Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL ServerAnmeldung ein.
l Tragen Sie als Standardschema "dbo" ein.
l Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. WeitereInformationen finden Sie unter Tabelle 14 auf Seite 36.
Berechtigungen für OracleDatenbankbenutzer
Für die Nutzung der Datenbank sollte ein eigener Datenbankbenutzer eingerichtetwerden. Den Datenbankbenutzer können Sie über den Configuration Wizard erzeugenoder manuell erstellen.
HINWEIS: Die verwendeten Datenbankbenutzer müssen die Berechtigungen direkterhalten. Bei der Zuweisung von Berechtigungen über Datenbankrollen kann es beider Ausführung von Datenbankabfragen, aufgrund vonBerechtigungseinschränkungen, zu Oracle Fehlermeldungen kommen.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen37
Berechtigungen für Oracle Database Installationen
Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden fürOracle Database Installationen die folgenden Berechtigungen benötigt.
Berechtigung Benötigt Für
GRANT ALTERSESSION TO<user>
Einstellungen der eigenen Benutzersitzung ändern.
GRANTANALYZE ANYTO <user>
Die Berechtigung wird zum Ausführen der Prozedur DBMS_STATS.FLUSH_DATABASE_MONITORING_INFO während der Statistikberechnungenverwendet. Sollen keine Statistiken ermittelt werden, kann auf dieseBerechtigung verzichtet werden.
GRANTCONNECT TO<user>
Datenbank verbinden.
GRANTCREATE JOBTO <user>
Datenbankschedules erzeugen.
GRANTCREATEPROCEDURETO <user>
Schemaobjekte erzeugen.
GRANTCREATESEQUENCE TO<user>
Schemaobjekte erzeugen.
GRANTCREATESYNONYM TO<user>
Schemaobjekte erzeugen.
GRANTCREATE TABLETO <user>
Schemaobjekte erzeugen.
GRANTCREATETRIGGER TO<user>
Schemaobjekte erzeugen.
GRANTCREATE TYPETO <user>
Schemaobjekte erzeugen.
Tabelle 15: Berechtigungen für Datenbankbenutzer
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen38
Berechtigung Benötigt Für
GRANTCREATE VIEWTO <user>
Schemaobjekte erzeugen.
GRANTEXCEUTE ONDBMS_PIPE TO<user>
Kommunikation der einzelnen Verarbeitungsschritte mit derHauptroutine des DBQueue Prozessor im Parallelbetrieb.
GRANTEXECUTE ONDBMS_CRYPTOTO <user>
Zugriff auf Paket für allgemeine Verschlüsselungsroutinen.
GRANTEXECUTE ONDBMS_LOCKTO <user>
Nutzung der Sleep-Methode bei der Weiterschaltung der Verarbeitung imDBQueue Prozessor, zum Beispiel zum Warten auf Beenden einzelnerVerarbeitungsschritte.
GRANT SELECTON GV_$OSSTAT TO<user>
Informationen zu aktuellen Serverversion auslesen.
GRANT SELECTON GV_$SESSION TO<user>
Informationen der aktuellen Sitzungen auslesen. Diese Berechtigungwird unter anderem dazu benötigt, die Datenbank in derEinzelbenutzermodus zu schalten.
Einrichten der Berechtigung zumErstellen eines HTTP Server
Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTPServer erfolgen (http://<Servername>:<Portnummer>).
Damit ein Benutzer einen HTTP-Server öffnen kann, muss er dazu berechtigt werden. Dazumuss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann überfolgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername>
Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NTAuthority\NetworkService) laufen, so müssen explizit Rechte für den internen Webservicevergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NTAUTHORITY\NETWORKSERVICE"
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen39
Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüftwerden:
netsh http show urlacl
Kommunikationsports und FirewallKonfiguration
Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenenNetzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriffauf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenteninstalliert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrerFirewall installieren möchten, müssen Sie verschiedene Ports öffnen.
Die folgenden Basisports werden benötigt.
Standardport Beschreibung
SQL Server:1433
Oracle: 1521
Port zur Kommunikation mit der Datenbank.
1880 Port für das HTTP- basierte Protokoll des One Identity Manager Service.
2880 Port für die Zugriffstests innerhalb des Synchronization Editor.
80 Port für den Zugriff auf die Webanwendungen.
88 Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierungeingesetzt wird).
135 Microsoft EPMAP (End Point Mapper) (auch DCE/RPC Locator Service)
137 NetBIOS Name Service
139 NetBIOS Session Service
Tabelle 16: Kommunikationsports
Für die Verbindung zu den Zielsystemen können weitere Ports erforderlich sein. DiesePorts werden in den entsprechenden Handbüchern aufgeführt.
One Identity Manager 8.0 Installationshandbuch
Installationsvoraussetzungen40
4
Installieren des One IdentityManager
Um den One Identity Manager zu installieren, sind folgende Schritte erforderlich.
1. Installieren der One Identity Manager-Komponenten auf der administrativenArbeitsstation, auf welcher die Schemainstallation der One Identity Manager-Datenbank gestartet wird.
2. Installieren des One Identity Manager Schemas mit dem Configuration Wizard.
3. Einrichten eines Servers, der die Verarbeitung von SQL Prozessen übernimmt.
a. Der Server muss als Jobserver mit der Serverfunktion "SQLAusführungsserver" in der Datenbank eingetragen sein.
b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die One Identity Manager-Datenbank installiert und konfiguriert sein.
HINWEIS: Für ein Lastverteilung der SQL Prozesse können mehrere SQL Ausfüh-rungsserver eingerichtet werden.
4. Einrichten eines Aktualisierungsservers für die automatische Softwareaktualisierungweiterer Server.
a. Der Server muss als Jobserver mit der Serverfunktion "Aktualisierungsserver"in der Datenbank eingetragen sein.
b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die One Identity Manager-Datenbank installiert und konfiguriert sein.
HINWEIS: Mit dem Configuration Wizard können Sie bereits einen SQL Ausfüh-rungsserver und den Aktualisierungsserver einrichten. Weitere Informationen findenSie unter Installieren des One Identity Manager Service für die Datenbank auf Seite60.
Zusätzlich können folgende Installationen ausgeführt werden.
l Installieren weiterer Arbeitsstationen.
l Installieren weiterer Server mit One Identity Manager Service.
l Installieren eines Anwendungsservers.
l Installieren des Web Portal auf einem Webserver.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager41
l Installieren der Manager Webanwendung auf einem Webserver.
l Installieren weiterer Webservices wie SPML Webservice oder SOAP Web Service.
Ausführliche Informationen zum Installieren der Webservices finden Sie im OneIdentity Manager Konfigurationshandbuch.
Den One Identity Manager können Sie auf folgende Arten installieren und aktualisieren.
l Die Erstinstallation der One Identity Manager-Komponenten auf den Arbeitsstationennehmen Sie mit dem Installationsassistenten vor.
l Die Erstinstallation des One Identity Manager Service auf den Servern nehmen Siemit dem Installationsassistenten oder remote mit dem Server Installer vor.
l Zur Aktualisierung vorhandener Installationen setzen Sie die automatischeSoftwareaktualisierung ein.
l Für die manuelle Aktualisierung einzelner Arbeitsstationen und einzelner Servernutzen Sie den Installationsassistenten.
Ausführliche Informationen zur Aktualisierung des One Identity Manager finden Sie unterAktualisieren des One Identity Manager auf Seite 84.
Detaillierte Informationen zum Thema
l Bevor Sie die Installation des One Identity Manager starten auf Seite 42
l Installieren der One Identity Manager-Komponenten auf Seite 43
l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 47
l Installieren und Konfigurieren des One Identity Manager Service auf Seite 74
l Installieren eines One Identity Manager Anwendungsservers auf Seite 108
l Installieren des Web Portal auf Seite 115
l Installieren und Aktualisieren der Manager Webanwendung auf Seite 138
Bevor Sie die Installation des OneIdentity Manager starten
l Stellen Sie vor der Installation des One Identity Manager sicher, dass die minimalenHardware- und Softwarevoraussetzungen auf den Arbeitsstationen und den Serverngewährleistet sind.
l Beenden Sie alle Programm- und Dienstkomponenten, da sonst die Installation nichtbeginnen kann.
HINWEIS: Für die Aktualisierung von One Identity Manager Version 6.x auf OneIdentity Manager Version 7.0 wird ein separates Upgrade Package zur Verfügunggestellt. Entsprechende Anfragen richten Sie an den Support. Das Support Portal istunter https://support.oneidentity.com/identity-manager/ erreichbar.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager42
Detaillierte Informationen zum Thema
l Installationsvoraussetzungen auf Seite 22
l Installieren des One Identity Manager auf Seite 41
l Aktualisieren des One Identity Manager auf Seite 84
Installieren der One Identity Manager-Komponenten
Bei der Installation der One Identity Manager-Komponenten auf Arbeitsstationen undServern werden Sie durch einen Installationsassistenten unterstützt.
HINWEIS: Starten Sie die Installation der Administrationswerkzeuge undKonfigurationswerkzeuge nach Möglichkeit immer auf einer administrativenArbeitsstation.
Um die One Identity Manager Komponenten zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klickenSie Installieren.
3. Der Installationsassistent wird gestartet. Auf der Startseite wählen Sie die Sprachefür den Installationsassistenten und klicken SieWeiter.
4. Bestätigen Sie die Lizenzbedingungen.
5. Auf der Seite Einstellungen für die Installation legen Sie die Daten zurInstallationsquelle und Installationsziel fest.
l Wählen Sie unter Installationsquelle das Verzeichnis mit denInstallationsdateien.
l Wählen Sie unter Installationsverzeichnis das Verzeichnis, in das dieDateien des One Identity Manager installiert werden sollen.
HINWEIS: Um weitere Konfigurationseinstellungen vorzunehmen, klickenSie auf die Pfeil Schaltfläche neben dem Eingabefeld. Hier können Siefestlegen, ob die Installation auf einem 64 Bit- Betriebssystem oder aufeinem 32 Bit-Betriebssystem erfolgt.
Für eine Standardinstallation nehmen Sie keine weiterenKonfigurationseinstellungen vor.
l Wenn die Installationsinformationen über die vorhandene One IdentityManager-Datenbank geladen werden sollen, aktivieren Sie die OptionInstallationsmodule mit der Datenbank auswählen.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager43
HINWEIS: Für Installation der Arbeitsstation, auf der Sie die Installationdes One Identity Manager Schemas starten, lassen Sie die Optiondeaktiviert.
l Um zusätzliche One Identity Manager Module zur gewählten Editionhinzuzufügen, aktivieren Sie die Option Weitere Module zur gewähltenEdition hinzufügen.
l Klicken SieWeiter.
6. Auf der Seite Modulauswahl wählen Sie die zusätzlich zu installierenden Moduleund klicken SieWeiter.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule zur gewählten Edition hinzufügen aktiviert haben.
7. Auf der Seite Datenbank verbinden erfassen Sie die Informationen zurDatenbankverbindung.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionInstallationsmodule mit der Datenbank auswählen aktiviert haben.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Verbindung.
- ODER -
Klicken Sie auf Neue Verbindung erstellen, wählen Sie den Systemtyp underfassen Sie die Verbindungsdaten.
Eingabe Beschreibung
Server Datenbankserver.
WindowsAuthentifizierung
Angabe, ob integrierte Windows Authentifizierungverwendet wird.
Die Verwendung dieser Authentifizierung wird nichtempfohlen. Sollten Sie dieses Verfahren dennocheinsetzen, stellen Sie sicher, dass Ihre UmgebungWindows Authentifizierung unterstützt.
Nutzer Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenbank Datenbank.
Tabelle 17: Verbindungsdaten zur SQL Server Datenbank
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager44
Eingabe Beschreibung
Direktzugriff (ohneOracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Siedie Option.
Die erforderlichen Verbindungsdaten sind abhängigvon der Einstellung dieser Option.
Server Datenbankserver.
Port Port der Oracle Instanz.
Service Name Service Name.
Benutzer Oracle Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenquelle TNS Alias Name aus der TNSNames.ora.
Tabelle 18: Verbindungsdaten zur Oracle Datenbank
b. Wählen Sie im Bereich "Authentifizierungsverfahren" dasAuthentifizierungsmodul und geben Sie die Anmeldedaten für dieSystembenutzerkennung ein.
Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.
c. Klicken SieWeiter.
8. Auf der Seite Maschinenrolle zuordnen legen Sie die Maschinenrollen fest undklicken SieWeiter.
HINWEIS: Die zu den One Identity Manager Modulen passenden Maschi-nenrollen sind aktiviert. Bei Auswahl einer Maschinenrolle werden alle unter-geordneten Maschinenrollen mit ausgewählt. Sie können einzelneMaschinenrollen abwählen.
9. Auf der letzten Seite des Installationsassistenten können Sie verschiedeneProgramme für die weitere Installation starten.
l Um die Installation des One Identity Manager Schemas auszuführen, startenSie den Configuration Wizard und folgen Sie den Anweisungen desConfiguration Wizard.
HINWEIS: Führen Sie diesen Schritt nur auf der Arbeitsstation aus, aufder Sie die Installation des One Identity Manager Schemas starten.
l Um die Konfiguration des One Identity Manager Service zu erstellen, startenSie das Programm Job Service Configuration.
HINWEIS: Führen Sie diesen Schritt nur auf Servern aus, auf denen Sieden One Identity Manager Service installiert haben.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager45
10. Um den Installationsassistenten zu beenden, klicken Sie Ende.
11. Schließen Sie das Autorun Programm.
Der One Identity Manager wird für alle Benutzerkonten auf der Arbeitsstation oderdem Server installiert. In der Standardinstallation wird der One Identity Managerinstalliert unter:
l %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
l %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Verwandte Themen
l Bevor Sie die Installation des One Identity Manager starten auf Seite 42
l Installationsvoraussetzungen auf Seite 22
l Werkzeuge des One Identity Manager auf Seite 14
l Installieren der One Identity Manager-Komponenten auf einem WindowsTerminalserver auf Seite 46
l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 47
l Anhang: Maschinenrollen und Installationspakete auf Seite 213
Installieren der One Identity Manager-Komponenten auf einem WindowsTerminalserver
Zur Installation der One Identity Manager-Komponenten auf einem WindowsTerminalserver wird vorausgesetzt, dass der Windows Terminalserver vollständiginstalliert und konfiguriert wurde. Dies schließt insbesondere das Profilhandling sowie dieBerechtigungen zur Benutzung des Windows Terminalservers mit ein.
HINWEIS: Beachten Sie, dass in einer Active Directory Domäne auch der Benutzerselbst das Recht haben muss, den Windows Terminalserver benutzen zu dürfen.
Um die One Identity Manager Komponenten auf einem Windows Terminalserver zuinstallieren
1. Melden Sie sich mit einem Benutzerkonto, welches über administrative Rechte aufdem Windows Terminalserver verfügt, an.
Es wird die Anmeldung über eine Konsolenverbindung empfohlen. Diese wird über
Start/Ausführen: mstsc /Console /v:<servername>
aufgerufen, wobei <servername> durch den Servernamen des Terminalservers (ohneführende "\") ersetzt werden muss.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager46
2. Öffnen Sie eine Kommandozeilenkonsole (CMD.exe) und schalten mit Hilfe des BefehlsCHANGE USER /INSTALL den Windows Terminalserver in den Modus zurSoftwareinstallation.
3. Starten Sie den One Identity Manager Installationsassistent und installieren die OneIdentity Manager Komponenten wie beschrieben.
4. Beenden Sie den Modus zur Softwareinstallation auf dem Windows Terminalservermit dem Befehl CHANGE USER /EXECUTE in der Kommandozeilenkonsole.
Nach Abschluss der Installation kann jeder hierzu berechtigte Windows Terminalserver-Benutzer die One Identity Manager-Werkzeuge starten und nutzen.
Weitere Informationen zur Softwareinstallation auf Windows Terminalservern entnehmenSie der Dokumentation des eingesetzten Windows Betriebssystems.
Verwandte Themen
l Installieren der One Identity Manager-Komponenten auf Seite 43
Installieren und Konfigurieren einerOne Identity Manager-Datenbank
Auf der Arbeitsstation, von welcher die Einrichtung einer One Identity Manager-Datenbankgestartet werden soll, müssen die folgenden Voraussetzungen erfüllt sein:
l Installation des Programms "Configuration Wizard"
Die Installation des Programms erfolgt mit dem Installationsassistenten. Wählen Siedazu im Installationsassistenten die Maschinenrolle "Workstation" und dasInstallationspaket "Configuration".
l Zugriff auf die Installationsquellen
HINWEIS: Wenn Sie die Installationsquellen auf ein Ablageverzeichniskopieren, müssen Sie sicherstellen, dass die relative Verzeichnisstrukturerhalten bleibt.
Mit dem Programm "Configuration Wizard" richten Sie die Datenbank auf einemDatenbankserver für die Verwendung in der One Identity Manager-Umgebung ein. AlsDatenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz. DieDurchführung der Installation und Konfiguration unter SQL Server und Oracle Databaseist ähnlich.
Der Configuration Wizard führt die folgenden Schritte aus.
1. Installieren des One Identity Manager Schemas in eine Datenbank.
Das One Identity Manager Schema kann in eine bereits bestehende Datenbankinstalliert werden. Alternativ kann der Configuration Wizard eine neue Datenbankerstellen und das One Identity Manager Schema installieren.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager47
2. Erstellen der administrativen Systembenutzer und Rechtegruppen.
3. Installieren und Konfigurieren eines One Identity Manager Service mit direktemZugriff auf die Datenbank für die Verarbeitung von SQL Prozessen und dieautomatische Softwareaktualisierung der Server.
HINWEIS: Abhängig von der gewählten Edition und den One Identity ManagerModulen können weitere Schritte im Configuration Wizard ausgeführt werden.
Nach der Schemainstallation sind weitere Schritte zur Konfiguration der One IdentityManager-Datenbank erforderlich.
l Konfigurieren Sie die Datenbank für eine Testumgebung, Entwicklungsumgebungoder den produktiven Einsatz.
l Für die Inbetriebnahme der einzelner Funktionen im One Identity Manager könnenweitere Systemeinstellungen erforderlich sein.
Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zumSystemverhalten. Der One Identity Manager stellt für verschiedeneKonfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie dieKonfigurationsparameter und passen Sie die Konfigurationsparametergegebenenfalls an das gewünschte Verhalten an.
Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert.Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameterinstallieren. Einen Überblick über alle Konfigurationsparameter finden Sie imDesigner in der Kategorie Basisdaten | Allgemein | Konfigurationsparameter.
l Unter Umständen ist es notwendig, Informationen verschlüsselt in der One IdentityManager-Datenbank abzulegen. Nutzen Sie dazu das Programm "CryptoConfiguration".
l Im One Identity Manager können Datenänderungen sowie Informationen aus derProzessverarbeitung protokolliert werden. Alle im One Identity Managerprotokollierten Aufzeichnungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Der Anteil der historisierten Daten am Gesamtvolumen einerOne Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls kannes zu Performance-Problemen kommen. Die Aufzeichnungen sollten in regelmäßigenAbständen aus der One Identity Manager-Datenbank entfernt und archiviert werden.
Ausführliche Informationen zur Konfiguration der Prozessüberwachung und derProzesshistorie finden Sie im One Identity Manager Konfigurationshandbuch.Ausführliche Informationen zur Archivierung von Daten finden Sie im One IdentityManager Administrationshandbuch für die Datenarchivierung.
Detaillierte Informationen zum Thema
l Starten des Configuration Wizard auf Seite 49
l Erstellen einer neuen SQL Server Datenbank auf Seite 49
l Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 52
l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 54
l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 56
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager48
l Verarbeiten der Datenbank auf Seite 57
l Erfassen der Systeminformationen auf Seite 58
l Installieren des One Identity Manager Service für die Datenbank auf Seite 60
l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung auf Seite 62
l Verschlüsseln von Datenbankinformationen auf Seite 64
l Lieferantenbenachrichtigung im One Identity Manager auf Seite 70
l Meldung: Enter email address in configuration parameter auf Seite 160
Verwandte Themen
l Minimale Systemanforderungen für den Datenbankserver auf Seite 23
l Installieren der One Identity Manager-Komponenten auf Seite 43
Starten des Configuration Wizard
WICHTIG: Starten Sie den Configuration Wizard immer auf einer administrativenArbeitsstation! Wenn Sie den Configuration Wizard auf einem Server starten, auf demSie auch einen One Identity Manager Service konfigurieren wollen, so überspringenSie den Punkt "Installieren eines Dienstservers" für den lokalen Server imConfiguration Wizard.
Um den Configuration Wizard direkt aus dem Installationsassistenten zustarten
l Starten Sie den Configuration Wizard auf der letzten Seite desInstallationsassistenten.
Um den Configuration Wizard aus dem Startmenü zu starten
l Wählen Sie Start | One Identity | One Identity Manager | Configuration |Configuration Wizard.
Verwandte Themen
l Installieren der One Identity Manager-Komponenten auf Seite 43
Erstellen einer neuen SQL Server Datenbank
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizardeine neue Datenbank erstellen möchten, in die Sie das One Identity Manager Schemainstallieren.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager49
Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One IdentityManager-Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sieunter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35.
Um eine neue Datenbank im Configuration Wizard zu erstellen
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbankerstellen und installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie dieInformationen zur Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server.
b. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Eingabe Beschreibung
Server Datenbankserver.
Um einen Datenbankserver auszuwählen
l Tragen Sie den Servernamen ein.
-ODER-
l Wählen Sie einen Server in der Liste.
WindowsAuthentifizierung
Angabe, ob integrierte Windows Authentifizierungverwendet wird.
Die Verwendung dieser Authentifizierung wird nichtempfohlen. Sollten Sie dieses Verfahren dennocheinsetzen, stellen Sie sicher, dass Ihre UmgebungWindows Authentifizierung unterstützt.
Nutzer Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Tabelle 19: Verbindungsdaten
HINWEIS: Die Verbindungsdaten werden bei der initialenSchemainstallation in den korrespondierenden Datenbankeintrag im OneIdentity Manager übernommen.
HINWEIS: Über die Option Erweitert können Sie weitereKonfigurationseinstellungen für die Datenbankverbindung vornehmen.
4. Auf der Seite Datenbank erstellen erfassen Sie die Informationen zur Erstellungeiner neuen Datenbank.
a. Erfassen Sie im Bereich "Datenbankeigenschaften" die folgendenInformationen zur Datenbank.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager50
Eingabe Beschreibung
Datenbankname Name der Datenbank.
Datenverzeichnis Verzeichnis, in dem die Datendatei erstellt wird. ZurAuswahl stehen:
<Standard> Standardinstallationsverzeichnisdes Datenbankservers.
<browse> Auswahl eines Verzeichnisses überden Dateibrowser.
Verzeichnisangabe Verzeichnis, in dem bereitsDatendateien installiert sind.
Log Verzeichnis Verzeichnis, in dem die Transaktionsprotokolldatei erstelltwird. Zur Auswahl stehen:
<Standard> Standardinstallationsverzeichnisdes Datenbankservers.
<browse> Auswahl eines Verzeichnisses überden Dateibrowser.
Verzeichnisangabe Verzeichnis, in dem bereitsTransaktionsprotokolldateieninstalliert sind.
Initiale Größe Anfangsgröße der Datenbankdateien. Zur Auswahl stehen:
<Standard> Standardvorgabe desDatenbankservers.
<custom> Freie Eingabe.
VerschiedeneempfohleneGrößen
Abhängig von der Anzahl derPersonen, die verwaltet werden.
Tabelle 20: Datenbankeigenschaften
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
5. Auf der Seite Konfigurationsmodule auswählen wählen Sie dieKonfigurationsmodule.
l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartethaben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert.Prüfen Sie in diesem Fall die Modulauswahl.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager51
l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie andieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodulewerden automatisch mit ausgewählt.
6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden dieInstallationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wirddurch den Configuration Wizard automatisch durchgeführt. Weitere Informationenfinden Sie unter Verarbeiten der Datenbank auf Seite 57.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 52
l Anhang: Einstellungen für eine neue SQL Server Datenbank auf Seite 215
Verwenden einer bestehenden leeren SQLServer Datenbank
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard dasOne Identity Manager Schema in eine bestehende Datenbank installieren möchten.
Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One IdentityManager-Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sieunter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35.
Es muss eine Datenbank mit mindestens folgenden Einstellungen zur Verfügunggestellt werden:
l Sortierschema: SQL_Latin1_General_CP1_CI_AS
l Kompatibilitätsgrad: SQL Server 2016 (130)
Um eine bestehende leere Datenbank im Configuration Wizard zu verwenden
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbankerstellen und installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie dieInformationen zur Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server.
b. Aktivieren Sie die Option Erweitert.
c. Aktivieren Sie die Option Eine bereits existierende leere Datenbankverwenden.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager52
d. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Eingabe Beschreibung
Server Datenbankserver.
WindowsAuthentifizierung
Angabe, ob integrierte Windows Authentifizierungverwendet wird.
Die Verwendung dieser Authentifizierung wird nichtempfohlen. Sollten Sie dieses Verfahren dennocheinsetzen, stellen Sie sicher, dass Ihre UmgebungWindows Authentifizierung unterstützt.
Nutzer Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenbank Datenbank.
Tabelle 21: Verbindungsdaten zur SQL Server Datenbank
HINWEIS: Die Verbindungsdaten werden bei der initialenSchemainstallation in den korrespondierenden Datenbankeintrag im OneIdentity Manager übernommen.
HINWEIS: Über die Option Erweitert können Sie weitereKonfigurationseinstellungen für die Datenbankverbindung vornehmen.
e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
4. Auf der Seite Konfigurationsmodule auswählen wählen Sie dieKonfigurationsmodule.
l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartethaben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert.Prüfen Sie in diesem Fall die Modulauswahl.
l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie andieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodulewerden automatisch mit ausgewählt.
5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden dieInstallationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wirddurch den Configuration Wizard automatisch durchgeführt. Weitere Informationenfinden Sie unter Verarbeiten der Datenbank auf Seite 57.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Erstellen einer neuen SQL Server Datenbank auf Seite 49
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager53
Erstellen eines neuen OracleDatenbankbenutzers
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizardeinen neuen Datenbankbenutzer erstellen möchten, für den Sie das One IdentityManager Schema installieren.
Mit dem Configuration Wizard können Sie einen neuen Datenbankbenutzer auf einemDatenbankserver erstellen. Für diesen Datenbankbenutzer wird während derSchemainstallation das Schema erstellt.
HINWEIS: Vor der Erstellung eines neuen Datenbankbenutzers muss ein initialerTablespace auf dem Datenbankserver vorhanden sein. Der Tablespace mussmindestens eine Block-Size von 8 kByte haben.
Um einen neuen Datenbankbenutzer zu erstellen
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbankerstellen und installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie dieInformationen zur Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database.
b. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Eingabe Beschreibung
Server Datenbankserver.
Port Port der Oracle Instanz.
Service Name Service Name.
Nutzer Oracle Benutzer mit SYSDBA-Rechten.
Kennwort Kennwort des Benutzers.
Tabelle 22: Verbindungsdaten
4. Auf der Seite Oracle Benutzer anlegen erfassen Sie die Informationen zumDatenbankbenutzer.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager54
a. Erfassen Sie die Eigenschaften des Oracle Datenbankbenutzers.
Eingabe Beschreibung
Benutzername Datenbankbenutzer, für den das Schema erstelltwerden soll. Dieser Datenbankbenutzer wird für dieanschließende Migration verwendet.
Kennwort Kennwort des Datenbankbenutzers.
Kennwortwiederholung Kennwort des Datenbankbenutzers.
Tablespace Tablespace, in den das Schema erstellt werden soll.
Temp. Tablespace Temporärer Tablespace, auf den zugegriffen werdensoll.
Tabelle 23: Oracle Benutzer Eigenschaften
Der Configuration Wizard erstellt den Datenbankbenutzer mit den benötigtenBerechtigungen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
5. Auf der Seite Konfigurationsmodule auswählen wählen Sie dieKonfigurationsmodule.
l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartethaben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert.Prüfen Sie in diesem Fall die Modulauswahl.
l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie andieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodulewerden automatisch mit ausgewählt.
6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden dieInstallationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wirddurch den Configuration Wizard automatisch durchgeführt. Weitere Informationenfinden Sie unter Verarbeiten der Datenbank auf Seite 57.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 56
l Berechtigungen für Oracle Datenbankbenutzer auf Seite 37
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager55
Verwenden eines bestehenden leeren OracleDatenbankbenutzers
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard dasOne Identity Manager Schema für einen bestehenden Datenbankbenutzer installierenmöchten.
Es muss ein Datenbankbenutzer mit erforderlichen Berechtigungen zur Verfügung gestelltwerden. Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.
Um einen bestehenden leeren Datenbankbenutzer im Configuration Wizardzu verwenden
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbankerstellen und installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie dieInformationen zur Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database.
b. Aktivieren Sie die Option Erweitert.
c. Aktivieren Sie die Option Einen bereits existierenden leeren OracleBenutzer verwenden.
d. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Eingabe Beschreibung
Direktzugriff (ohneOracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Siedie Option.
Die erforderlichen Verbindungsdaten sind abhängigvon der Einstellung dieser Option.
Server Datenbankserver.
Port Port der Oracle Instanz.
Service Name Service Name.
Benutzer Oracle Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenquelle TNS Alias Name aus der TNSNames.ora.
Tabelle 24: Verbindungsdaten zur Oracle Datenbank
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager56
e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
4. Auf der Seite Konfigurationsmodule auswählen wählen Sie dieKonfigurationsmodule.
l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartethaben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert.Prüfen Sie in diesem Fall die Modulauswahl.
l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie andieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodulewerden automatisch mit ausgewählt.
5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden dieInstallationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wirddurch den Configuration Wizard automatisch durchgeführt. Weitere Informationenfinden Sie unter Verarbeiten der Datenbank auf Seite 57.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 54
Verarbeiten der Datenbank
Der Configuration Wizard führt bei der Verarbeitung der Datenbank die folgendenSchritte aus:
l Schemainstallation
Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. DieFehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. DieFehler sind manuell zu korrigieren. Erst danach kann die Schemainstallationgestartet werden.
Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen,Datenbankprozeduren in die Datenbank eingespielt. Die Datenbankrolle "basegroup"wird angelegt und dieser Rolle werden volle Rechte auf die Objekte der Datenbankgegeben. Die gewählten Editionen und Konfigurationsmodule werden aktiviert.Während einer Schemainstallation werden Berechnungsaufträge in die Datenbankeingestellt. Diese werden durch den DBQueue Prozessor verarbeitet.
Bei einer Schemainstallation mit dem Configuration Wizard werden dasMigrationsdatum und der Migrationsstand in der Transporthistorie der Datenbankaufgezeichnet.
l Systemkompilierung
Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekanntgegeben. Es wird das Authentifizierungsmodul "Systembenutzer" mit demSystembenutzer "viadmin" zum Kompilieren verwendet.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager57
l Automatische Aktualisierung
Um die Dateien des One Identity Manager über die Mechanismen der automatischenSoftwareaktualisierung zu verteilen, werden die Dateien in die One IdentityManager-Datenbank geladen.
Um die Verarbeitung der Datenbank im Configuration Wizard auszuführen
1. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt.
Die Installation und Konfiguration der Datenbank wird durch den ConfigurationWizard automatisch durchgeführt. Der Vorgang kann abhängig von Datenumfang undSystemperformance einige Zeit dauern.
l Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.
l Nach Abschluss der Verarbeitung, klicken SieWeiter.
2. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie dieKundenformationen und erstellen Sie administrative Benutzer. WeitereInformationen finden Sie unter Erfassen der Systeminformationen auf Seite 58.
Verwandte Themen
l Behandlung von Fehlern und Warnungen während der Systemkompilierung aufSeite 156
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Versionauf Seite 155
Erfassen der Systeminformationen
Für die Authentifizierung am One Identity Manager wird ein Systembenutzer benötigt. OneIdentity Manager stellt verschiedene Systembenutzer bereit, deren Berechtigungen auf dieverschiedenen Aufgaben abgestimmt sind. Ausführliche Informationen zuSystembenutzern, Rechtegruppen und zur Vergabe von Berechtigungen finden Sie im OneIdentity Manager Konfigurationshandbuch.
Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One IdentityManager. Dieser Systembenutzer kann zum Kompilieren einer initialen One IdentityManager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugengenutzt werden.
WICHTIG: Der Systembenutzer "viadmin" ist im produktiven Betrieb nicht zuverwenden! Richten Sie einen eigenen Systembenutzer mit entsprechendenBerechtigungen ein.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager58
Um Systeminformationen im Configuration Wizard zu erfassen
1. Auf der Seite Systeminformationen erfassen Sie die Kundenformationen understellen Sie administrative Benutzer.
a. Im Bereich "Kundeninformation" erfassen Sie den vollständiger Name desUnternehmens.
b. Im Bereich "Systembenutzer" konfigurieren Sie die vordefiniertenSystembenutzer und erfassen eigene Systembenutzer.
l Für die vordefinierten Systembenutzer erfassen Sie ein Kennwort und dieKennwortbestätigung.
l Um kundenspezifische Systembenutzer zu erstellen, klicken Sie dieSchaltfläche und erfassen Sie die Bezeichnung, Kennwort undKennwortwiederholung.
Die kundenspezifischen Systembenutzer werden durch den ConfigurationWizard als administrative Systembenutzer erstellt. AdministrativeSystembenutzer werden automatisch in alle nicht-rollenbasiertenRechtegruppen aufgenommen und erhalten alle Berechtigungen desSystembenutzers "viadmin".
TIPP: Über die Schaltfläche <...> neben der Bezeichnung eines System-benutzers können Sie weitere Einstellungen für den Systembenutzerkonfigurieren. Diese Einstellungen können Sie auch zu einem späterenZeitpunkt im Designer anpassen.
c. Durch den Configuration Wizard werden bereits kundenspezifischeRechtegruppen erzeugt, die Sie für die Definition von Berechtigungen aufeventuelle kundenspezifische Schemaerweiterungen nutzen können.
l Für die nicht-rollenbasierte Anmeldung werden die Rechtegruppen"CCCViewPermissions" und "CCCEditPermissions" erstellt. AdministrativeSystembenutzer werden automatisch in diese Rechtegruppenaufgenommen.
l Für die rollenbasierte Anmeldung werden die Rechtegruppen"CCCViewRole" und "CCCEditRole" erstellt.
d. Erstellen Sie bei Bedarf weitere Rechtegruppen.
l Aktivieren Sie die Option Erweitert und klicken Sie im Bereich"Rechtegruppen" die Schaltfläche .
l Erfassen Sie die Bezeichnung der Rechtegruppe. Kennzeichnen Sieeigene Rechtegruppen mit dem Präfix 'CCC'.
l Für rollenbasierte Rechtegruppen aktivieren Sie die OptionRollenbasiert.
2. Nächster Schritt: Auf der Seite Dienstinstallation installieren und konfigurierenSie den One Identity Manager Service für einen Jobserver mit denServerfunktionen "SQL Ausführungsserver" und "Aktualisierungsserver". WeitereInformationen finden Sie unter Installieren des One Identity Manager Service fürdie Datenbank auf Seite 60.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager59
Installieren des One Identity ManagerService für die Datenbank
WICHTIG: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.
Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service.Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank alsJobserver bekannt gegeben werden.
Während der initialen Schemainstallation wird in der One Identity Manager-Datenbankbereits ein Jobserver für den Server erzeugt, auf dem die One Identity Manager-Datenbankinstalliert ist. Dieser Jobserver erhält die Serverfunktionen "SQL Ausführungsserver" und"Aktualisierungsserver".
Der SQL Ausführungsserver übernimmt die Verarbeitung von SQL Prozessen. DerAktualisierungsserver sorgt für die automatische Softwareaktualisierung der weiterenServer.
Der SQL Ausführungsserver und der Aktualisierungsserver benötigen zur Verarbeitung derProzesse eine direkte Verbindung zur One Identity Manager-Datenbank. Mit demConfiguration Wizard installieren Sie auf einem Server den One Identity Manager Service,um diese Prozesse zu verarbeiten.
Der Configuration Wizard führt folgende Schritte aus.
l Installieren der One Identity Manager Service Komponenten
l Konfigurieren des One Identity Manager Service
l Starten des One Identity Manager Service
HINWEIS: Das Programm führt eine Remote-Installation des One Identity ManagerService aus. Die Remote-Installation wird nur innerhalb einer Domäne oder inDomänen mit Vertrauensstellung unterstützt.
Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. WennSie den Configuration Wizard auf einem Server gestartet haben, auf dem Sie aucheinen One Identity Manager Service konfigurieren wollen, so überspringen Sie denPunkt "Installieren eines Dienstservers". Installieren Sie den One Identity ManagerService in diesem Fall mit dem Installationsassistenten.
Um die Installation des One Identity Manager Service im Configuration Wizardnicht auszuführen
1. Auf der Seite Dienstinstallation aktivieren Sie die Option Keinen Dienstinstallieren.
2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager60
Um den One Identity Manager Service im Configuration Wizard einzurichten
1. Auf der Seite Dienstinstallation erfassen Sie die Informationen für den Dienst.
a. Erfassen Sie folgende Informationen um den One Identity Manager Service zuinstallieren.
Eingabe Beschreibung
Computer Server, auf dem der Dienst installiert und gestartet wird.
Um einen Server auszuwählen
l Erfassen Sie den Servernamen.
-ODER-
l Wählen Sie einen Eintrag in der Liste.
Dienstkonto Angaben zum Benutzerkonto des One Identity ManagerService.
Um ein Benutzerkonto für den Dienst zu erfassen
l Aktivieren Sie die Option Lokales Systemkonto.
Damit wird der One Identity Manager Service unterdem Konto "NT AUTHORITY\SYSTEM" gestartet.
- ODER-
l Erfassen Sie Benutzerkonto, Kennwort undKennwortwiederholung.
Installationskonto Angaben zum administrativen Benutzerkonto für dieInstallation des Dienstes.
Um ein administratives Benutzerkonto für dieInstallation zu erfassen
l Aktivieren Sie die Option Erweitert.
l Aktivieren Sie die Option Aktueller Benutzer.
Es wird das Benutzerkonto des aktuellangemeldeten Benutzers verwendet.
- ODER-
l Geben Sie Benutzerkonto, Kennwort undKennwortwiederholung ein.
Maschinenrollen Legen Sie die Maschinenrollen fest. Standardmäßig ist dieMaschinenrolle "Jobserver" festgelegt. Sie könnenweitere Maschinenrollen hinzufügen.
Tabelle 25: Installationsinformationen
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager61
b. Prüfen Sie die Konfiguration des One Identity Manager Service. Aktivieren Siedie Option Erweitert.
HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert.Sollte eine erweiterte Konfiguration erforderlich sein, können Sie dieseauch zu einem späteren Zeitpunkt mit dem Designer durchführen.Ausführliche Informationen zur Konfiguration des Dienstes finden Sie imOne Identity Manager Konfigurationshandbuch.
c. Um die Installation des Dienstes zu starten, klicken SieWeiter.
Die Installation des Dienstes wird automatisch ausgeführt und kann einigeZeit dauern.
2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
HINWEIS: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" inder Dienstverwaltung des Servers eingetragen.
Verwandte Themen
l Minimale Systemanforderungen für den Dienstserver auf Seite 28
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
l Installieren und Konfigurieren des One Identity Manager Service auf Seite 74
Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung
Über die Staging Ebene der One Identity Manager-Datenbank legen Sie fest, ob es sich umeine Testdatenbank, Entwicklungsdatenbank oder produktive Datenbank handelt. Über dieStaging Ebene werden einige Datenbankeinstellungen gesteuert. Diese werden eingestellt,wenn Sie die Staging Ebene anpassen.
Einstellung Staging Ebene der Datenbank
Entwicklungsumgebung Testumgebung Produktivumgebung
Farbe derStatuszeile derOne IdentityManager-Werkzeuge
keine Grün Gelb
Tabelle 26: Datenbankeinstellungen für Entwicklungsumgebung, Testumgebungund Produktivumgebung
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager62
Einstellung Staging Ebene der Datenbank
Entwicklungsumgebung Testumgebung Produktivumgebung
MaximaleLaufzeit DBQueueProzessor
20 Minuten 40 Minuten 120 Minuten
Maximale Anzahlder Slots fürDBQueueProzessor
3 5 Maximale Anzahl derSlots lautHardwarekonfiguration
Um die Staging Ebene einer Datenbank anzupassen
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Staging Ebene derDatenbank. Der Datenbankeditor des Designer wird gestartet.
2. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebeneauf "Testumgebung", "Entwicklungsumgebung" beziehungsweise"Produktivumgebung".
3. Wählen Sie im Designer den Menüeintrag Datenbank|Übertragung inDatenbank… und klicken Sie Speichern.
Die Konfigurationseinstellungen des DBQueue Prozessor sind für einen Normalbetriebausgelegt und müssen in der Regel nicht angepasst werden. Für Test- undEntwicklungsumgebungen sind die Konfigurationseinstellungen reduziert, da sich mehrereDatenbanken auf einem Server befinden können.
Sollen aus Performancegründen die Einstellungen für Test- und Entwicklungsumgebungenangepasst werden, passen Sie im Designer die Einstellungen der folgendenKonfigurationsparameter an.
Konfigurationsparameter Bedeutung
QBM\DBQueue\CountSlotsMax Der Konfigurationsparameter legt die Anzahl dermaximal verfügbaren Slots fest.
Für die Nutzung der maximal verfügbaren Slots lautHardwarekonfiguration geben Sie den Wert 0 an.
QBM\DBQueue\KeepAlive Der Konfigurationsparameter regelt die maximaleLaufzeit des zentralen Dispatchers. Nach Ablauf derLaufzeit werden die Aufträge aktuell verwendeter Slotsnoch abgearbeitet. Anschließend werden dieDatenbankschedules der Slots gestoppt und der zentraleDispatcher beendet.
Der minimal zulässige Wert für die Laufzeit ist 5 Minuten,der maximal zulässige Wert ist 720 Minuten.
Tabelle 27: Konfigurationsparameter für den DBQueue Prozessor
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager63
Verwandte Themen
l Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oderEntwicklungsumgebung aus einer Datenbanksicherung auf Seite 200
Verschlüsseln von Datenbankinformationen
Unter Umständen ist es notwendig, Informationen verschlüsselt in der One IdentityManager-Datenbank abzulegen.
l Legen Sie im Designer über den Konfigurationsparameter"Common\EncryptionScheme" fest, welches Verschlüsselungsverfahren eingesetztwird.
Wert Beschreibung
RSA RSA-Verschlüsselung mit AES für größere Daten (Standard).
FIPSCompliantRSA FIPS zertifizierter RSA mit AES für größere Daten. DasVerfahren ist einzusetzen, wenn die Verschlüsselung dem FIPS1040-2 Standard entsprechen muss. Die lokaleSicherheitsrichtlinie "Use FIPS compliant algorithms forencryption, hashing, and signing" muss aktiviert sein.
Tabelle 28: Werte des Konfigurationsparameters"Common\EncryptionScheme"
HINWEIS: Ist der Konfigurationsparameter "Common\EncryptionScheme" nichtaktiviert, wird RSA als Verfahren genutzt.
l Die Verschlüsselung erfolgt mit dem Programm "Crypto Configuration". Mit diesemProgramm wird eine Schlüsseldatei erzeugt und die Inhalte der betroffenenDatenbankspalten werden konvertiert. Die Schlüsselinformationen werden in derDatenbanktabelle DialogDatabase abgelegt.
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.
Detaillierte Informationen zum Thema
l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln derDatenbankinformationen auf Seite 65
l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationenauf Seite 66
l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 67
l Entschlüsseln der Datenbankinformationen auf Seite 68
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager64
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
Erzeugen eines neuen Datenbankschlüssels undVerschlüsseln der Datenbankinformationen
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.
Um einen neuen Datenbankschlüssel zu erzeugen und die One IdentityManager-Datenbank zu verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln.Das Programm "Crypto Configuration" wird gestartet.
2. Auf der Startseite klicken SieWeiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigenVerbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern einesDatenbankschlüssels und klicken SieWeiter.
5. Auf der Seite Privater Schlüssel wählen Sie Bisher war keine Verschlüsselungaktiviert und klicken SieWeiter.
6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.
a. Klicken Sie Erzeuge Schlüssel.
b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namender Schlüsseldatei ein.
c. Klicken Sie Speichern.
Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen.Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt.
d. Klicken SieWeiter.
Die zu verschlüsselnden Daten werden ermittelt.
7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Datenangezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.
c. Klicken SieWeiter.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager65
Verwandte Themen
l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationenauf Seite 66
l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 67
l Entschlüsseln der Datenbankinformationen auf Seite 68
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
Ändern eines Datenbankschlüssels undVerschlüsseln der Datenbankinformationen
HINWEIS: Um einen Datenbankschlüssel zu ändern, benötigen Sie die Schlüsseldateimit dem alten Datenbankschlüssel. Der Schlüssel wird geändert und in einer neuenSchlüsseldatei gespeichert.
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.
Um einen Datenbankschlüssel zu ändern und die One Identity Manager-Datenbank zu verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln.Das Programm "Crypto Configuration" wird gestartet.
2. Auf der Startseite klicken SieWeiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigenVerbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern einesDatenbankschlüssels und klicken SieWeiter.
5. Auf der Seite Privater Schlüssel laden Sie den vorhandenen Schlüssel.
a. Wählen Sie Die Verschlüsselung war aktiviert.
b. Klicken Sie Lade Schlüssel.
c. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem altenDatenbankschlüssel.
d. Klicken Sie Öffnen.
Der Dateibrowser wird geschlossen. Pfad und Dateiname werden angezeigt.
e. Klicken SieWeiter.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager66
6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.
a. Klicken Sie Erzeuge Schlüssel.
b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namender Schlüsseldatei ein.
c. Klicken Sie Speichern.
Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen.Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt.
d. Klicken SieWeiter.
Die zu verschlüsselnden Daten werden ermittelt.
7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Datenangezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.
c. Klicken SieWeiter.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln derDatenbankinformationen auf Seite 65
l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 67
l Entschlüsseln der Datenbankinformationen auf Seite 68
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
Erneutes Verschlüsseln derDatenbankinformationen
Verwenden Sie dieses Verfahren, wenn Sie weitere Datenbankspalten mit der OptionVerschlüsselt versehen und die Datenbank bereits verschlüsselt ist.
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager67
Um die One Identity Manager-Datenbank mit einem vorhandenenDatenbankschlüssel erneut zu verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln.Das Programm "Crypto Configuration" wird gestartet.
2. Auf der Startseite klicken SieWeiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigenVerbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Verschlüsselung mittels desbestehenden Schlüssels und klicken SieWeiter.
Die zu verschlüsselnden Daten werden ermittelt.
5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Datenangezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.
c. Klicken SieWeiter.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln derDatenbankinformationen auf Seite 65
l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationenauf Seite 66
l Entschlüsseln der Datenbankinformationen auf Seite 68
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
Entschlüsseln der Datenbankinformationen
HINWEIS: Sie benötigen Sie die Datei mit dem Datenbankschlüssel.
HINWEIS: Es wird empfohlen, vor der Entschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.
Um die One Identity Manager-Datenbank zu entschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln.Das Programm "Crypto Configuration" wird gestartet.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager68
2. Auf der Startseite klicken SieWeiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigenVerbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Entschlüsselung der Daten undklicken SieWeiter.
Die zu verschlüsselnden Daten werden ermittelt.
5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Datenangezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
c. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.
d. Wählen Sie über den Dateibrowser die Datei (*.key) mit demDatenbankschlüssel.
e. Klicken Sie Öffnen.
Der Dateibrowser wird geschlossen. Die Entschlüsselung der Daten wirdgestartet. Der Fortschritt der Konvertierung wird angezeigt.
f. Klicken SieWeiter.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln derDatenbankinformationen auf Seite 65
l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationenauf Seite 66
l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 67
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
Hinweise zum Arbeiten mit einer verschlüsseltenOne Identity Manager-Datenbank
Wenn Sie die One Identity Manager-Datenbank verschlüsseln, müssen Sie dem OneIdentity Manager Service den Datenbankschlüssel bekanntgeben.
VORSICHT: Wenn der One Identity Manager Service beim Start einenprivaten Schlüssel im Installationsverzeichnis findet, so legt er diesen imWindows internen Schlüsselcontainer seines Dienstkontos ab und löschtdie Datei auf der Festplatte. Sichern Sie daher den privaten Schlüsselzusätzlich an einer anderen Stelle als dem Installationsverzeichnis desDienstes!
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager69
Um den Datenbankschlüssel bekanntzugeben
l Geben Sie in der Konfigurationsdatei des One Identity Manager Service folgendenInformationen bekannt. Verwenden Sie den Jobservereditor im Designer oder dasProgramm "Job Service Configuration" zur Bearbeitung der Konfigurationsdatei.
Konfigurationsmodul Parameter Bedeutung
JobServiceDestination Datei mit privatemSchlüssel (PrivateKey)
Datei mit dem privatenSchlüssel. Standardwert istprivate.key.
JobServiceDestination Verschlüsselungsverfahren(EncryptionScheme)
EingesetztesVerschlüsselungsverfahren.
Tabelle 29: Konfiguration des One Identity Manager Service für dieVerschlüsselung
l Legen Sie die erzeugte Schlüsseldatei im Installationsverzeichnis des Dienstes ab.
l Öffnen Sie die Dienstverwaltung und starten Sie den Dienst "One Identity ManagerService" neu.
HINWEIS: Die Datei mit dem privaten Schlüssel muss auf allen Servern mit aktivemOne Identity Manager Service im Installationsverzeichnis des Dienstes vorhandensein.
HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern,müssen Sie die Schlüsseldatei neu im Installationsverzeichnis des Dienstes ablegen.
Detaillierte Informationen zum Thema
l Verschlüsseln von Datenbankinformationen auf Seite 64
Lieferantenbenachrichtigung im OneIdentity Manager
Geben Sie uns die Gelegenheit, Sie auf dem Laufenden zu halten. Die Schnittstellen zuanderen Systemen werden kontinuierlich weiterentwickelt. Aktivieren SieLieferantenbenachrichtigungen, um Nachrichten über wichtige Programmaktualisierungenfür Ihr System zu erhalten.
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmalim Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. DieseListe enthält keine personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut ummögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. DieListen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager70
Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange IhrUnternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht.
HINWEIS: Sie können die aktuellsten Systeminformationen jederzeit aus dem MenüHilfe | Info... überprüfen.
Detaillierte Informationen zum Thema
l Aktivieren der Lieferantenbenachrichtigung auf Seite 71
l Prüfen der Lieferantenbenachrichtigung auf Seite 72
l Deaktivieren der Lieferantenbenachrichtigung auf Seite 72
Aktivieren der Lieferantenbenachrichtigung
Voraussetzung für die Lieferantenbenachrichtigung
l Im One Identity Manager ist ein Jobserver als SMTP Host für den Mailversandkonfiguriert.
l Die Konfigurationsparameter für die E-Mail-Benachrichtigung sind konfiguriert.
Ausführliche Informationen zum Einrichten des E-Mail-Benachrichtigungssystems im OneIdentity Manager finden Sie im One Identity Manager Konfigurationshandbuch.
Um die Lieferantenbenachrichtigung zu aktivieren
1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur aufeiner One Identity Manager-Datenbank mit der Staging Ebene"Produktivumgebung" konfigurieren.
2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klickenSie Starten.
Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.
3. Aktivieren Sie den Konfigurationsparameter"Common\MailNotification\VendorNotification" und tragen Sie die E-Mail-AdresseIhres Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Antwortadresse für die Lieferantenbenachrichtigungverwendet.
4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager71
Detaillierte Informationen zum Thema
l Prüfen der Lieferantenbenachrichtigung auf Seite 72
l Deaktivieren der Lieferantenbenachrichtigung auf Seite 72
l Meldung: Enter email address in configuration parameter auf Seite 160
Prüfen der Lieferantenbenachrichtigung
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einerOne Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung"konfigurieren.
Um zu prüfen, ob die Lieferantenbenachrichtigung aktiviert ist
l Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
In der Installationsübersicht wird im Eintrag Lieferantenbenachrichtigungkonfigurieren angezeigt, ob die Funktion aktiviert ist.
Detaillierte Informationen zum Thema
l Aktivieren der Lieferantenbenachrichtigung auf Seite 71
l Deaktivieren der Lieferantenbenachrichtigung auf Seite 72
Deaktivieren der Lieferantenbenachrichtigung
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einerOne Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung"konfigurieren.
Um die Lieferantenbenachrichtigung zu deaktivieren
1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klickenSie Starten.
Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.
3. Deaktivieren Sie den Konfigurationsparameter"Common\MailNotification\VendorNotification".
4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager72
Verwandte Themen
l Aktivieren der Lieferantenbenachrichtigung auf Seite 71
l Prüfen der Lieferantenbenachrichtigung auf Seite 72
One Identity Manager 8.0 Installationshandbuch
Installieren des One Identity Manager73
5
Installieren und Konfigurieren desOne Identity Manager Service
WICHTIG: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.
Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service.Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank alsJobserver bekannt gegeben werden.
HINWEIS: Mit dem Configuration Wizard können Sie bereits einen SQL Ausfüh-rungsserver und den Aktualisierungsserver einrichten. Weitere Informationen findenSie unter Installieren des One Identity Manager Service für die Datenbank auf Seite60.
Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eineeindeutige Queue-Bezeichnung erhalten. Mit exakt diesem Queue-Bezeichnung werden dieProzessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung tragen Sie in dieKonfigurationsdatei des One Identity Manager Service ein. Erzeugen Sie für jede Queueeinen korrespondieren Jobserver-Eintrag.
Um den One Identity Manager Service zu installieren, nutzen Sie das Programm ServerInstaller. Das Programm führt die folgenden Schritte aus.
l Erstellen eines Jobservers.
l Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
l Remote-Installation der One Identity Manager Service-Komponenten entsprechendder Maschinenrollen.
l Konfigurieren des One Identity Manager Service.
l Starten des One Identity Manager Service.
HINWEIS: Das Programm führt eine Remote-Installation des One Identity ManagerService aus. Eine lokale Installation des Dienstes ist mit diesem Programm nichtmöglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänenmit Vertrauensstellung unterstützt.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service74
Um den One Identity Manager Service remote auf einem Server zu installierenund zu konfigurieren
1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zurOne Identity Manager-Datenbank ein und klicken SieWeiter.
3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der OneIdentity Manager Service installiert werden soll.
a. Wählen Sie in der Auswahlliste Server einen Jobserver aus.
- ODER -
Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.
b. Bearbeiten Sie folgende Informationen für den Jobserver.
Eigenschaft Beschreibung
Server Bezeichnung des Jobservers.
Queue Bezeichnung der Queue, welche die Prozessschritteverarbeitet. Jeder One Identity Manager Service innerhalb desgesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnungwerden die Prozessschritte an der Jobqueue angefordert. DieQueue-Bezeichnung wird in die Konfigurationsdatei des OneIdentity Manager Service eingetragen.
VollständigerServername
Vollständiger Servername gemäß DNS Syntax.
Beispiel:
<Name des Servers>.<Vollqualifizierter Domänenname>
Tabelle 30: Eigenschaften eines Jobservers
HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaftenfür den Jobserver bearbeiten. Sie können die Eigenschaften auch zueinem späteren Zeitpunkt mit dem Designer bearbeiten.
4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im OneIdentity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werdendie Installationspakete ermittelt, die auf dem Jobserver installiert werden.
5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der OneIdentity Manager-Umgebung fest. Abhängig von der Serverfunktion wird dieVerarbeitung der One Identity Manager-Prozesse ausgeführt.
Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereitsausgewählt. Sie können die Serverfunktionen hier weiter einschränken.
6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One IdentityManager Service.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service75
HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollteeine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einemspäteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationenzur Konfiguration des Dienstes finden Sie im One Identity Manager Konfi-gurationshandbuch.
7. Zur Konfiguration der Remote-Installation, klicken SieWeiter.
8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit denInstallationsdateien.
10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit demprivaten Schlüssel.
HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsseltist.
11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für denDienst.
Eingabe Beschreibung
Computer Server, auf dem der Dienst installiert und gestartet wird.
Um einen Server auszuwählen
l Erfassen Sie den Servernamen.
-ODER-
l Wählen Sie einen Eintrag in der Liste.
Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.
Um ein Benutzerkonto für den One Identity ManagerService zu erfassen
l Aktivieren Sie die Option Lokales Systemkonto.
Damit wird der One Identity Manager Service unter demKonto "NT AUTHORITY\SYSTEM" gestartet.
- ODER-
l Erfassen Sie Benutzerkonto, Kennwort und Kennwort-wiederholung.
Installationskonto Angaben zum administrativen Benutzerkonto für die Instal-lation des Dienstes.
Um ein administratives Benutzerkonto für dieInstallation zu erfassen
Tabelle 31: Installationsinformationen
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service76
Eingabe Beschreibung
l Aktivieren Sie die Option Erweitert.
l Aktivieren Sie die Option Angemeldeter Benutzer.
Es wird das Benutzerkonto des aktuell angemeldetenBenutzers verwendet.
- ODER-
l Geben Sie Benutzerkonto, Kennwort und Kennwort-wiederholung ein.
12. Um die Installation des Dienstes zu starten, klicken SieWeiter.
Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeitdauern.
13. Auf der letzten Seite des Server Installer klicken Sie Fertig.
HINWEIS: Der Dienst wird mit der Bezeichnung "One Identity Manager Service"in der Dienstverwaltung des Servers eingetragen.
Um den One Identity Manager Service manuell auf einem Server zu installierenund zu konfigurieren
l Installieren Sie die One Identity Manager-Komponenten mit demInstallationsassistenten.
l Konfigurieren Sie den One Identity Manager Service mit dem Programm "Job ServiceConfiguration".
l Geben Sie den Jobserver im Designer bekannt. Erzeugen Sie für jede Queue einenkorrespondieren Jobserver-Eintrag.
Ausführliche Informationen zur Aktualisierung des One Identity Manager Service finden Sieunter Aktualisieren des One Identity Manager auf Seite 84.
Verwandte Themen
l Minimale Systemanforderungen für den Dienstserver auf Seite 28
l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69
l Anzeigen der Protokolldatei des One Identity Manager Service auf Seite 78
l Ändern des Benutzerkontos oder der Startart des One Identity Manager Serviceauf Seite 79
l Installieren der One Identity Manager-Komponenten auf Seite 43
l Der One Identity Manager Service im Cluster auf Seite 80
l Anhang: Maschinenrollen und Installationspakete auf Seite 213
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service77
Anzeigen der Protokolldatei des OneIdentity Manager Service
Die Anzeige der One Identity Manager Service Protokolldatei ist über einBrowserfrontend möglich.
Um die Protokolldatei des One Identity Manager Service über einenBrowser anzuzeigen
l Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL.
http://<Servername>:<Portnummer>
Standard ist der Port 1880.
Um die Protokolldatei des One Identity Manager Service im Job QueueInfo zu öffnen
l Wählen Sie in der Ansicht Serverstatus den Jobserver und wählen Sie denKontextmenüeintrag Im Browser öffnen.
Es wird für einen Jobserver der HTTP-Server des One Identity Manager Serviceangesprochen und die verschiedenen Dienste des One Identity Manager Servicewerden angezeigt.
Abbildung 3: Protokolldatei des One Identity Manager Service
Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazugibt es auf der Webseite eine Auswahlliste. Dabei können nur Texte angezeigt werden, dieauch in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf"Warning" können auch bei entsprechender Filterwahl keine Meldungen mit demMeldungstyp "Info" eingeblendet werden.
Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service78
Farbe Bedeutung
Grün Die Verarbeitung war erfolgreich.
Gelb Bei der Verarbeitung wurden Warnung ausgegeben.
Rot Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten.
Tabelle 32: Farbcode in der Protokolldatei
TIPP: Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten,speichern Sie die komplette Webseite.
Ändern des Benutzerkontos oder derStartart des One Identity ManagerService
Bei der Installation des One Identity Manager Service wird der Dienst in dieDienstverwaltung des Rechners eingetragen.
Um die Anmeldedaten und die Startart des Dienstes anzupassen
1. Öffnen Sie die Dienstverwaltung des Servers und wählen Sie in der Liste der Diensteden Eintrag "One Identity Manager Service".
2. Öffnen Sie über den Kontextmenüeintrag Eigenschaften die Eigenschaften desDienstes.
3. Ändern Sie auf dem Tabreiter Allgemein den Starttyp (sofern erforderlich).
Es wird der Starttyp "Automatisch" empfohlen.
4. Ändern Sie auf dem Tabreiter Anmelden das Benutzerkonto, unter dem derDienst läuft.
5. Klicken Sie auf Übernehmen.
6. Schließen Sie die Eigenschaften des Dienstes über OK.
7. Starten Sie den Dienst über den Kontextmenüeintrag Starten.
Kann der One Identity Manager Service nicht gestartet werden, wird eineentsprechende Meldung in das Ereignisprotokoll des Servers geschrieben.
HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern,müssen Sie die Konfigurationsdatei des Dienstes erneut im Installationsverzeichnisdes Dienstes ablegen.
HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service79
Verwandte Themen
l Minimale Systemanforderungen für den Dienstserver auf Seite 28
l Benutzer und Berechtigungen für den One Identity Manager auf Seite 34
Der One Identity Manager Service imCluster
Sinn einer Clusterlösung ist die Hochverfügbarkeit eines Systems. Es wird angestrebt,beim Versagen einer Hardware- oder Softwarekomponente, den Systemausfall auf einigeSekunden zu beschränken. Mit der Installation einer Windows-Clusterlösung (nur mitEnterprise–Servern möglich) kann dies erreicht werden. Die folgende Grafik zeigt einBeispiel für eine derartige Lösung.
Abbildung 4: Beispiel einer Clusterlösung
Dieser Cluster besteht aus 2 physikalischen Maschinen "Server A" und "Server B", die eingemeinsames Diskarray nutzen und jeweils über eine eigene Systemfestplatte verfügen.Jeder Server ist mit einem Windows Betriebssystem ausgestattet. Beide Server sindidentisch installiert, so dass im Falle eines Ausfalls der eine Server die Arbeit des anderenServers übernehmen kann.
Alle redundanten Systemkomponenten werden durch den Cluster-Manager verwaltet. Nachaußen wird der Cluster als ein einzelner, virtueller Server "Server C" angesprochen.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service80
Hierbei wird der zugreifende Dienst oder Benutzer automatisch zu dem physikalischenServer verbunden, der momentan die Arbeit im Cluster ausführt.
Tritt ein Versagen auf einem der physikalischen Server ein, so übernimmt automatisch derredundante Server im Cluster. Ansprechpartner bleibt weiter der virtuelle Server, nur derphysikalische Server, der die Arbeit ausführt, wechselt.
Detaillierte Informationen zum Thema
l Registrieren des One Identity Manager Service im Cluster auf Seite 81
l Installieren und Konfigurieren des One Identity Manager Service im Cluster aufSeite 82
Registrieren des One Identity ManagerService im Cluster
Mit der Registrierung unterliegt der One Identity Manager Service der Clusterbehandlungfür Ausfallsicherheit und Load Balancing. Der Dienst wird auf dem virtuellen Serverinstalliert, den der Cluster simuliert. Alle rechnerbezogenen Operationen undInformationen des Dienstes gehen, für den Dienst transparent, gegen den virtuellen Serverstatt gegen den realen aktuellen Rechner (Cluster Knoten). Das gilt auch für die Clients, dieden Dienst über den Server Namen kontaktieren, beispielsweise via RPC (ORPC, DCOM),TCP/IP (Winsock, Named Pipes), HTTP.
Da der Dienst sich im Kontext des virtuellen Servers befindet, sind die folgenden Faktenzu beachten:
l Die dienstspezifischen Einstellungen auf dem Knoten, auf dem sich der virtuelleServer befindet, werden auf alle anderen Knoten repliziert! Der Dienst hat somitimmer die gleiche Konfiguration, unabhängig von dem Knoten, auf dem er aktuellgestartet ist.
l Der Dienst ist immer nur auf dem aktuellen Knoten des virtuellen Servers (derKnoten, der aktuell den virtuellen Server trägt) gestartet. Auf allen anderen Knotenist der Dienst gestoppt.
l Der Dienst wird mit dem virtuellen Server herunter- und hochgefahren. Ist derCluster inaktiv, ist der Dienst auf allen Knoten gestoppt.
l Die Dienste auf den Knoten werden automatisch vor der Registrierung durch dasProgramm in den erforderlichen Zustand (Manual und Stopped) gebracht.
Verwandte Themen
l Der One Identity Manager Service im Cluster auf Seite 80
l Installieren und Konfigurieren des One Identity Manager Service im Cluster aufSeite 82
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service81
Installieren und Konfigurieren des OneIdentity Manager Service im Cluster
Die Installation und Konfiguration der Serverkomponenten vom One Identity Manager-Installationsmedium führen Sie auf allen physikalischen Knoten eines Clusters durch.
HINWEIS: Bei der Konfiguration der JobServiceDestination muss der Parameter"Queue" den Namen des virtuellen Servers enthalten.
Nach dem Speichern der Konfiguration kopieren Sie die Konfigurationsdatei in dasInstallationsverzeichnis des One Identity Manager Service auf allen physikalischen Knoten.Dabei dürfen Sie auch den Namen der Konfigurationsdatei nicht ändern!
HINWEIS: Die Konfiguration des One Identity Manager Service ist nicht Bestandteileiner Clusterressource. Somit hält jeder Knoten seine eigene Konfiguration. AchtenSie aus diesem Grund darauf, dass die Konfigurationsdateien auf allen physikalischenKnoten des Clusters konsistent sind. Ist dies nicht der Fall, kann nicht für die korrekteFunktionsweise nach einem Wechsel des Clusterknotens garantiert werden.
Einrichten einer Clusterressource für den One Identity Manager Service
Richten Sie im Programm "Cluster Administrator" eine neue Clusterressource für den OneIdentity Manager Service ein und bringen diese Online. Die Vorgehensweise entnehmen Sieder Microsoft Technet (http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx). Beachten Sie bei der Erstellung der Clusterressource Folgendes:
l Wählen Sie "Generic Service" als Ressourcentyp.
l Wählen Sie mindestens folgende Abhängigkeiten des One Identity Manager Service.
l Cluster IP-Address
l Cluster Name
l Quorum (zum Beispiel Disk: D)
l Geben Sie keine weiteren Registrierungsschlüssel an.
HINWEIS: Nach der Einrichtung des One Identity Manager Service in einemClusterverbund ist es ratsam, ein Failover zu simulieren, damit eventuell vorhandeneProbleme am Cluster nicht erst im produktiven Betrieb zu Tage treten.
Auslagern der Protokolldatei des One Identity Manager Service in einShared Volume
l Richten Sie im Programm "Cluster Administrator" eine neue Clusterressource ein undbringen Sie diese Online. Beachten Sie bei der Erstellung der ClusterressourceFolgendes.
l Wählen Sie "File Share" als Ressourcentyp.
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service82
l Wählen Sie mindestens die folgende Abhängigkeit aus:
- One IdentityOne Identity Manager Service
l Passen Sie in der Konfigurationsdatei des One Identity Manager Service dieVerzeichnisangabe im Parameter "Protokolldatei" (OutPutFile) des Logwriters an.
l Kopieren Sie die Konfigurationsdatei nach der Änderung auf alle physischen Knotendes Clusters in das Installationsverzeichnis des One Identity Manager Service.
Verwandte Themen
l Der One Identity Manager Service im Cluster auf Seite 80
l Registrieren des One Identity Manager Service im Cluster auf Seite 81
One Identity Manager 8.0 Installationshandbuch
Installieren und Konfigurieren des One Identity Manager Service83
6
Aktualisieren des One IdentityManager
Die Aktualisierung des One Identity Manager beinhaltet die Aktualisierung der One IdentityManager-Datenbank und die Aktualisierung der vorhandenen Installationen auf denArbeitsstationen und Servern eines One Identity Manager-Netzwerkes.
Zur Aktualisierung des One Identity Manager werden einzelne Hotfixes und Service Packszu einer Hauptversion oder vollständige Versionsänderungen zur Verfügung gestellt.
l Hotfix
Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration dereingesetzten Hauptversion jedoch keine Erweiterungen der Funktionalität. Ein Hotfixkann Patches für gelöste Probleme in Synchronisationsprojekten bereitstellen.
l Service Pack
Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alleÄnderungen seit der letzten Hauptversion, die bereits in den Hotfixes enthaltenwaren. Ein Service Pack kann Patches mit neuen Funktionen fürSynchronisationsprojekte bereitstellen.
l Versionsänderung
Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen derFunktionalität und umfasst eine Komplettänderung der Installation. EineVersionsänderung kann Meilensteine für die Aktualisierung vonSynchronisationsprojekten bereitstellen. Meilensteine fassen alle Patches für gelösteProbleme und notwendige Patches für neue Funktionen der Vorversion zusammen.
Um den One Identity Manager zu aktualisieren, sind folgende Schritteerforderlich
1. Aktualisieren Sie die administrative Arbeitsstation, auf welcher dieSchemaaktualisierung der One Identity Manager-Datenbank gestartet wird.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation. Wählen Sie die Edition, die Sieinstalliert haben, und klicken Sie Installieren.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager84
Der Installationsassistent wird gestartet.
c. Folgen Sie den Installationsanweisungen.
WICHTIG: Wählen Sie auf der Seite Einstellungen für die Installationals Installationsverzeichnis, das Verzeichnis Ihrer bisherigen Installation.Anderenfalls erfolgt keine Aktualisierung der Komponenten, sondern eineNeuinstallation in einem zweiten Verzeichnis.
2. Beenden Sie den One Identity Manager Service auf dem Aktualisierungsserver.
3. Erstellen Sie eine Sicherung der One Identity Manager-Datenbank.
4. Führen Sie die Schemaaktualisierung der One Identity Manager-Datenbank aus.
l Starten Sie den Configuration Wizard auf der administrativen Arbeitsstation.
5. Aktualisieren Sie den One Identity Manager Service auf den Aktualisierungsserver.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation. Wählen Sie die Edition, die Sieinstalliert haben, und klicken Sie Installieren.
Der Installationsassistent wird gestartet.
c. Folgen Sie den Installationsanweisungen.
WICHTIG: Wählen Sie auf der Seite Einstellungen für die Installationals Installationsverzeichnis, das Verzeichnis Ihrer bisherigen Installation.Anderenfalls erfolgt keine Aktualisierung der Komponenten, sondern eineNeuinstallation in einem zweiten Verzeichnis.
6. Starten Sie den One Identity Manager Service auf dem Aktualisierungsserver.
7. Aktualisieren Sie weitere Installationen auf Arbeitsstationen und Servern.
Für die Aktualisierung vorhandener Installationen können Sie das Verfahren derautomatischen Softwareaktualisierung einsetzen.
HINWEIS: Unter Umständen kann es erforderlich sein, die weiterenArbeitsstationen und Jobserver manuell zu aktualisieren. Dies istbeispielsweise erforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz derautomatischen Softwareaktualisierung nicht zulassen.
8. Beim Aktualisieren des One Identity Manager werden gegebenenfalls Änderungen anden Systemkonnektoren oder der Synchronization Engine bereitgestellt. Damit allebereits eingerichteten Zielsystemsynchronisationen weiterhin fehlerfrei ausgeführtwerden, müssen diese Änderungen auf bestehende Synchronisationsprojekteangewendet werden. Detaillierte Informationen zum Anwenden von Patches findenSie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager85
Detaillierte Informationen zum Thema
l Aktualisieren der One Identity Manager-Komponenten auf Seite 86
l Aktualisieren der One Identity Manager-Datenbank auf Seite 87
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
Aktualisieren der One IdentityManager-Komponenten
Für die Aktualisierung weiterer Arbeitsstationen und Server können Sie das Verfahren derautomatischen Softwareaktualisierung einsetzen.
Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen und Servermanuell mit dem Installationsassistenten zu aktualisieren. Dies ist beispielsweiseerforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikanteNeuerungen ergeben, die den Einsatz der automatischen Softwareaktualisierung nichtzulassen.
WICHTIG:
l Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank gestartet wird, aktualisieren Sie mit dem Installationsassistenten.
l Den One Identity Manager Service auf dem Aktualisierungsserver aktualisierenSie mit dem Installationsassistenten.
Detaillierte Informationen zum Thema
l Aktualisieren der One Identity Manager-Komponenten mit demInstallationsassistenten auf Seite 86
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
Aktualisieren der One Identity Manager-Komponenten mit demInstallationsassistenten
Um eine Arbeitsstation manuell zu aktualisieren
1. Installieren Sie die neue Version mit dem Installationsassistenten.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager86
b. Wechseln Sie auf den Tabreiter Installation. Wählen Sie die Edition, die Sieinstalliert haben, und klicken Sie Installieren.
Der Installationsassistent wird gestartet.
c. Folgen Sie den Installationsanweisungen.
WICHTIG: Wählen Sie auf der Seite Einstellungen für die Installationals Installationsverzeichnis, das Verzeichnis Ihrer bisherigen Installation.Anderenfalls erfolgt keine Aktualisierung der Komponenten, sondern eineNeuinstallation in einem zweiten Verzeichnis.
Um den One Identity Manager Service manuell zu aktualisieren
1. Öffnen Sie die Dienstverwaltung des Servers und beenden Sie den Dienst "OneIdentity Manager Service".
2. Installieren Sie die neue Version mit dem Installationsassistenten.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation. Wählen Sie die Edition, die Sieinstalliert haben, und klicken Sie Installieren.
Der Installationsassistent wird gestartet.
c. Folgen Sie den Installationsanweisungen.
WICHTIG: Wählen Sie auf der Seite Einstellungen für die Installationals Installationsverzeichnis, das Verzeichnis Ihrer bisherigen Installation.Anderenfalls erfolgt keine Aktualisierung der Komponenten, sondern eineNeuinstallation in einem zweiten Verzeichnis.
d. Prüfen Sie die Anmeldeinformationen des One Identity Manager Service. Wennder One Identity Manager Service ursprünglich nicht das lokale Systemkontozur Anmeldung nutzte, stellen Sie die ursprüngliche Einstellung wieder her.Geben Sie das zu verwendende Dienstkonto an.
3. Starten Sie den Dienst "One Identity Manager Service" in der Dienstverwaltung.
Detaillierte Informationen zum Thema
l Installieren der One Identity Manager-Komponenten auf Seite 43
Aktualisieren der One IdentityManager-Datenbank
Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einenkonsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zurDatenbank sichert. Werden Programmerweiterungen implementiert, die die Struktur
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager87
verändern, beispielsweise Tabellenerweiterungen, ist eine Aktualisierung der Datenbankerforderlich.
Die Aktualisierung der Datenbank ist dann notwendig, wenn Hotfixes und Service Packs zureingesetzten One Identity Manager-Version oder vollständige Versionsänderungenverfügbar sind. Des Weiteren ist es immer wieder erforderlich, dass kundenspezifischeÄnderungen aus einer Entwicklungsdatenbank in die Datenbank des Produktivsystems zuübernehmen sind.
Die Anpassung des One Identity Manager Schemas erfolgt durch das Einspielen sogenannter Transportpakete. Der One Identity Manager kennt die folgenden Arten vonTransportpaketen, die je nach Anforderung in die Datenbank zu importieren sind.
WICHTIG: Bevor Sie ein Transportpaket in ein Produktivsystem einspielen, testen Siedie Änderungen zunächst in einer Testumgebung.
Art des Trans-portpaketes
Beschreibung VerwendetesWerkzeug
Migrationspaket Migrationspakete werden für die initialeSchemainstallation der Datenbank, beieinem Service Pack und einer vollständigenVersionsänderung zur Verfügung gestellt.Ein Migrationspaket enthält alle benötigtenTabellen, Datentypen,Datenbankprozeduren sowie dieStandardkonfiguration des One IdentityManager.
ConfigurationWizard
Hotfixpaket Hotfixpakete werden zur Verfügunggestellt, um einzelne Korrekturen an derStandardkonfiguration wie beispielsweiseBildungsregeln, Skripte, Prozesse oderDateien in die Datenbank einzuspielen.
HINWEIS: Enthält ein Hotfixpaket nurgeänderte Dateien, laden Sie dieseDateien mit dem Programm"Software Loader" in die Datenbank.
DatabaseTransporter
SoftwareLoader
Kundenkonfigurationspaket Ein Kundenkonfigurationspaket dient zumAustausch kundenspezifischer Änderungenzwischen Entwicklungsdatenbank,Testdatenbank und Datenbank desProduktivsystems. Diese Transportpaketewerden vom Kunden erstellt und in dieDatenbanken eingespielt.
DatabaseTransporter
Tabelle 33: Transportpakete
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager88
HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifischeKonfigurationsanpassungen in eine One Identity Manager-Datenbank übernommenwerden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Siedieses Transportpaket mit dem Database Transporter in die Zieldatenbank. DasZusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zueinem Transportpaket wird nicht unterstützt.
Verwandte Themen
l Aktualisieren einer SQL Server Datenbank auf Seite 90
l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 92
l Einspielen eines Hotfixes in die One Identity Manager-Datenbank auf Seite 96
Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard
WICHTIG: Bevor Sie ein Migrationspaket in ein Produktivsystem einspielen, testenSie die Änderungen zunächst in einer Testumgebung.
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwendenSie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank.
Das Programm "Configuration Wizard" führt die Aktualisierung der Datenbank inAbhängigkeit vom aktuellen Stand der One Identity Manager-Datenbank durch undüberträgt den aktuellen Stand in die Versionshistorie.
Während der Aktualisierung werden Berechnungsaufträge in die Datenbank eingestellt.Diese werden durch den DBQueue Prozessor verarbeitet. Abhängig von Datenumfang undSystemperformance kann die Verarbeitung der Berechnungsaufträge einige Zeit dauern.Dies ist insbesondere der Fall, wenn Sie große Mengen historisierter Daten, wiebeispielsweise Datenänderungen oder Informationen aus der Prozessverarbeitung in derOne Identity Manager-Datenbank speichern. Stellen Sie daher vor der Aktualisierung derDatenbank sicher, dass Sie ein entsprechendes Verfahren zur Datenarchivierungkonfiguriert haben. Ausführliche Informationen zur Archivierung von Daten finden Sie imOne Identity Manager Administrationshandbuch für die Datenarchivierung.
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativenArbeitsstation.
WICHTIG: Stellen Sie vor der Aktualisierung des One Identity Manager Schemas aufdie Version 8.0 sicher, dass der administrative Systembenutzer, mit dem die Kompi-lierung der Datenbank erfolgt, ein Kennwort hat. Anderenfalls kann die Aktualisierungdes Schemas nicht vollständig durchgeführt werden.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager89
Detaillierte Informationen zum Thema
l Aktualisieren einer SQL Server Datenbank auf Seite 90
l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 92
l Verarbeiten der Datenbank während der Aktualisierung auf Seite 95
Aktualisieren einer SQL Server Datenbank
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwendenSie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank.
HINWEIS:
l Die Aktualisierung der Datenbank wird im Einzelbenutzermodus ausgeführt.Beenden Sie alle bestehenden Verbindungen zur Datenbank vor dem Start derMigration.
l Nach Beenden der Aktualisierung wird die Datenbank automatisch in denMehrbenutzermodus geschaltet. Sollte dies nicht möglich sein, erhalten Sieeine Meldung, über die Sie die Datenbank manuell in den Mehrbenutzermodusschalten können.
l Bei Einsatz einer Datenbankspiegelung kann es zu Problemen bei der Aktivie-rung des Einzelbenutzermodus kommen.
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativenArbeitsstation.
WICHTIG: Stellen Sie vor der Aktualisierung des One Identity Manager Schemas aufdie Version 8.0 sicher, dass der administrative Systembenutzer, mit dem die Kompi-lierung der Datenbank erfolgt, ein Kennwort hat. Anderenfalls kann die Aktualisierungdes Schemas nicht vollständig durchgeführt werden.
Um eine Datenbank zu aktualisieren:
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbankaktualisieren.
3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und dasInstallationsverzeichnis.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in derListe.
-ODER-
Wählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem SQLServer und erfassen Sie die Verbindungsdaten zum Datenbankserver.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager90
Eingabe Beschreibung
Server Datenbankserver.
WindowsAuthentifizierung
Angabe, ob integrierte Windows Authentifizierungverwendet wird.
Die Verwendung dieser Authentifizierung wird nichtempfohlen. Sollten Sie dieses Verfahren dennocheinsetzen, stellen Sie sicher, dass Ihre UmgebungWindows Authentifizierung unterstützt.
Nutzer Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenbank Datenbank.
Tabelle 34: Verbindungsdaten zur SQL Server Datenbank
HINWEIS: Über die Option Erweitert können Sie weitereKonfigurationseinstellungen für die Datenbankverbindung vornehmen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule undVersionsinformationen angezeigt.
a. Wählen Sie die Module, die Sie aktualisieren möchten.
b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.
c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie dieOptionWeitere Module hinzufügen.
5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichenModule.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule hinzufügen aktiviert haben.
HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihrekundenspezifischen administrativen Benutzer die Berechtigungen auf dieseModule.
6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden dieseauf der Seite Aktive Datenbankverbindungen angezeigt.
l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartetwerden kann.
7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eineVerarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit derAktualisierung fortfahren.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager91
8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt. Die Installation und Konfiguration der Datenbank wird durch denConfiguration Wizard automatisch durchgeführt.
TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.
a. Für die Kompilierung des Systems ist die Anmeldung mit einemadministrativen Benutzer erforderlich.
l Erfassen Sie den Benutzername und Kennwort des administrativenSystembenutzers.
l Klicken Sie Anmelden.
b. Nach Abschluss der Verarbeitung, klicken SieWeiter.
9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie dieLieferantenbenachrichtigung einrichten.
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Managereinmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an OneIdentity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird vonunserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichenÄnderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zu Testzwecken verwendet werden. DieseInformationen behalten Gültigkeit, solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produkt bezieht.
a. Um die Funktion zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Absenderadresse für dieLieferantenbenachrichtigung verwendet.
b. Um die Funktion nicht zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung deaktivieren.
10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Verarbeiten der Datenbank während der Aktualisierung auf Seite 95
l Fehlerbehebung auf Seite 155
l Lieferantenbenachrichtigung im One Identity Manager auf Seite 70
Aktualisieren eines Oracle Datenbankbenutzers
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwendenSie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager92
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativenArbeitsstation.
WICHTIG: Stellen Sie vor der Aktualisierung des One Identity Manager Schemas aufdie Version 8.0 sicher, dass der administrative Systembenutzer, mit dem die Kompi-lierung der Datenbank erfolgt, ein Kennwort hat. Anderenfalls kann die Aktualisierungdes Schemas nicht vollständig durchgeführt werden.
Um einen Datenbankbenutzer zu aktualisieren
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbankaktualisieren.
3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und dasInstallationsverzeichnis.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbankin der Liste.
-ODER-
Wählen Sie unter Neue Verbindung hinzufügen das DatenbanksystemOracle Database und erfassen Sie die Verbindungsdaten zum Datenbankserver.
Eingabe Beschreibung
Direktzugriff (ohneOracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Siedie Option.
Die erforderlichen Verbindungsdaten sind abhängigvon der Einstellung dieser Option.
Server Datenbankserver.
Port Port der Oracle Instanz.
Service Name Service Name.
Benutzer Oracle Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenquelle TNS Alias Name aus der TNSNames.ora.
Tabelle 35: Verbindungsdaten zur Oracle Datenbank
HINWEIS: Über die Option Erweitert können Sie weitereKonfigurationseinstellungen für die Datenbankverbindung vornehmen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.
4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager93
Versionsinformationen angezeigt.
a. Wählen Sie die Module, die Sie aktualisieren möchten.
b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.
c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie dieOptionWeitere Module hinzufügen.
5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichenModule.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule hinzufügen aktiviert haben.
HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihrekundenspezifischen administrativen Benutzer die Berechtigungen auf dieseModule.
6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden dieseauf der Seite Aktive Datenbankverbindungen angezeigt.
l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartetwerden kann.
7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eineVerarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit derAktualisierung fortfahren.
8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt. Die Installation und Konfiguration der Datenbank wird durch denConfiguration Wizard automatisch durchgeführt.
TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.
a. Für die Kompilierung des Systems ist die Anmeldung mit einemadministrativen Benutzer erforderlich.
l Erfassen Sie den Benutzername und Kennwort des administrativenSystembenutzers.
l Klicken Sie Anmelden.
b. Nach Abschluss der Verarbeitung, klicken SieWeiter.
9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie dieLieferantenbenachrichtigung einrichten.
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Managereinmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an OneIdentity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird vonunserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichenÄnderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager94
Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produkt bezieht.
a. Um die Funktion zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Absenderadresse für dieLieferantenbenachrichtigung verwendet.
b. Um die Funktion nicht zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung deaktivieren.
10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
Verwandte Themen
l Starten des Configuration Wizard auf Seite 49
l Verarbeiten der Datenbank während der Aktualisierung auf Seite 95
l Fehlerbehebung auf Seite 155
l Lieferantenbenachrichtigung im One Identity Manager auf Seite 70
Verarbeiten der Datenbank während derAktualisierung
Die Aktualisierung der Datenbank wird durch den Configuration Wizard automatischdurchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformanceeinige Zeit dauern.
Der Configuration Wizard führt dabei die folgenden Schritte aus:
l Schemainstallation
Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. DieFehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. DieFehler sind manuell zu korrigieren. Erst danach kann die Schemainstallationgestartet werden.
Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen,Datenbankprozeduren in die Datenbank eingespielt. Beim Import einesMigrationspaketes in eine One Identity Manager-Datenbank werden die folgendenOperationen ausgeführt:
Operationen Beschreibung
Einfügen Wird in der Zieldatenbank kein Objekt über einen alternativenSchlüssel gefunden, so wird ein neues Objekt mit den Schlüs-
Tabelle 36: Operationen beim Import eines Migrationspaketes
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager95
Operationen Beschreibung
selwerten erzeugt.
Aktualisieren Wird in der Zieldatenbank ein Objekt über einen alternativenSchlüssel gefunden, so wird das Objekt aktualisiert.
Löschen Nicht mehr benötigte Objekte werden in der Zieldatenbankgelöscht.
Während einer Schemainstallation werden Berechnungsaufträge in die Datenbankeingestellt. Diese werden durch den DBQueue Prozessor verarbeitet.
Bei einer Schemainstallation mit dem Configuration Wizard werden dasMigrationsdatum und der Migrationsstand in der Transporthistorie der Datenbankaufgezeichnet.
l Systemkompilierung
Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekanntgegeben. Es wird das Authentifizierungsmodul "Systembenutzer" mit demangegebenen Systembenutzer zum Kompilieren verwendet.
l Automatische Aktualisierung
Um die Dateien des One Identity Manager über die Mechanismen der automatischenSoftwareaktualisierung zu verteilen, werden die Dateien in die One IdentityManager-Datenbank geladen.
Verwandte Themen
l Fehlerbehebung auf Seite 155
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Versionauf Seite 155
Einspielen eines Hotfixes in die One IdentityManager-Datenbank
WICHTIG: Bevor Sie ein Hotfixpaket in ein Produktivsystem einspielen, testen Sie dieÄnderungen zunächst in einer Testumgebung.
Hotfixpakete enthalten:
l Transportpakete, die Änderungen an der Standardkonfiguration wie beispielsweiseBildungsregeln, Skripte, Prozesse in die One Identity Manager-Datenbank enthalten
l Geänderte Dateien, wie beispielsweise *.exe, *.dll oder *.vif
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager96
Wenn Sie mit einem Hotfixpaket ein Transportpaket erhalten, verwenden Sie dasProgramm "Database Transporter" zur Aktualisierung der One Identity Manager-Datenbank.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden dasDatum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, derName des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet.
Wenn ein Hotfixpaket geänderte Dateien enthält, kopieren Sie die Dateien zum Testen indas Installationsverzeichnis auf der Testmaschine. Um die Dateien über die automatischeSoftwareautomatisierung an alle Arbeitsstationen und Server zu verteilen, importieren Siedie Dateien mit dem Programm "Software Loader" in die One Identity Manager-Datenbank.
HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifischeKonfigurationsanpassungen in eine One Identity Manager-Datenbank übernommenwerden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Siedieses Transportpaket mit dem Database Transporter in die Zieldatenbank. DasZusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zueinem Transportpaket wird nicht unterstützt.
Detaillierte Informationen zum Thema
l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 97
l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 98
l Importieren von Dateien mit dem Software Loader auf Seite 99
l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Versionauf Seite 155
Inhalt eines Transportpaketes mit dem DatabaseTransporter anzeigen
Vor dem Import eines Transportpaketes mit dem Database Transporter können Sie denInhalt der Datei anzeigen.
HINWEIS: Starten Sie den Database Transporter auf einer administrativenArbeitsstation.
Um den Inhalt eines Transportpaketes anzuzeigen
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag KundenspezifischeÄnderungen transportieren. Das Programm "Database Transporter" wirdgestartet.
2. Auf der Startseite wählen Sie Transportdatei anzeigen.
3. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.
4. Auf der Seite Transportdatei auswählen klicken SieWeiter.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager97
5. Auf der Seite Transportdatei anzeigen wird der Inhalt der Transportdateiangezeigt.
l Um die Importreihenfolge der Objekte anzuzeigen
a. Öffnen Sie über + einen Eintrag in der Transportdatei und wählen Sie dasKontextmenü Sortieren nach Importreihenfolge.
b. Klicken Sie OK und erfassen Sie die Verbindungsdaten zurDatenbank. Dieser Schritt ist nur bei der ersten Ermittlung einerReihenfolge notwendig.
Es wird die Reihenfolge ermittelt, in der die Objekte dieses Eintrags indie Datenbank importiert werden.
c. Wiederholen Sie Schritt a) für alle Einträge, für die Sie die Reihenfolgeermitteln möchten.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 98
Importieren eines Transportpaketes mit demDatabase Transporter
HINWEIS: Um Transportpakete mit dem Database Transporter zu importieren, mussder angemeldete Benutzer zur Nutzung der Programmfunktion "Erlaubt den Importvon Transportpaketen in die Datenbank. (Transport_Import)" berechtigt sein.
HINWEIS: Starten Sie den Database Transporter auf einer administrativenArbeitsstation.
Um ein Transportpaket zu importieren
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag KundenspezifischeÄnderungen transportieren. Das Programm "Database Transporter" wirdgestartet.
2. Auf der Startseite wählen Sie Transportdatei importieren.
3. Auf der Seite Datenbankverbindung wählen geben Sie die Verbindungsdatenzur One Identity Manager-Datenbank an, in welche Sie das Transportpaketimportieren möchten.
4. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.
5. Auf der Seite Transportdatei auswählen legen Sie Importoptionen fest.
a. Um eine Protokolldatei für den Import zu erstellen, aktivieren Sie die OptionProtokolldatei zum Datenimport erzeugen.
Die Protokolldatei wird im Ausgabeverzeichnis der Transportdatei abgelegt.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager98
b. Um Objekte einzeln zu importieren, aktivieren Sie die Option Objekte einzelnimportieren und Fehler ignorieren.
Eventuell auftretende Fehler beim Import werden ignoriert und am Ende desImportvorgangs angezeigt. Ist die Option nicht aktiviert, wird derImportvorgang bei Fehlern abgebrochen.
6. Auf der Seite Systemdaten importieren werden die auszuführendenImportschritte und der Importfortschritt angezeigt. Der Importvorgang kann einigeZeit in Anspruch nehmen. Zum Abschluss werden Berechnungsaufträge für denDBQueue Prozessor eingestellt.
7. Wurden mit dem Transportpaket Änderungen an der Systemkonfigurationvorgenommen, beispielsweise Prozesse oder Skripte importiert, dann müssen Sienach der Abarbeitung dieser Aufträge die Datenbank kompilieren. Nach dem Importwird die Kompilierung der Datenbank automatisch gestartet.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Sind während des Importes Fehler aufgetreten, können Sie dieseüber die Schaltfläche speichern.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden dasDatum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, derName des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet.
Verwandte Themen
l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 97
l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Versionauf Seite 155
Importieren von Dateien mit dem SoftwareLoader
HINWEIS: Starten Sie den Software Loader auf einer administrativen Arbeitsstation.
Um Dateien zu importieren
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Dateien fürSoftwareaktualisierung. Das Programm "Software Loader" wird gestartet.
2. Auf der Startseite wählen Sie In Datenbank importieren.
3. Auf der Seite Verbindung zur Datenbank herstellen geben Sie dieVerbindungsdaten zur One Identity Manager-Datenbank an.
4. Auf der Seite Dateien auswählen legen Sie fest, welche Dateien importiertwerden.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager99
a. Wählen Sie das Basisverzeichnis, in welchem sich die Dateien befinden.
In der Dateiliste werden alle Dateien des gewählten Verzeichnisses mit ihremStatus und der Dateigröße angezeigt. Der Status wird aus den Dateiinformationin der Datenbank ermittelt. Zur Prüfung der Version einer Datei werden dieDateigröße und der Hashwert ermittelt und mit dem Eintrag in der Datenbankverglichen.
HINWEIS: Achten Sie bei der Auswahl des Basisverzeichnisses darauf,das nicht unbeabsichtigt eine Verzeichnishierarchie erzeugt wird.
Status Bedeutung
Versionunbekannt
Die Datei gehört zu den bekannten Dateien, wurde jedoch nochnicht in die Datenbank geladen. Es liegen keine Versi-onsinformationen in der Datenbank vor.
Dateiunbekannt
Die Datei ist neu. Die Datei ist in der Liste der bekannten Dateiennicht vorhanden und wurde noch nicht in die Datenbank geladen.Es liegen keine Versionsinformationen in der Datenbank vor.
VersionOK
Die Version der Datei stimmt mit der Version in der Datenbanküberein.
Versiongeändert
Die Version der Datei hat sich gegenüber der Version in derDatenbank geändert.
Tabelle 37: Bedeutung der Status
b. Markieren Sie die Dateien, die in die One Identity Manager-Datenbank zu ladensind. Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrereDateien auswählen.
TIPP: Über Mausklick auf eine Spalte im Tabellenkopf sortieren Sie dieAnzeige nach der gewählten Spalte.
TIPP: Eine Vorauswahl geänderte Dateien ist über das Kontextmenümöglich.
Eintrag imKontextmenü
Bedeutung
Alle Verzeich-nisse öffnen
Es werden alle Verzeichnisse geöffnet.
Alle geänder-ten Dateienöffnen
Es werden alle Dateien mit dem Status "Version geändert"ausgewählt. Dateien in Unterverzeichnissen werden nurausgewählt, wenn vorher das Verzeichnis geöffnet wurde.
Tabelle 38: Bedeutung der Einträge im Kontextmenü
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager100
5. Auf der Seite Änderungskennzeichen wählen vergeben Sie einÄnderungskennzeichen.
Um den Austausch neuer Dateien zwischen verschiedenen Datenbanken(Testdatenbank, Entwicklungsdatenbank, Produktivdatenbank) zu erleichtern,vergeben Sie ein Änderungskennzeichen, mit dem die Dateien gekennzeichnetwerden. Diese Änderungskennzeichen werden im Programm "Database Transporter"bei der Erstellung eines Kundentransportpaketes als Exportkriterium angeboten.
a. Wählen Sie Die Dateien sollen folgendem Änderungskennzeichenzugeordnet werden.
b. Wählen Sie das Änderungskennzeichen über die Schaltfläche neben der Option.
6. Die Dateien werden in die One Identity Manager-Datenbank geladen. Nach demerfolgreichen Laden der Dateien in die Datenbank, wird der Semaphorwert"Softwarerevision" in der Datenbank durch den DBQueue Prozessor aktualisiert.Beim nächsten Semaphortest werden die Dateien somit in die Liste der zuaktualisierenden Dateien aufgenommen und an die Arbeitsstationen und Serververteilt.
7. Auf der Seite Maschinenrollen zuordnen legen Sie weitere Einstellungen für dieDateien fest.
a. Ordnen Sie die Dateien einer Maschinenrolle zu.
b. Um weitere Einstellungen festzulegen, klicken Sie die Schaltfläche ... nebenden Dateinamen.
Einstellung Beschreibung
Quellverzeichnis Verzeichnispfad in der Installationsquelle.
Sicherungskopieerstellen
Beim der automatischen Softwareaktualisierung ist vonder Datei eine Kopie anzufertigen.
Keine Aktua-lisierung
Die Datei wird durch die automatische Softwa-reaktualisierung nicht aktualisiert.
Tabelle 39: Weitere Dateieinstellungen
8. Auf der letzten Seite klicken Sie Ende, um das Programm zu schließen.
Verwandte Themen
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
l Anhang: Maschinenrollen und Installationspakete auf Seite 213
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager101
Automatisches Aktualisieren des OneIdentity Manager
Aufgrund der räumlichen Verteilung der Server und Arbeitsstationen gestaltet sich vorallem das manuelle lokale Installieren und Aktualisieren von Software als problematisch.Um einen erträglichen Arbeitsaufwand der Netzwerkadministratoren zu gewährleisten,wurde für den One Identity Manager ein Verfahren zur automatischen Aktualisierung desOne Identity Manager entwickelt. Neben der Aktualisierung bekannter Dateien einer OneIdentity Manager-Installation können neue, kundenspezifische Dateien auf einfache Weisein das Verfahren aufgenommen werden und somit über die Mechanismen derautomatischen Softwareaktualisierung an die Arbeitsstationen und Server eines OneIdentity Manager-Netzwerkes verteilt werden.
Detaillierte Informationen zum Thema
l Grundlagen zur automatischen Aktualisierung auf Seite 102
l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 105
Grundlagen zur automatischenAktualisierung
Alle Dateien einer One Identity Manager-Installation sind mit Namen und ihrem Binärcodein der One Identity Manager-Datenbank abgelegt. Für jede Datei ist die Zugehörigkeit zuden Maschinenrollen und Installationspaketen erfasst. Zusätzlich sind in der Datenbank fürjede Datei die Dateigröße und ein Hashwert zur Dateierkennung hinterlegt.
Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs odereiner Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.
In der Datenbank wird ein Semaphor "Softwarerevision" gepflegt. Beim Hinzufügen,Ändern oder Löschen einer Datei in der Datenbank wird der Semaphorwert durch denDBQueue Prozessor neu berechnet. Im Installationsverzeichnis aller One Identity Manager-Installationen liegt eine Datei Softwarerevision.viv. Diese Datei enthält die folgendenInformationen:
l den Revisionsstand der Installation
Der Revisionsstand wird aus dem Wert des Semaphors "Softwarerevision" in derDatenbank ermittelt.
l den Startzeitpunkt der letzten Änderung
Zusätzlich befindet sich im Installationsverzeichnis aller One Identity Manager-Installationen eine Datei InstallState.config. Diese Datei enthält die Informationen überdie installierten Maschinenrollen, Installationspakete und Dateien.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager102
Durch den Vergleich der Semaphorwerte aus der Datenbank und der Datei wirdfestgestellt, ob eine Softwareaktualisierung notwendig ist. Unterscheiden sich dieSemaphorwerte, wird anhand der InstallState.config ermittelt, welche Maschinenrollenfür den Computer oder den Server definiert sind. Für jede Datei, die zu einerMaschinenrolle gehört, wird geprüft, ob diese Datei in der Datenbank bekannt ist.
Gibt es die Datei in der Datenbank, wird geprüft:
l Hat sich die Dateigröße geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateienaufgenommen.
l Hat sich der Hashwert geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateienaufgenommen.
Neue Dateien, die durch das Einspielen eines Hotfixes, eines Service Packs, einerVersionsänderung oder durch Einspielen einer kundenspezifischen Datei in die One IdentityManager-Datenbank geladen wurden, werden ebenfalls in die Liste aufgenommen. Alle inder Liste aufgeführten Dateien werden aktualisiert. Alle Aktionen werden in der Dateiupdate.log protokolliert. Nach Abschluss der Aktualisierung wird der aktuelleSemaphorwert aus der Datenbank in die Datei Softwarerevision.viv übernommen.
Automatische Aktualisierung der One Identity Manager-Werkzeuge
Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her undführt den Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wirdeine neue Datei angelegt.
Ist im Installationsverzeichnis des One Identity Manager kein Schreibrecht vorhanden,wird eine Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt.
Das Aktualisierungsprogramm (Updater.exe) erwartet bei aktivierterBenutzerkontensteuerung die Angabe einer administrativen Anmeldung, sofern derangemeldete Benutzer keine administrativen Berechtigungen auf dasInstallationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in einVerzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt dieseAbfrage. Anschließend wird der Aktualisierungsprozess gestartet.
Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden,wird im Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programmund das Aktualisierungsprogramm (Updater.exe) schreiben ihre Prozess-ID’s in die Datei.Nach erfolgreichem Abschluss der Aktualisierung wird die Update.Lock-Datei aus demInstallationsverzeichnis gelöscht. Das Programm wird anschließend neu gestartet. Umsicherzustellen, dass nach einem unerwarteten Programmabbruch in derAktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendungerneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist beiNeustart einer Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen,auf der Arbeitsstation vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und dieAktualisierung erneut gestartet.
Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wirdeine Datei zum Austausch erkannt, so wird der Aktualisierungsprozess gestartet.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager103
Eingreifen des Benutzers in die automatische Aktualisierung der OneIdentity Manager-Werkzeuge
Wird die Aktualisierung der One Identity Manager-Komponenten auf einer Arbeitsstationerkannt, erfolgt der Hinweis alle geöffneten Programme zu schließen. Nachdem derBenutzer alle Programme geschlossen hat, wird die Aktualisierung ausgeführt.
Ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann dieAktualisierung ihrer Arbeitsstationen erfolgt, wird über den Konfigurationsparameter"Common\AutoUpdate\AllowOutOfTimeApps" gesteuert.
l Ist der Konfigurationsparameter nicht aktiviert, hat ein Benutzer keine Möglichkeit indie Aktualisierung einzugreifen. Die Aktualisierung wird sofort ausgeführt.
l Ist der Konfigurationsparameter aktiviert, wird dem angemeldeten Benutzer einMeldungsfenster angezeigt. Der Benutzer kann entscheiden, ob die Aktualisierungder One Identity Manager-Werkzeuge auf seiner Arbeitsstation sofort oder zu einemspäteren Zeitpunkt ausgeführt wird.
Lehnt der Benutzer die sofortige Aktualisierung ab, so kann er weiterarbeiten.Die Aktualisierung kann dann mit dem nächsten Start des Programmsdurchgeführt werden.
Automatische Aktualisierung des One Identity Manager Service
Die automatische Softwareaktualisierung ist das Standardverfahren zur Aktualisierung desOne Identity Manager Service auf den Servern. Im Aktualisierungsverfahren wurde jedochberücksichtigt, dass es unter Umständen unumgänglich ist, einzelne Server von derautomatischen Aktualisierung auszuschließen und manuell zu aktualisieren.
Der One Identity Manager Service liefert bei jeder Anfrage nach Prozessschritten seinenaktuellen Stand des Semaphors "SoftwareRevision" zurück. Sollte dieser Wert von dem inder Datenbank gefundenen Wert abweichen, so wird der Jobserver in der Datenbank als "inAktualisierung befindlich" gekennzeichnet und es werden keine normalen Prozessschrittefür diesen Jobserver mehr geliefert.
Abhängig vom eingestellten Verfahren im Konfigurationsparameter"Common\Autoupdate\ServiceUpdateType" wird die Aktualisierung der Jobserverdurchgeführt.
Es wird zunächst der Startzeitpunkt der letzten Änderung aus der DateiSoftwareRevision.viv ermittelt. Es wird eine Liste aller Dateien mit der Zusatzinformation,ob es sich um eine neue Datei handelt, zusammengestellt. Diese Liste wird auf dem zuaktualisierenden Jobserver ausgewertet und eine Liste erstellt, welche der Dateien zuaktualisieren sind. Wurde mindestens eine Datei auf dem Jobserver ausgetauscht, erfolgtein Neustart des One Identity Manager Service. Nach Abschluss der Aktualisierung wird dieKennzeichnung des Jobservers in der Datenbank wieder zurückgesetzt.
Automatische Aktualisierung von Webanwendungen
Grundsätzlich unterstützen die Webanwendungen die automatische Softwareaktualisierung.Für die einzelnen Webanwendungen können jedoch eigene Konfigurationseinstellungenerforderlich sein, um an der automatischen Softwareaktualisierung teilzunehmen.
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager104
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungenerforderlich:
l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zumSchreiben auf das Anwendungsverzeichnis.
l Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicher-heitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalenSicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassenvon Speicherkontingenten für einen Prozess".
Die Aktualisierung einer Webanwendung erfordert einen Neustart der Webanwendung. DerNeustart der Webanwendung erfolgt durch den Webserver automatisch, wenn dieWebanwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kanneinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.Einige Webanwendungen bieten die Möglichkeit den Neustart manuell auszuführen.
Wird die Aktualisierung der Webanwendung erkannt, werden neue Dateien aus derDatenbank in vorläufige Verzeichnisse auf den Server kopiert. Die Updater.exe wirdgestartet. Es wartet bis der Webanwendungsprozess herunter gefahren wird. DieUpdater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis derWebanwendung.
Verwandte Themen
l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 105
l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 113
l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 133
l Aktualisieren der Manager Webanwendung auf Seite 142
Inbetriebnahme der automatischenSoftwareaktualisierung
WICHTIG:
l Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank gestartet wird, aktualisieren Sie mit dem Installationsassistenten.
l Den One Identity Manager Service auf dem Aktualisierungsserver aktualisierenSie mit dem Installationsassistenten.
Berechtigungen für die automatische Softwareaktualisierung
l Für die automatische Aktualisierung der One Identity Manager-Werkzeuge werdenvolle Zugriffsrechte auf das One Identity Manager-Installationsverzeichnis
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager105
empfohlen.
l Für die automatische Aktualisierung des One Identity Manager Service benötigt dasBenutzerkonto des Dienstes Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
Um die automatische Softwareaktualisierung einzusetzen
1. Stellen Sie sicher, dass ein Aktualisierungsserver eingerichtet ist. Dieser Serversorgt für die automatische Aktualisierung der weiteren Server.
a. Der Server muss als Jobserver mit der Serverfunktion "Aktualisierungsserver"in der Datenbank eingetragen sein.
b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die Datenbank installiert und konfiguriert sein.
c. Schließen Sie diesen Server von der automatische Aktualisierung aus.Aktivieren Sie im Designer für den Jobserver mit der Serverfunktion"Aktualisierungsserver " die Option kein automatisches Softwareupdate.
2. Aktivieren Sie im Designer den Konfigurationsparameter "Common\Autoupdate".
l Ist der Konfigurationsparameter aktiviert, dann werden Dateien des OneIdentity Manager, die nicht dem erforderlichen Revisionsstand entsprechen,automatisch aktualisiert.
l Ist der Konfigurationsparameter deaktiviert, erfolgt keine automatischeSoftwareaktualisierung.
3. Legen Sie über den Konfigurationsparameter"Common\AutoUpdate\AllowOutOfTimeApps" fest, ob die Benutzer der One IdentityManager-Werkzeuge entscheiden können, wann die Aktualisierung ihrerArbeitsstation erfolgt.
l Ist der Konfigurationsparameter aktiviert, wird den Benutzern der One IdentityManager-Werkzeuge ein Meldungsfenster angezeigt, mit dem sie festlegen, obdie Aktualisierung sofort oder zu einem späteren Zeitpunkt erfolgen soll.
l Ist der Konfigurationsparameter nicht aktiviert, werden die One IdentityManager-Werkzeuge sofort aktualisiert.
4. Legen Sie im Konfigurationsparameter "Common\Autoupdate\ServiceUpdateType"fest, welches Verfahren für die Aktualisierung des One Identity Manager Servicegenutzt wird.
Verfahren Bedeutung
Queue Es wird ein Prozess in die Jobqueue eingestellt, über den die Dateienverteilt werden.
DB Die Dateien werden direkt aus der Datenbank geladen. DiesesVerfahren setzen Sie ein, wenn alle Jobserver eine direkte Daten-
Tabelle 40: Verfahren laut Konfigurationsparameter"Common\Autoupdate\ServiceUpdateType"
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager106
Verfahren Bedeutung
bankverbindung haben.
Auto Alle Kopfserver werden direkt aus der Datenbank befüllt. Für alleBlattserver wird ein Prozess in die Jobqueue eingestellt. Für diesesVerfahren müssen die Kopfserver eine direkte Datenbankverbindunghaben.
5. Um einzelne Jobserver von der automatischen Aktualisierung auszuschließen,aktivieren Sie für die Jobserver im Designer die Option kein automatischesSoftwareupdate.
6. Für die Aktualisierung der Webanwendungen können eigeneKonfigurationseinstellungen notwendig sein. Prüfen Sie dieseKonfigurationseinstellungen.
Verwandte Themen
l Grundlagen zur automatischen Aktualisierung auf Seite 102
l Aktualisieren der One Identity Manager-Komponenten auf Seite 86
l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 133
l Aktualisieren der Manager Webanwendung auf Seite 142
One Identity Manager 8.0 Installationshandbuch
Aktualisieren des One Identity Manager107
7
Installieren und Aktualisieren einesOne Identity ManagerAnwendungsservers
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt dieVerarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definiertenBildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speicherneines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.
HINWEIS: Um die Volltextsuche im Web Portal oder im Manager zu nutzen, benötigenSie einen Anwendungsserver mit installiertem Suchdienst.
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- undSoftwarevoraussetzungen auf dem Server erfüllt sind.
Detaillierte Informationen zum Thema
l Minimale Systemanforderungen für den Anwendungsserver auf Seite 32
l Installieren eines One Identity Manager Anwendungsservers auf Seite 108
l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 113
l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 113
l Deinstallieren eines One Identity Manager Anwendungsservers auf Seite 114
Installieren eines One Identity ManagerAnwendungsservers
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt dieVerarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definiertenBildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speicherneines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
108
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- undSoftwarevoraussetzungen auf dem Server erfüllt sind.
WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server.
Um einen Anwendungsserver zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der Web Installerwird gestartet.
3. Auf der Startseite des Web Installer wählen Sie Anwendungsserver installierenund klicken SieWeiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur OneIdentity Manager-Datenbank an und klicken SieWeiter.
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vorund klicken SieWeiter.
Einstellung Beschreibung
Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeiledes Browsers verwendet werden soll.
Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem dieAnwendung installiert wird.
SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installationangeboten werden. Ist die Option aktiviert, können nur Seiten,die per SSL gesichert sind, zur Installation verwendet werden.Diese Einstellung ist der Standardwert. Ist die Option nichtaktiviert, können unsichere Webseiten zur Installationverwendet werden.
URL Uniform Resource Locator (URL) der Anwendung.
DedizierterAnwendungspooleinrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspoolinstalliert werden soll. Diese Option ermöglicht es,Anwendungen unabhängig voneinander einzustellen. Ist dieOption aktiviert, wird jede Anwendung in ihren eigenenAnwendungspool installiert.
Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe istnur möglich, wenn die Option Dedizierter Anwendungspooleinrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wirdder Anwendungspool nach folgender Syntax gebildet:
Tabelle 41: Einstellungen für das Installationsziel
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
109
Einstellung Beschreibung
<Anwendungsname>_POOL
Identität Berechtigung für die Ausführung des Anwendungspool. Es kanneine Standard-Identität oder ein benutzerdefiniertesBenutzerkonto verwendet werden.
Bei Verwendung des Standardwertes "ApplicationPoolIdentity"wird das Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten,klicken Sie die Schaltfläche ... neben dem Eingabefeld underfassen den Benutzer und sein Kennwort.
Web-Authen-tifizierung
Angabe der Authentifizierungsart gegenüber derWebanwendung. Zur Auswahl stehen:
l Windows Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet InformationServices mithilfe seines Windows Benutzerkontosauthentifiziert und die Webanwendung meldet die diesemBenutzerkonto zugeordnete Person rollenbasiert an.Sollte dieses Single Sign-On nicht möglich sein, wird derBenutzer auf eine Anmeldeseite umgeleitet. DieseAuthentifizierung ist nur wählbar, wenn die WindowsAuthentifizierung installiert ist.
l Anonym
Eine Anmeldung ohne Windows Authentifizierung istmöglich. Der Benutzer wird gegenüber dem InternetInformation Services und der Webanwendung anonymauthentifiziert und die Webanmeldung leitet auf eineAnmeldeseite um.
Datenbank-Authentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wennSie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One IdentityManager-Datenbank. Zur Auswahl stehen:
l Windows Authentifizierung
Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für den
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
110
Einstellung Beschreibung
Anwendungspool möglich.
l SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgtmittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.
6. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest undklicken SieWeiter.
Die Maschinenrollen für den Anwendungsserver sind aktiviert. DieMaschinenrollen "Search Service" und "Search Indexing Service" werden für dieSuchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immergemeinsam zu verwenden.
HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, wird einAnwendungsserver benötigt, auf dem der Suchdienst installiert ist.
7. Auf der Seite Setze das Session-Token-Zertifikat legen Sie das Zertifikat für dieErstellung und Prüfung von Sitzungstoken fest und klicken SieWeiter.
HINWEIS: Das Zertikat muss mindestens eine Schlüssellänge von 1024 Bithaben.
a. Um ein neues Zertifikat zu erzeugen
l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Erzeuge neues Zertifikat".
l Erfassen Sie unter Zertifikatsherausgeber den Aussteller desZertifikats.
l Legen Sie unter Schlüssellänge die Schlüssellänge für dasZertifikat fest.
Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsserverseingetragen.
b. Um ein bestehendes Zertifikat zu verwenden
l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Nutze bestehendes Zertifikat".
l Wählen Sie unter Zertifikat auswählen das Zertifikat.
c. Um eine neue Zertifikatsdatei zu erzeugen
l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Erzeuge neue Zertifikatsdatei".
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
111
l Erfassen Sie unter Zertifikatsherausgeber den Aussteller desZertifikats.
l Legen Sie unter Schlüssellänge die Schlüssellänge für dasZertifikat fest.
8. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkontofür die automatische Aktualisierung des Anwendungsservers fest.
Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnisanzulegen oder auszutauschen.
l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführtwird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutzedie IIS-Berechtigungen für Aktualisierungen.
l Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie dieOption Nutze ein spezielles Konto für die Aktualisierungen und gebenSie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungenerforderlich:
l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zumSchreiben auf das Anwendungsverzeichnis.
l Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicher-heitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt dielokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene"und "Anpassen von Speicherkontingenten für einen Prozess".
9. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.
Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien (web.config) zu jedem Verzeichnis.
10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Bei der Installation werden Standardwerte für dieKonfigurationseinstellungen verwendet. Sie können diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen überprüfen.
Verwandte Themen
l Minimale Systemanforderungen für den Anwendungsserver auf Seite 32
l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 113
l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 113
l Installieren des Web Portal auf Seite 115
l Anhang: Maschinenrollen und Installationspakete auf Seite 213
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
112
Aktualisieren eines One IdentityManager Anwendungsservers
HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellenWartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nichterreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführtwerden kann.
Die Aktualisierung der Anwendung erfolgt automatisch. Um eine Aktualisierungdurchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes,eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbankeingefügt und aktualisiert.
Die Prüfung wird beim Start der Anwendung und danach aller 5 Minuten durchgeführt.Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Die Dateienkönnen nicht aktualisiert werden, solange die Anwendung läuft, da diese die Dateienblockiert bzw. deren Änderung einen Neustart der Anwendung und einen Verlust alleraktiver Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bisdie Anwendung neu gestartet wird.
Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn dieAnwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann abereinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.
Um die Aktualisierung manuell zu starten, öffnen Sie die Statusseite desAnwendungsservers im Browser und verwenden Sie den Eintrag Update immediately imMenü des angemeldeten Benutzers.
Verwandte Themen
l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 113
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
Anzeigen des Status eines One IdentityManager Anwendungsservers
Der Anwendungsserver ist über einen Browser erreichbar unter:
http://<Server>/<Anwendungsname>
https://<Server>/<Anwendungsname>
TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen.Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus undöffnen Sie auf dem TabreiterWebserver die Statusanzeige des Webservers überdas Kontextmenü Im Browser öffnen.
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
113
Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. DieStatusinformationen des Anwendungsservers stehen auch als Leistungsindikatoren zurVerfügung.
Zusätzlich ist hier eine API Dokumentation verfügbar.
Deinstallieren eines One IdentityManager Anwendungsservers
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der WebInstaller wird gestartet.
- ODER -
c. Starten Sie den Web Installer über Start | One Identity | One IdentityManager | Configuration | Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer OneIdentity Manager Webanwendung und klicken SieWeiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendungwerden alle installierten Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernenmöchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren dasAuthentifizierungsmodul und authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken SieWeiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallationangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers
114
8
Installieren, Konfigurieren undWarten des Web Portals
Mit Hilfe des Web Installers können Sie das Web Portal installieren, konfigurieren undaktualisieren. Nachfolgend wird auf die Schritte eingegangen, die nötig sind, um das WebPortal auf einem Windows Server zu installieren und in der Standardkonfiguration inBetrieb zu nehmen. Die Konfigurationseinstellungen werden mit ihren entsprechendmöglichen Werten erläutert.
Detaillierte Informationen zum Thema
l Installieren des Web Portal auf Seite 115
l Deinstallieren des Web Portal auf Seite 125
l Konfigurieren des Web Portal auf Seite 125
l Warten des Web Portal auf Seite 132
Installieren des Web Portal
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- undSoftwarevoraussetzungen auf dem Server erfüllt sind.
HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, stellen Sieeinen Anwendungsserver bereit, auf dem der Suchdienst installiert ist.
WICHTIG: Starten Sie die Installation des Web Portal lokal auf dem Server.
Um das Web Portal zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der Web Installerwird gestartet.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals115
3. Auf der Startseite des Web Installer wählen SieWeb Portal installieren undklicken SieWeiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur OneIdentity Manager-Datenbank an und klicken SieWeiter.
Abhängig davon welche Datenbankverbindung gewählt wurde, werden auf der SeiteInstallationsziel wählen unterschiedliche Einstellungen angezeigt.
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vorund klicken SieWeiter.
Einstellung Beschreibung
Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeiledes Browsers verwendet werden soll.
Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem dieAnwendung installiert wird.
SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installationangeboten werden. Ist die Option aktiviert, können nur Seiten,die per SSL gesichert sind, zur Installation verwendet werden.Diese Einstellung ist der Standardwert. Ist die Option nichtaktiviert, können unsichere Webseiten zur Installationverwendet werden.
URL Uniform Resource Locator (URL) der Anwendung.
DedizierterAnwendungspooleinrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspoolinstalliert werden soll. Diese Option ermöglicht es,Anwendungen unabhängig voneinander einzustellen. Ist dieOption aktiviert, wird jede Anwendung in ihren eigenenAnwendungspool installiert.
Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe istnur möglich, wenn die Option Dedizierter Anwendungspooleinrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wirdder Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL
Identität Berechtigung für die Ausführung des Anwendungspool. Es kanneine Standard-Identität oder ein benutzerdefiniertesBenutzerkonto verwendet werden.
Bei Verwendung des Standardwertes "ApplicationPoolIdentity"wird das Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Tabelle 42: Einstellungen für das Installationsziel
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals116
Einstellung Beschreibung
Wenn Sie einen anderen Benutzer berechtigen möchten,klicken Sie die Schaltfläche ... neben dem Eingabefeld underfassen den Benutzer und sein Kennwort.
Web-Authen-tifizierung
Angabe der Authentifizierungsart gegenüber derWebanwendung. Zur Auswahl stehen:
l Windows Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet InformationServices mithilfe seines Windows Benutzerkontosauthentifiziert und die Webanwendung meldet die diesemBenutzerkonto zugeordnete Person rollenbasiert an.Sollte dieses Single Sign-On nicht möglich sein, wird derBenutzer auf eine Anmeldeseite umgeleitet. DieseAuthentifizierung ist nur wählbar, wenn die WindowsAuthentifizierung installiert ist.
l Anonym
Eine Anmeldung ohne Windows Authentifizierung istmöglich. Der Benutzer wird gegenüber dem InternetInformation Services und der Webanwendung anonymauthentifiziert und die Webanmeldung leitet auf eineAnmeldeseite um.
Datenbank-Authentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wennSie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One IdentityManager-Datenbank. Zur Auswahl stehen:
l Windows Authentifizierung
Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für denAnwendungspool möglich.
l SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgtmittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals117
Wenn Sie in Schritt 4 eine direkte Datenbankverbindung ausgewählt haben, wirdIhnen die Seite Anwendungsserver wählen angezeigt. Die Angabe einesAnwendungsservers ist erforderlich, wenn Sie die Volltextsuche verwenden möchten.Sie können den Anwendungsserver auch zu einem späteren Zeitpunkt in dieKonfigurationsdatei eintragen.
6. Erfassen Sie auf der Seite Anwendungsserver eintragen den Anwendungsserver,auf dem der Suchdienst für die Volltextsuche installiert ist.
a. Klicken Sie auf den Link Anwendungsserver eintragen.
b. Erfassen Sie im Textfeld URL: die Webadresse, bestätigen Sie Ihre Eingabe mitOK und klicken SieWeiter.
7. Auf der nächsten Seite legen Sie folgende erweiterte Einstellungen zur Installationfest und klicken SieWeiter.
a. Im Bereich Installationsquelle wählen Sie die Quelle für die Installation.
l Wenn die Dateien aus der Datenbank ermittelt werden, wählen Sie Ausder Datenbank laden.
l Wenn die Dateien vom Installationsmedium ermittelt werden, wählen SieAus lokalem Ordner installieren und geben Sie den Pfad an.
b. Wählen Sie im AuswahlfeldWebprojekt das gewünschte Webprojekt.
Sollten keine weiteren Einstellungen erforderlich sein, wird Ihnen die MeldungKeine Authentifizierungsdaten benötigt angezeigt.
Werden weitere Einstellungen benötigt, gehen Sie wie folgt vor:
l Klicken Sie neben der Meldung Authentifizierungsdaten fürSubprojekte sind nicht eingetragen auf die Schaltfläche.
l Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.
l Wählen Sie im Bereich Authentifizierungsverfahren das gewünschteAuthentifizierungsverfahren und erfassen Sie die erforderlichenAnmeldeinformationen.
l Klicken Sie OK.
Weitere Informationen finden Sie unter Webprojekt auf Seite 128.
c. Im Bereich Setze das Konto für Aktualisierung legen Sie dasBenutzerkonto für die automatische Aktualisierung des Web Portal fest.
Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnisanzulegen oder auszutauschen.
l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspoolausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie dieOption Nutze die IIS-Berechtigungen für Aktualisierungen.
l Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie dieOption Nutze ein spezielles Konto für die Aktualisierungen undgeben Sie die Domäne, den Benutzernamen und das Kennwort desBenutzers an.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals118
HINWEIS: Für die automatische Aktualisierung sind folgendeBerechtigungen erforderlich:
l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigungzum Schreiben auf das Anwendungsverzeichnis.
l Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicher-heitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigtdie lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozes-sebene" und "Anpassen von Speicherkontingenten für einenProzess".
8. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.
Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien zu jedem Ordner. Sie sollten in der Lage sein, dieWebanwendung sofort verwenden zu können.
HINWEIS: Wenn Sie die Webanwendung mit HTTPS installieren, wird dieÜbertragungsart der Cookies in HTTPS im Web Installer eingerichtet werden.Berücksichtigen Sie, dass dieser Wert manuell eingestellt werden muss, wennSie Änderungen der SSL-Einstellungen an der Webanwendung zu einemspäteren Zeitpunkt vornehmen.
9. Auf der Seite Installation prüfen können Sie den Start der Webanwendung testen.Die Basis-URL für den Mailversand wird angezeigt. Wählen Sie gegebenenfalls imAuswahlfeld Ändern in eine andere URL und klicken SieWeiter.
10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Um eine Änderung vorzunehmen
l Schreiben Sie zum Beispiel den Wert <httpCookies requireSSL="true"> in dieweb.config unter dem Element <system.web>.
Der Web Installer verwendet Standardwerte für die meistenKonfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen mithilfe des Web Designer Configuration Editorüberprüfen.
Verwandte Themen
l Minimale Systemanforderungen für den Webserver auf Seite 30
l Installieren eines One Identity Manager Anwendungsservers auf Seite 108
l Konfigurieren des Web Portal auf Seite 125
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals119
Installieren des Web Portal über dieKommandozeilenkonsole
Eine Alternative zur Installation über die autorun.exe ist die Installation über dieWebDesigner.InstallerCMD.exe in der Kommandozeilenkonsole. Diese Variante installiertoder deinstalliert ausschließlich das Web Portal.
HINWEIS: Bei der Installation mithilfe der Kommandozeilenkonsole ist darauf zuachten, die Installation als Administrator auszuführen.
Den Hilfetext können Sie über die Eingabe von /? aufrufen.
Aufrufsyntax "Hilfe aufrufen"
WebDesigner.InstallerCMD.exe
Aufrufsyntax "Web Portal installieren"
WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops{authentication} /appname {appname}/site {Site} [/sourcedir {dir}] [/apppool {AppPool}] [/webproject {Webproject}][/constauthproj {subproject name}/constauth {authentication}] [/searchserviceurl {url}] [/updateuser {username}[/updateuserdomain {domain}] [/updateuserpassword {password}]] [/allowhttp{true|false}] [-f] [-w] [-s]
Parameter Beschreibung
/prov Datenbankprovider.
/conn Verbindungsparameter zur Datenbank.
/authprops Authentifizierung mit Dialogauthentifizierung.
/appname Anwendungsname.
/site Webseite.
/sourcedir Quellverzeichnis bei Installation vom Dateisystem.
/apppool Anwendungspool.
/webproject Name des Webprojekts.
/constauthproj Name des Subprojekts.
/constauth Authentifizierungseinstellungen für das Subprojekt.
/searchserviceurl Anwendungsserver für die Verfügbarkeit der Suchfunktion.
Tabelle 43: Parameter des Programms
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals120
Parameter Beschreibung
/allowhttp Zulassen von http.
/updateuser Update-Benutzer.
/updateuserdomain Active Directory-Domäne des Update-Benutzers.
/updateuserpassword Update-Benutzer Kennwort.
-w Windows Authentifizierung statt anonym am IIS.
Beispiel einer Installation mit direkter Verbindung gegen eine SQLServer-Datenbank
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l SQL Server-Datenbankverbindung
l in die Default Web Site
l Anwendungsname "testqs"
l Authentifizierung mit Systembenutzer "testadmin"
l als Anwendungsserver für die Verfügbarkeit der Suchfunktionhttps://dbserver.testdomain.lan/TestAppServer
l http zulassen
WebDesigner.InstallerCMD.exe /conn "Data Source=dbserver.testdomain.lan;InitialCatalog=IdentityManager;Integrated Security=False;User ID=admin;Password=password"/site "Default Web Site" /appname testqs/authprops "Module=DialogUser;User=testadmin;Password="/searchserviceurl https://dbserver.testdomain.lan/TestAppserver /allowhttp true
Beispiel einer Installation mit direkter Verbindung gegen eineOracle-Datenbank
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l Oracle Datenbankverbindung
l in die Default Web Site
l Anwendungsname "testoraqs"
l Authentifizierung mit Systembenutzer "testadmin"
l Authentifizierung für das Subprojekt "test_UserRegistration_Web"mit Systembenutzer "Subadmin"
WebDesigner.InstallerCMD.exe /prov "VI.DB.Oracle.ViOracleFactory, VI.DB.Oracle"/conn "User Id=IdentityManager;Password=Password;Server=testoraqs.lan;Direct=True;Service Name=test;Port=1521"/site "Default Web Site" /appname testoraqs /authprops"Module=DialogUser;User=testadmin;Password="
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals121
/constauthproj test_UserRegistration_Web/constauth "Module=DialogUser;User=Subadmin;Password="
Beispiel einer Installation mit Verbindung gegen den Anwendungsserver
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l Verbindung zum Anwendungsserver
l in die Default Web Site
l Anwendungsname "testviaappserver"
l mit Windows Authentifizierung als Web-Authentifizierung
l mit dem Update-Benutzer "JohnDoe"
l und der Update-Anwendung "MyDomain.lan"
WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,QBM.AppServer.Client"/conn "URL=https://test.lan/IdentityManagerAppServer/" /site "Default Web Site"/appname testviaappserver/authprops "Module=DialogUser;User=testadmin;Password=" -w /updateuser JohnDoe/updateuserdomain MyDomain.lan /updateuserpassword topsecret
Aufrufsyntax "Authentifizierungseinstellungen für das Subprojektbearbeiten"
WebDesigner.ConfigFileEditor.exe -constAuth ../web.config "test_UserRegistration_Web""Module=DynamicPerson;User[test_USER]=xyz;(Password)Password[test_Password]=xyz;(Hidden)IgnoreMasterIdentities=;(Hidden)Product=Manager"
Parameter Beschreibung
-constAuth Authentifizierungseinstellungen für das Subprojekt.
Tabelle 44: Parameter des Programms
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l Authentifizierung für das Subprojekt "test_UserRegistration_Web"mit dem Benutzer "test_USER"
Aufrufsyntax "Web Portal deinstallieren"
WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops{authentication}/appname {appname} [/site {Site}] -R
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals122
Parameter Beschreibung
/prov Datenbankprovider.
/conn Verbindungsparameter zur Datenbank.
/authprops Authentifizierung mit Dialogauthentifizierung.
/appname Anwendungsname.
/site Webseite.
-R Entfernen der Anwendung.
Tabelle 45: Parameter des Programms
Beispiel einer Deinstallation der Webanwendung bei Verbindung gegeneinen Anwendungsserver
WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,QBM.AppServer.Client"/conn "URL=https://test.lan/IdentityManagerAppServer/"/appname testviaappserver/authprops "Module=DialogUser;User=testadmin;Password=" -R
Aufrufsyntax "Frühere Web Portal Versionen (<=6.x) deinstallieren"
WebDesigner.InstallerCMD.exe /appname {appname} [/site {Site}] -R
Parameter Beschreibung
/appname Anwendungsname.
/site Webseite.
-R Entfernen der Anwendung.
Tabelle 46: Parameter des Programms
Kompilieren des Web Portal über dieKommandozeilenkonsole
Eine Alternative zum Kompilieren des Web Portal über den Web Designer ist dasKompilieren über die VI.WebDesigner.CompilerCmd.exe in der Kommandozeilenkonsole.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals123
Parameter Beschreibung
Pflichtparameter /conn{string}
Gibt die Datenbankverbindungszeichenfolge an.
/dialog{string}
Gibt die Dialogauthentifizierungszeichenfolge an.
/project{name}
Gibt den Webprojektnamen an.
OptionaleParameter
/solution{path}
Gibt die Web Designer Solution Datei zur Nutzung an.Wenn nicht angegeben, wird ein Datenbankprojektverwendet.
/mode{mode}
Läuft in einem der angegebenen Modi.
normal = Vollständige Kompilation (Standard Modus)
nostore = Speichert keine Assemblies in der Datenbank.
nocompile = C# codegen läuft, aber ohne zu kompilieren
nocodegen = Nur Web Designer Kompilierung, kein C#codegen
-E Aktiviert detaillierte Überprüfung.
Ausführliche Informationen zur detaillierten Überprüfungfinden Sie im Kapitel "Globale Einstellungen" im OneIdentity Manager Referenzhandbuch für den WebDesigner.
-D Aktiviert Debugkompilierung.
-R Aktiviert die Generierung eines stabilen C# Textes.
Diese Umstellung verhindert die Verwendung bestimmterZufallswerte.
/csharpout{folder}
Gibt das Zielverzeichnis für C# Text an.
/help Zeigt diesen Hilfetext.
Tabelle 47: Parameter des Programms
Beispiel einer Release-Kompilierung des VI_StandardWeb
VI.WebDesigner.CompilerCmd.exe/conn "Data Source=meindbserver.lan;InitialCatalog=Q1IM; User ID=sa; Password=geheim" /dialog"Module=DialogUser;User=cccAdmin;Password=strenggeheim" /project VI_StandardWeb
Beispiel einer Debug-Kompilierung des VI_User_Registration_Web
VI.WebDesigner.CompilerCmd.exe /conn "Data Source=meindbserver.lan;InitialCatalog=Q1IM; User ID=sa; Password=geheim" /dialog
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals124
"Module=DialogUser;User=cccAdmin;Password=strenggeheim" /project VI_UserRegistration_Web -D
Im Gegensatz zu den Standardeinstellungen im Web Designer, werden Subprojekte nichtmitkompiliert. Das heißt, beim Kompilieren des VI_StandardWeb, wird das VI_UserRegistration_Web nicht mitkompiliert.
Deinstallieren des Web Portal
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der WebInstaller wird gestartet.
- ODER -
c. Starten Sie den Web Installer über Start | One Identity | One IdentityManager | Configuration | Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer OneIdentity Manager Webanwendung und klicken SieWeiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendungwerden alle installierten Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernenmöchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren dasAuthentifizierungsmodul und authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken SieWeiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallationangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Konfigurieren des Web Portal
Die Konfiguration des Web Portal umfasst eine Reihe von Einstellungen. Die Konfigurationeiner Webanwendung wird in den Konfigurationsdateien web.config, NLog.config undmonitor.config der Webanwendung gespeichert, die sich im Root-Verzeichnis der
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals125
Webanwendung befindet, sowie in der Tabelle QBMWebApplication der One Identity Manager-Datenbank.
Verwenden Sie den Web Designer Configuration Editor (WebDesigner.ConfigFileEditor.exe),um die Konfigurationsdatei zu bearbeiten.
Verbindungszeichenfolgen und Anmeldeinformationen werden automatisch in denKonfigurationsdateien mit der Standard MicrosoftASP.NET Kryptographie verschlüsselt.
Um eine Webanwendung zu konfigurieren
1. Starten Sie den Web Designer Configuration EditorWebDesigner.ConfigFileEditor.exe,der sich im Setup-Ordner befindet.
Das Fenster Konfigurationsdatei öffnen wird angezeigt.
2. In der Ansicht Konfigurationsdatei öffnen wählen Sie die Konfigurationsdateiweb.config und klicken Sie Öffnen.
3. Wählen Sie das erforderlichen Authentifizierungsverfahren und melden Sie sich an.
Das Dialogfenster Web Designer Configuration Editor wird angezeigt. In den einzenenBereichen nehmen Sie die Konfigurationseinstellungen vor.
Detaillierte Informationen zum Thema
l Datenbankverbindung auf Seite 126
l Webprojekt auf Seite 128
l Log auf Seite 128
l Automatische Aktualisierung auf Seite 129
l Webeinstellungen auf Seite 130
l Cache auf Seite 131
l Debugger Service auf Seite 131
l Suchdienst auf Seite 131
Datenbankverbindung
Für gewöhnlich ist hier bereits eine Datenbankverbindung ausgewählt. Sie können aberauch eine neue Datenbankverbindung auswählen.
Um eine neue Datenbankverbindung auszuwählen
1. Klicken Sie im Bereich Datenbankverbindung den Link NeueDatenbankverbindung eintragen.
Das Dialogfenster Neue Verbindung erstellen wird angezeigt.
2. Treffen Sie eine Auswahl zwischen den zur Verfügung gestellten Systemtypen undklicken SieWeiter.
Eine Ansicht mit weiteren Einstellungsmöglichkeiten wird Ihnen angezeigt.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals126
HINWEIS: Abhängig von Ihrer Auswahl wird Ihnen eine Ansicht mitentsprechend unterschiedlichen Einstellungsmöglichkeiten angezeigt.
3. Sie haben den Systemtyp SQL Server gewählt, werden Ihnen folgende Einstellungenzur Bearbeitung angezeigt:
a. Wählen Sie im Auswahlfeld Server den gewünschten Server.
b. Aktivieren Sie das KontrollkästchenWindows Authentifizierung, um dieseAuthentifizierung zu verwenden.
c. Schreiben Sie im Textfeld Nutzer den Benutzernamen, mit dem Sie sich an derDatenbank anmelden möchten.
d. Schreiben Sie im Textfeld Kennwort das entsprechende Kennwort zumBenutzernamen.
e. Wählen Sie im Auswahlfeld Datenbank die gewünschte Datenbank.
- ODER -
Sie haben den Systemtyp Oracle gewählt, werden Ihnen folgende Einstellungen zurBearbeitung angezeigt:
HINWEIS: An dieser Stelle sollen nur die Bearbeitungsmöglichkeiten erwähntwerden, die bei der Vorgehensweise des Systemtyps SQL Server nichterwähnt werden.
a. Aktivieren Sie bei Bedarf die Option Direktzugriff (ohne Oracle-Client).
b. Schreiben Sie in die Textfelder Server, Port, Service Name, Benutzer undKennwort die erforderlichen Informationen.
- ODER -
Sie haben den Systemtyp Anwendungsserver gewählt, wird Ihnen folgendeEinstellung zur Bearbeitung angezeigt.
a. Schreiben Sie im Textfeld URL die gewünschten Verbindungsdaten.
4. Klicken Sie Fertig.
Ihrer Einstellungen werden gespeichert und Sie befinden sich wieder im WebDesigner Configuration Editor.
HINWEIS: Wählen Sie bei Bedarf im Auswahlfeld Optionen entweder Verbindungtesten oder Erweiterte Optionen.
Verwandte Themen
l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzerauf Seite 145
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals127
Webprojekt
Um ein Webprojekt und ein Authentifizierungsmodul auszuwählen
1. Wählen Sie im AuswahlfeldWebprojekt das gewünschte Projekt, das in derWebanwendung verwendet werden soll.
HINWEIS: Im Normalfall müssen die Login-Informationen der Subprojekte desausgewählten Webprojektes separat erfasst werden. Fehlen den Subprojektendie Authentifizierungsdaten, wird eine Hinweismeldung und eine Schaltflächeangezeigt.
2. Wählen Sie im Auswahlfeld Authentifizierungsmodul das gewünschte Modul.
HINWEIS: Dieses Modul ist die hauptsächliche Authentifizierungseinheit,welches zur Authentifizierung von Personen verwendet wird. Einige Moduleunterstützen Single-Sign-On. In solchen Fällen wird unterhalb desAuswahlfeldes eine Meldung mit entsprechendem Hinweis angezeigt. Sollte dasausgewählte Authentifizierungsmodul kein Single-Sign-On unterstützen,können Sie über ein weiteres Auswahlfeld ein zusätzliches Modul für einmanuelles Login auswählen.
3. Aktivieren Sie das Kontrollkästchen Debugging, wenn Sie die Debugging-Umgebungverwenden möchten.
4. Schreiben Sie in das Textfeld Client-ID für OAuth-Authentifizierung die Client-ID, wenn Sie dieses Authentifizierungsverfahren einsetzen.
HINWEIS: Mit der OAuth-Authentifizierung wird die Webanwendungautomatisch identifiziert.
Um Authentifizierungsdaten für ein Subprojekt zu erfassen oder zu ändern
1. Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sindnicht eingetragen auf die Schaltfläche.
Das Dialogfenster Authentifizierungsdaten wird angezeigt.
2. Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.
Der Bereich Authentifizierungsverfahren wird aktiv und kann bearbeitet werden.
3. Klicken Sie gegebenenfalls Systembenutzer, um nachträglich ein anderesAuthentifizierungsverfahren zu wählen.
4. Schreiben Sie in die Textfelder Benutzer und Kennwort die Anmeldedaten.
5. Klicken Sie die Schaltfläche Login speichern.
6. Klicken Sie OK.
Log
Der Bereich Log ist weiter unterteilt in folgende Bereiche:
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals128
l Allgemein
l Applikationslog
l Event Log
l Datenbanklog
Im Bereich Allgemein stehen allgemeine Informationen zu Ihrer Webanwendung, die Siein Textfeldern bearbeiten können. Diese Informationen sind:
l Applikation: Hier steht der Name Ihrer Webanwendung
l Firmennamen: Hier steht der Name des Unternehmens, das die Webanwendungverwendet
l Produktnamen: Hier steht der Name des Softwareherstellers
l Protokollverzeichnis: Hier steht das Verzeichnis, in dem die Log-Dateien IhrerWebanwendung gespeichert werden sollen. Der Web Server Prozess mussSchreibrechte auf diesen Ordner haben.
Im Bereich Applikationslog können Sie folgende Einstellungen vornehmen:
l Schweregrad: Hier sind Einstellungen von Aus bis Trace möglich. Dieser Filtersteuert, welche Meldungen in die Protokolldatei geschrieben werden sollen.
l Archivierungsintervall: Hier können Sie einstellen, wie oft das Applikationslogarchiviert werden soll. Einstellungen von niemals bis Minute sind möglich.
l Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Applikationslogauf- oder absteigend nummeriert werden sollen.
Im Bereich Event Log stehen Ihnen folgende Einstellungen zur Verfügung:
l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein,welche Meldungen protokolliert werden sollen.
Im Bereich Datenbanklog wird nur die Abarbeitung der Datenbankstatementsprotokolliert. Folgende Einstellungen stehen zur Verfügung:
l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein,welche Meldungen protokolliert werden sollen. Es sind Einstellungen von Aus bisTrace möglich.
l Archivierungsintervall: Hier können Sie einstellen, wie oft das Datenbanklogarchiviert werden soll. Einstellungen von niemals bis Minute sind möglich.
l Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Datenbanklogauf- oder absteigend nummeriert werden sollen.
Automatische Aktualisierung
HINWEIS: Bei der automatischen Aktualisierung der Anwendung, muss neben derAktivierung der Funktion Anwendung automatisch aktualisieren außerdem derKonfigurationsparameter "Common\Autoupdate" eingeschaltet sein.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals129
Um eine Anwendung automatisch zu aktualisieren
1. Aktivieren Sie das Kontrollkästchen Anwendung automatisch aktualisieren.
2. Wählen Sie zwischen den Optionen.
a. Nutze die IIS-Berechtigungen für Aktualisierungen.
b. Nutze ein spezielles Konto für Aktualisierungen
Wenn Sie die Option Nutze ein spezielles Konto für Aktualisierungen gewählthaben, erfassen Sie weitere Informationen in den folgenden Eingabefeldern.
Eingabe Beschreibung
Domäne Domäne des Active Directory Benutzerkontos.
TIPP: Möchten Sie ein lokales Benutzerkontoverwenden, geben Sie als Domäne entweder . oderden Rechnernamen an.
Benutzername Name des Active Directory Benutzerkontos.
Kennwort Kennwort des Active Directory Benutzerkontos.
Kennwortwiederholung Wiederholung des Kennwortes.
Tabelle 48: erforderliche Informationen bei der Nutzung eines speziellenKontos für Aktualisierungen
Webeinstellungen
Sie befinden sich im BereichWebeinstellungen des Web Designer Configuration Editors.
Um Einstellungen im Bereich "Webeinstellungen" vorzunehmen
1. Wählen Sie im Auswahlfeld Produkt das gewünschte Produkt, für das dieEinstellungen gelten sollen.
2. Schreiben Sie in das Textfeld HTML-Kopfzeilen die gewünschte Information.
3. Wählen Sie Sie im Auswahlfeld Nach der Abmeldung, welche Seite nach demAbmelden angezeigt werden soll.
4. Schreiben Sie in das Eingabefeld Schließung der Sitzung nach Inaktivität(Min.) die Zeit der Inaktivität nachdem die Sitzung abgelaufen ist.
HINWEIS: Möchten Sie das die Sitzung trotz Inaktivität bestehen bleibt,schreiben Sie in das Eingabefeld den Wert 0.
5. Aktivieren Sie das Kontrollkästchen HTTP-Übertragung komprimieren.
Mit dieser Einstellung findet die HTTP-Übertragung komprimiert statt.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals130
Cache
In diesem Bereich können Sie nachsehen, wo sich das Cache- und das Assembly-Verzeichnis befindet. Beide Textfelder sind bearbeitbar.
Um den Ablageort für das Cache- und Assembly-Verzeichnisses zu bearbeiten
1. Klicken Sie in eines der Eingabefelder.
a. Cache-Verzeichnis
b. Assembly-Verzeichnis
2. Überschreiben Sie den eingetragenen Pfad mit dem Pfad, in dem die gecachten Datenzukünftig abgelegt werden sollen.
Debugger Service
Mithilfe dieser Einstellung konfigurieren Sie die WCF-Verbindung.
Um die WCF-Verbindung zu konfigurieren
1. Aktivieren Sie das Kontrollkästchen Portbereich einschränken.
2. Schränken Sie die Werte in den beiden Zahlenfeldern ein.
Suchdienst
Voraussetzung für die Nutzung der Volltextsuche im Web Portal ist ein Anwendungsserver,auf dem der Suchdienst installiert ist.
l Wenn Sie das Web Portal direkt über einen Anwendungsserver mit installiertemSuchdienst betreiben, können Sie die Volltextsuche sofort nutzen.
l Wenn Sie das Web Portal mit einem Anwendungsserver ohne installierten Suchdienstoder mit einer direkten Datenbankverbindung betreiben, tragen Sie in diesemKonfigurationsbereich einen Anwendungsserver mit installiertem Suchdienst ein. Erstdann ist die Volltextsuche im Web Portal verfügbar.
Um einen Anwendungsserver nachträglich einzutragen
1. Klicken Sie auf Anwendungsserver eintragen.
2. Erfassen Sie im Textfeld URL die Webadresse des Anwendungsservers.
3. Testen Sie die Verbindung über den Eintrag Verbindung testen aus demKontextmenü Optionen.
4. Bearbeiten Sie weitere optionale Einstellungen über den Eintrag Erweiterte
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals131
Optionen aus dem Kontextmenü Optionen.
5. Um die Einstellungen zu übernehmen, klicken Sie OK.
In der Standardinstallation sind bereits einige wichtige Spalten für die Volltextsucheindiziert. Bei Bedarf können Sie weitere Spalten für die Volltextsuche konfigurieren.Ausführliche Informationen zur Konfiguration von Spalten für die Volltextsuche finden Sieim One Identity Manager Konfigurationshandbuch.
Ausführliche Informationen zur Nutzung der Volltextsuche im Web Portal finden Sie im OneIdentity Manager Anwenderhandbuch für das Web Portal.
Verwandte Themen
l Installieren eines One Identity Manager Anwendungsservers auf Seite 108
Warten des Web Portal
Nachfolgend werden alle Wartungsmöglichkeiten aufgeführt und beschrieben, die für eineOne Identity Manager Webanwendung zur Verfügung stehen.
Detaillierte Informationen zum Thema
l Runtime Monitoring auf Seite 132
l Sicherheit auf Seite 132
l Ansehen der Protokolldateien und Exceptions auf Seite 133
l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 133
l Wartungsmodus auf Seite 134
l Manuelle Aktualisierung auf Seite 134
l Überwachung mithilfe von Leistungsindikatoren auf Seite 135
Runtime Monitoring
Die One Identity Manager Webanwendung beinhaltet ein Runtime Monitoring Tool. DiesesTool kann durch Zugriff auf eine spezielle URL auf die Web-Anwendung zugreifen:
http://<server>/<application>/monitor.
Sicherheit
Der Zugriff auf diese Seite ist konfiguriert worden durch folgende Einstellungen in derKonfigurationsdatei (web.config) der Webanwendung. Die Standard-Einstellung erlaubt nur
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals132
Mitgliedern der Administrator-Rolle auf den Runtime Monitor zuzugreifen.
<?xml version="1.0"?>
<!-- Permission to use WebDesigner runtime monitor -->
<authorization>
<allow roles="BUILTIN\Administrators" />
<deny users="*" />
</authorization>
Für weitere Informationen über das Ändern dieser Einstellung, lesen Sie in der ASP.NETDokumentation.
Ansehen der Protokolldateien undExceptions
Der Tab Logdateien des Runtime Monitors ermöglicht Ihnen das Ansehen derProtokolldateien, die von den Webanwendungen generiert wurden. Sie können dieseDateien filtern und nach Begriffen suchen. Die Protokolldateien befinden sich in physischerForm im Protokollverzeichnis, das durch die Konfiguration festgelegt wurde.(typischerweise, "./Logs").
Der Tab Exceptions des Runtime Monitors ermöglicht Ihnen das Ansehen der Log-Meldungen im Bezug auf Exceptions. Diese Meldungen werden gesammelt nach Exceptionsund absteigender Frequenz sortiert. Die oberste Exception in der Liste wird die amhäufigsten vorkommende Exception sein.
HINWEIS: Der Web Installer schreibt wichtige Ereignisse in die Protokolldatei derWindows Anwendung. Sie können sich diese Protokolldatei in der WindowsEreignisanzeige (Windows Event Viewer) ansehen, wenn es Probleme oder einenFehler während der Installation des Web Portal gibt.
Anwenden automatischer Aktualisierungenfür das Web Portal
Die One Identity Manager Webanwendung ist integriert in die automatische Aktualisierungdes One Identity Manager.
Es ist wichtig zu verstehen, dass die Aktualisierung einer Software einen komplettenNeustart der Webanwendung bedeutet. Die automatische Aktualisierung derWebanwendung beinhaltet folgende Schritte:
l Die Webanwendung erkennt, dass eine neue Softwareversion in der Datenbankvorliegt.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals133
l Neue Dateien werden aus der Datenbank in vorläufige Verzeichnisse auf denServer kopiert.
l Die Updater.exe wird gestartet. Es wartet bis der Webanwendungsprozess heruntergefahren wird. (Für weitere Informationen zum automatischen Herunterfahren, lesenSie in der IIS Dokumentation.)
l Updater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnisder Webanwendung.
Verwandte Themen
l Manuelle Aktualisierung auf Seite 134
l Automatische Aktualisierung auf Seite 129
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
Wartungsmodus
Eine Webanwendung kann aufWartungsmodus geschaltet werden, um Wartungsarbeitenauszuführen.
Im Wartungsmodus sind laufende Sessions nicht betroffen. Jedoch werden keine neuenSessions zugelassen. Benutzer, die sich die Webanwendung ansehen, werden die Inhalteder Datei Maintenance.html angezeigt, die sich im Wurzel-Ordner der Webanwendungbefindet. Sie können ungehindert diese Datei bearbeiten, um Details über dieWartungsarbeit für den Benutzer anzuzeigen.
Der Wartungsmodus wird durch das Anlegen der Datei Maintenance.mode im Ordner App_Datader Webanwendung eingeschaltet (und durch ihr Entfernen beendet). Der Wartungsmoduskann auch auf der Seite Runtime Monitor umgestellt werden.
Sie können den Wartungsmodus benutzen, um eine automatische Aktualisierung zu einembestimmten Zeitpunkt zu erlauben.
Manuelle Aktualisierung
Vorzugsweise sollte der oben beschriebene Aktualisierungsprozess verwendet werden. Siekönnen jedoch die Webanwendung auch manuell aktualisieren, indem Sie die aktualisiertenDateien aus der Datenbank in den bin Ordner der Webanwendung kopieren.
Beachten Sie, dass jeder Schreibvorgang auf dem bin Ordner der Webanwendung sofort zueinem Neustart der Webanwendung führt. Dies bedeutet, dass alle aktiven Sessions auf derAnwendung beendet werden und alle nicht gespeicherten Daten verloren gehen. Ausdiesem Grund sollten Sie manuelle Aktualisierungen der Webanwendung nur durchführen,wenn keine aktive Session statt findet.
Nur Dateien im bin Ordner der Webanwendung werden durch die automatischeAktualisierung gesteuert.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals134
Verwandte Themen
l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 133
Überwachung mithilfe vonLeistungsindikatoren
Bei der Installation einer Webanwendung werden grundsätzlich Leistungsindikatoren(PerformanceCounter) registriert, die Auskunft über den Zustand der Anwendung geben.
Eine nachträgliche Installation der Leistungsindikatoren ist möglich.
HINWEIS: Voraussetzungen hierfür sind, dass die Webanwendung auf einemWindows Server installiert ist und über ausreichend Rechte verfügt, umLeistungsindikatoren anzubieten. Hierfür kann es erforderlich sein, dasBenutzerkonto des Anwendungspools in die lokale GruppeLeistungsüberwachungsbenutzer aufzunehmen. Außerdem muss dieWebanwendung gestartet sein, um die Leistungsindikatoren auswählen zu können.
Um Leistungsindikatoren nachträglich zu installieren
1. Öffnen Sie den Web Designer Configuration Editor.
2. Klicken Sie auf Webeinstellungen und Windows Leistungsindikatorenanlegen.
Nach erfolgreicher Ausführung wird ein Hinweis zur Installation angezeigt.
3. Bestätigen Sie die Hinweismeldung mit OK.
Um Leistungsindikatoren einzusehen
1. Melden Sie sich an dem Server an, auf dem die Webanwendung installiert ist.
2. Starten Sie die Leistungsüberwachung von Windows.
3. Wählen Sie im Dialogfenster auf der linken Seite den EintragLeistungsüberwachung.
4. Klicken Sie im Anzeigebereich der Leistungsüberwachung auf .
5. Markieren Sie im Dialogfenster Leistungsindikatoren hinzufügen unterVerfügbare Leistungsindikatoren den Eintrag One Identity ManagerWebPortal und klappen Sie den Eintrag auf.
Die Leistungsindikatoren der Webanwendung werden angezeigt. Es stehen folgendeIndikatoren zur Verfügung.
l AJAX calls: Anzahl der asynchron bearbeiteten HTTP-Anfragen
l Objects: Anzahl der aktiven Datenbankobjekte
l Exceptions: Anzahl der aufgetretenen Ausnahmefehler
l Forms: Anzahl der aktiven Formulare
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals135
l HTML requests: Anzahl der HTML-Seitenanfragen
l PID: Anzahl der Prozess-IDs
l Contexts: Anzahl der aktiven Modulobjekte
l Sessions: Anzahl der aktiven Sitzungen
l Sessions total: Gesamtanzahl der Sitzungen seit Anwendungsstart
6. Fügen Sie die gewünschten Leistungsindikatoren hinzu und wählen Sie unterInstanzen des ausgewählten Objekts: Ihre gewünschte Webanwendung aus.
TIPP: Es werden nur die Webanwendungen zur Auswahl angezeigt, die gestartetsind. Bei der Installation einer neuen Webanwendung, ist es möglich, dass diezur Auswahl stehenden Webanwendungen inklusive der neu installierten Weban-wendung erst nach einigen Minuten zur Verfügung stehen.
One Identity Manager 8.0 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portals136
9
Installieren des Web Portal fürBetriebsunterstützung
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- undSoftwarevoraussetzungen auf dem Server erfüllt sind.
HINWEIS: Das Web Portal für Betriebsunterstützung ist eine Erweiterung desStandard Web Portal und verwendet dessen CSS Dateien. Zur Nutzung ist einlauffähiges Web Portal ist Voraussetzung.
Um das Web Portal für Betriebsunterstützung zu installieren
1. Installieren Sie das Web Portal.
2. Kopieren Sie den Inhalt des Ordners "Modules\QER\dvd\AddOn\Operations SupportWeb Portal" unterhalb des Web Portal Ordners. Sie können den Ordner umbenennen,zum Beispiel in "OperationSupport".
3. Kopieren Sie folgende Dateien in den Ordner "bin" des Web Portal.
a. Modules\QER\install\bin\QER.WebRuntime.WebApi.dll
b. Modules\QBM\install\bin\QBM.CompositionApi.Web.dll
4. Stellen Sie sicher, dass im IIS der MIME Type für JSON konfiguriert ist.
a. .json = application/json
Für weitere Informationen besuchen Sie https://technet.microsoft.com/en-us/library/2761b1cf-cb53-40b2-80a1-f0c97030d7d6.
Die Installation ist abgeschlossen und Sie können das Web Portal für Betriebsunterstützungunter https://ihr.server.domain/IdentityManager/OperationSupport/ aufrufen.
One Identity Manager 8.0 Installationshandbuch
Installieren des Web Portal für Betriebsunterstützung137
10
Installieren und Aktualisieren derManager Webanwendung
Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Stellen Sievor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungenauf dem Server erfüllt sind.
Detaillierte Informationen zum Thema
l Minimale Systemanforderungen für den Webserver auf Seite 30
l Installieren der Manager Webanwendung auf Seite 138
l Aktualisieren der Manager Webanwendung auf Seite 142
l Deinstallieren der Manager Webanwendung auf Seite 143
l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 202
Installieren der ManagerWebanwendung
Der One Identity Manager erfordert, dass jede Webanwendung auf genau eine Sprachefestgelegt wird. Wenn Sie die Anwendung in zwei Sprachen veröffentlichen möchten, dannmüssen Sie mindestens zwei separate Anwendungen installieren. Standardmäßig installiertder Web Installer eine Anwendung pro Sprache.
Wenn mehrere Anwendungen gleichzeitig laufen, können Sie einen Sprachen-Pool für dieseAnwendungen definieren. Wenn der Benutzer eine Webanwendung des Sprachen-Poolsaufruft, wird er automatisch auf die gemäß seiner Sprache passende Webanwendung desSprachen-Pools umgeleitet. Es ist also nicht nötig, die URLs aller Webanwendungen imSprachen-Pool bekannt zu machen.
Über diesen Mechanismus lässt sich auch ein einfaches Load-Balancing realisieren.
WICHTIG: Starten Sie die Installation der Manager Webanwendung lokal auf demServer.
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung138
Um die Manager Webanwendung zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der Web Installerwird gestartet.
3. Auf der Startseite des Web Installer wählen Sie Manager Webanwendunginstallieren und klicken SieWeiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur OneIdentity Manager-Datenbank an und klicken SieWeiter.
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vorund klicken SieWeiter.
Einstellung Beschreibung
Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeiledes Browsers verwendet werden soll.
Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem dieAnwendung installiert wird.
SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installationangeboten werden. Ist die Option aktiviert, können nur Seiten,die per SSL gesichert sind, zur Installation verwendet werden.Diese Einstellung ist der Standardwert. Ist die Option nichtaktiviert, können unsichere Webseiten zur Installationverwendet werden.
URL Uniform Resource Locator (URL) der Anwendung.
DedizierterAnwendungspooleinrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspoolinstalliert werden soll. Diese Option ermöglicht es,Anwendungen unabhängig voneinander einzustellen. Ist dieOption aktiviert, wird jede Anwendung in ihren eigenenAnwendungspool installiert.
Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe istnur möglich, wenn die Option Dedizierter Anwendungspooleinrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wirdder Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL
Identität Berechtigung für die Ausführung des Anwendungspool. Es kanneine Standard-Identität oder ein benutzerdefiniertesBenutzerkonto verwendet werden.
Tabelle 49: Einstellungen für das Installationsziel
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung139
Einstellung Beschreibung
Bei Verwendung des Standardwertes "ApplicationPoolIdentity"wird das Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten,klicken Sie die Schaltfläche ... neben dem Eingabefeld underfassen den Benutzer und sein Kennwort.
Web-Authen-tifizierung
Angabe der Authentifizierungsart gegenüber derWebanwendung. Zur Auswahl stehen:
l Windows Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet InformationServices mithilfe seines Windows Benutzerkontosauthentifiziert und die Webanwendung meldet die diesemBenutzerkonto zugeordnete Person rollenbasiert an.Sollte dieses Single Sign-On nicht möglich sein, wird derBenutzer auf eine Anmeldeseite umgeleitet. DieseAuthentifizierung ist nur wählbar, wenn die WindowsAuthentifizierung installiert ist.
l Anonym
Eine Anmeldung ohne Windows Authentifizierung istmöglich. Der Benutzer wird gegenüber dem InternetInformation Services und der Webanwendung anonymauthentifiziert und die Webanmeldung leitet auf eineAnmeldeseite um.
Datenbank-Authentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wennSie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One IdentityManager-Datenbank. Zur Auswahl stehen:
l Windows Authentifizierung
Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für denAnwendungspool möglich.
l SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgt
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung140
Einstellung Beschreibung
mittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.
6. Auf der Seite Konfiguration legen Sie weitere anwendungsspezifischeEinstellungen fest.
a. Wählen Sie in der Auswahlliste Kultur die Sprachkultur der Anwendung. DieSprachkultur hat unter anderem Einfluss auf die Darstellung von Datumswertenund sowie Zahlen.
b. Die Webanwendung benötigt Zugriffsberechtigungen auf sich selbst. Wenn Sieals Authentifizierungsart "Windows-Authentifizierung (Single Sign-On)" für dieWeb-Authentifizierung gewählt haben, geben Sie Domäne, Benutzerkonto undKennwort des Benutzers. Bei anomymer Web-Authentifizierung sind keineweiteren Angaben erforderlich.
c. Klicken SieWeiter.
7. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Installationsvorgang abgeschlossen wurde, klicken SieWeiter.
Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien (web.config) zu jedem Verzeichnis.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Der Web Installer verwendet Standardwerte für dieKonfigurationseinstellungen. Sie können diese Werte beibehalten. Es wird empfohlen,dass Sie die Einstellungen mithilfe des Manager Web Configuration Editor überprüfen.
Die Manager Webanwendung ist über einen Browser erreichbar unter:
http://<Server>/<Anwendungsname>
https://<Server>/<Anwendungsname>
TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen.Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus undöffnen Sie auf dem TabreiterWebserver die Statusanzeige des Webservers überdas Kontextmenü Im Browser öffnen.
Verwandte Themen
l Aktualisieren der Manager Webanwendung auf Seite 142
l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 202
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung141
Aktualisieren der ManagerWebanwendung
HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellenWartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nichterreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführtwerden kann.
Die Aktualisierung der Anwendung erfolgt automatisch, wenn das Plugin "AutomatischeAktualisierung" für die Webanwendung aktiviert wurde.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungenerforderlich:
l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zumSchreiben auf das Anwendungsverzeichnis.
l Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicher-heitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".
l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalenSicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassenvon Speicherkontingenten für einen Prozess".
Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in dieOne Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beimEinspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die OneIdentity Manager-Datenbank eingefügt und aktualisiert.
Das Plugin "Automatische Aktualisierung" führt eine Prüfung beim Start der Anwendungund danach etwa alle 5 Minuten durch. Werden neue Dateien erkannt, so werden diese ausder Datenbank geladen. Das Plugin "Automatische Aktualisierung" kann die Dateien nichtaktualisieren, solange die Anwendung läuft, da diese die Dateien blockiert bzw. derenÄnderung einen Neustart der Anwendung und einen Verlust aller aktivenBenutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis dieAnwendung neu gestartet wird.
Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn dieAnwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann abereinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.
Verwandte Themen
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 202
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung142
Deinstallieren der ManagerWebanwendung
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der WebInstaller wird gestartet.
- ODER -
c. Starten Sie den Web Installer über Start | One Identity | One IdentityManager | Configuration | Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer OneIdentity Manager Webanwendung und klicken SieWeiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendungwerden alle installierten Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernenmöchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren dasAuthentifizierungsmodul und authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken SieWeiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallationangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 8.0 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung143
11
Anmelden an den One IdentityManager-Werkzeugen
Bei Start eines One Identity Manager-Werkzeugs wird der Standardverbindungsdialoggeöffnet.
Abbildung 5: Standardverbindungsdialog
Bei der Anmeldung wird zwischen dem Benutzer der Datenbank und dem Benutzer dereinzelnen One Identity Manager-Werkzeuge (Systembenutzer) unterschieden. Es könnenmehrere Systembenutzer mit einem Datenbankkonto arbeiten.
Die Anmeldung erfolgt in zwei Schritten:
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen144
l Auswählen der Datenbankverbindung zur Anmeldung an der Datenbank
l Auswählen des Authentifizierungsverfahrens und Ermittlung des Systembenutzers fürdie Anmeldung
Die zulässigen Systembenutzerkennungen werden über das eingesetzteAuthentifizierungsmodul ermittelt. Der One Identity Manager stellt dafürverschiedene Authentifizierungsmodule zur Verfügung.
TIPP: Bei Programmstart wird versucht die zuletzt verwendete Verbindungwiederherzustellen. Dies kann bei häufig wechselnden Verbindungen zu anderenDatenbankservern, zu langen Wartezeiten mit anschließenden Fehlermeldungenführen.
Um die Wiederherstellung der letzten Verbindung zu unterdrücken, erzeugen Siefolgenden Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\One Identity\One Identity Manager\Global\Settings\[RestoreLastConnection]="false"
Detaillierte Informationen zum Thema
l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzerauf Seite 145
l Anmelden an den One Identity Manager-Werkzeugen mit einerSystembenutzerkennung auf Seite 150
l Aktivieren weiterer Authentifizierungsmodule auf Seite 152
l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169
l Aktivieren weiterer Anmeldesprachen auf Seite 153
l Überprüfung der Authentifizierung auf Seite 154
l Ablauf von Kennwörtern auf Seite 153
Anmelden an der One IdentityManager-Datenbank mit einemDatenbankbenutzer
Um eine vorhandene Verbindung auszuwählen
l Wählen Sie im Verbindungsdialog die Verbindung unter "Datenbankverbindungauswählen".
HINWEIS: Neu erstellte Verbindungen werden erst nach erneutem Start desProgramms im Verbindungsdialog angezeigt.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen145
Um eine neue Verbindung zur One Identity Manager-Datenbank unter SQLServer zu erstellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie den Systemtyp SQL Server.
2. Klicken SieWeiter.
3. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Eingabe Beschreibung
Server Datenbankserver.
WindowsAuthentifizierung
Angabe, ob integrierte Windows Authentifizierung verwendetwird.
Die Verwendung dieser Authentifizierung wird nicht empfohlen.Sollten Sie dieses Verfahren dennoch einsetzen, stellen Siesicher, dass Ihre Umgebung Windows Authentifizierungunterstützt.
Nutzer Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenbank Datenbank.
Tabelle 50: Verbindungsdaten zur SQL Server Datenbank
4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdatenaufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sieweitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
5. Klicken Sie Fertig.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen146
Abbildung 6: Eingabemaske mit Verbindungsdaten unter SQL Server
Um eine neue Verbindung zur One Identity Manager-Datenbank unter Oraclezu erstellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie das Systemtyp Oracle.
2. Klicken SieWeiter.
3. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Eingabe Beschreibung
Direktzugriff (ohneOracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Sie dieOption.
Die erforderlichen Verbindungsdaten sind abhängig vonder Einstellung dieser Option.
Server Datenbankserver.
Port Port der Oracle Instanz.
Service Name Service Name.
Benutzer Oracle Datenbankbenutzer.
Kennwort Kennwort des Datenbankbenutzers.
Datenquelle TNS Alias Name aus der TNSNames.ora.
Tabelle 51: Verbindungsdaten zur Oracle Datenbank
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen147
4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdatenaufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sieweitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
5. Klicken Sie Fertig.
Abbildung 7: Eingabemasken mit Verbindungsdaten unter Oracle
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen148
Um eine neue Verbindung zum Anwendungsserver herzustellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie den Systemtyp Anwendungsserver.
2. Klicken SieWeiter.
3. Erfassen Sie die Adresse (URL) zum Anwendungsserver.
4. Wenn Sie auf einen per SSL/TLS gesicherten Anwendungsserver zugreifen,konfigurieren Sie zusätzliche Einstellungen zum Zertifikat.
l Stimmen Servername des Zertifikats und die Adresse (URL) zumAnwendungsserver überein und konnte das Serverzertifikat erfolgreich geprüftwerden, wird der Servername neben dem Eingabefeld für die URL grünhinterlegt. Per Klick auf den Servernamen neben dem Eingabefeld für die URLkönnen Sie Informationen zum Zertifikat anzeigen. Sie können unterServerzertifikat festlegen ein Zertifikat auswählen, was bei der Anmeldungvorhanden sein muss.
l Stimmen Servername des Zertifikats und die Adresse (URL) zumAnwendungsserver nicht überein oder konnte das Serverzertifikat erfolgreichgeprüft werden, wird der Servername neben dem Eingabefeld für die URL rothinterlegt. Legen Sie fest, ob Sie dem Zertifikat vertrauen.
l Wird laut SSL Einstellungen ein Client-Zertifikat erwartet, wählen Sie unterClientzertifikat festlegen, das Zertifikat aus und legen Sie fest, wie dasZertifikat geprüft werden soll. Zur Auswahl stehen "Nach Antragstellersuchen", "Nach Herausgeber suchen" und "Nach Fingerabdruck suchen".
l Wenn Sie mit einem selbstsignierten Zertifikat zugreifen wollen, aktivieren Siedie Option Akzeptiere selbstsigniertes Zertifikat.
5. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdatenaufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sieweitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen149
6. Klicken Sie Fertig.
Abbildung 8: Eingabemaske für Verbindung zum Anwendungsserver
Um eine Verbindung zu löschen
1. Wählen Sie unter "Datenbankverbindung auswählen "die Verbindung.
2. Drücken Sie Entf.
3. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die ausgewählte Datenbankverbindung wird nun nicht mehr imVerbindungsdialog angezeigt.
Verwandte Themen
l Anmelden an den One Identity Manager-Werkzeugen mit einerSystembenutzerkennung auf Seite 150
Anmelden an den One IdentityManager-Werkzeugen mit einerSystembenutzerkennung
Im Anschluss an die Datenbankanmeldung meldet sich der Benutzer mit einerSystembenutzerkennung am gestarteten Programm an. Die zulässigenSystembenutzerkennungen werden über das eingesetzte Authentifizierungsmodulermittelt.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen150
Um sich an den One Identity Manager Werkzeugen mit einerSystembenutzerkennung anzumelden
1. Wählen Sie im Verbindungsdialog unter "Authentifizierungsverfahren" dasAuthentifizierungsmodul.
Es wird eine Auswahlliste eingeblendet, die alle freigeschaltetenAuthentifizierungsmodule enthält.
2. Erfassen Sie die Anmeldedaten für die Systembenutzerkennung.
Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.
3. Klicken Sie Anmelden.
Die Verbindungsdaten werden gespeichert und stehen bei der nächsten Anmeldungzur Verfügung.
Abbildung 9: Anmeldefenster mit Anmeldung an denAdministrationswerkzeugen
Haben Sie eine Systembenutzerkennung eingegeben, die durch das gewählteAuthentifizierungsmodul nicht unterstützt wird, erscheint folgende Fehlermeldung.
[810284] Der Benutzer konnte nicht authentifiziert werden.
[810015] Die Anmeldung des Benutzers xyz ist gescheitert.
[810017] Falscher Benutzername oder falsches Kennwort.
Wiederholen Sie die Anmeldung, indem Sie ein anderes Authentifizierungsmodul oder eineandere Systembenutzerkennung wählen.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen151
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nurdie Authentifizierungsmodule "Systembenutzer" und "ComponentAuthenticator" sowiedie rollenbasierten Authentifizierungsmodule aktiviert.
Verwandte Themen
l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzerauf Seite 145
l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169
Aktivieren weitererAuthentifizierungsmodule
Zur Anmeldung an den Administrationswerkzeugen verwendet der One IdentityManager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmoduleermitteln den anzuwendenden Systembenutzer und laden abhängig von dessenMitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechteauf Ressourcen der Datenbank.
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur dieAuthentifizierungsmodule "Systembenutzer" und "Component Authenticator" sowiedie rollenbasierten Authentifizierungsmodule aktiviert.
HINWEIS: An One Identity Manager-Werkzeugen ist die Anmeldung mit allenAuthentifizierungsmodulen möglich, die im Verbindungsdialog wählbar sind.Gegebenenfalls müssen Sie sicherstellen, dass der Benutzer, der durch dasAuthentifizierungsmodul ermittelt wird, die benötigten Berechtigungen besitzt, dieAnwendung zu nutzen.
Um weitere Authentifizierungsmodule zu aktivieren
1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen |Authentifizierungsmodule.
2. Wählen Sie das Authentifizierungsmodul und setzen Sie die Option Aktiviert auf denWert "True".
3. Übernehmen Sie die Änderungen über Datenbank | Übertragung in dieDatenbank....
4. Klicken Sie Speichern.
Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenenAnwendungen möglich. Stellen Sie sicherstellen, dass die Benutzer, die durch dasAuthentifizierungsmodul ermittelt werden, auch die benötigten Berechtigungenbesitzen, die Anwendung zu benutzen.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen152
Verwandte Themen
l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169
Aktivieren weiterer Anmeldesprachen
Die Darstellung der Anzeigetexte in der Benutzeroberfläche erfolgt abhängig von derSprache, mit der sich ein Benutzer an den Administrationswerkzeugen anmeldet. Bei dererstmaligen Anmeldung an den Werkzeugen wird die Systemsprache zur Anzeige derBenutzeroberfläche verwendet. Der Benutzer kann seine Anmeldesprache in jedemAdministrationswerkzeug ändern. Dabei wird die Anmeldesprache global für alleWerkzeuge, mit denen der Benutzer arbeitet, festgelegt. Somit muss die Einstellung derAnmeldesprache nicht in jedem Werkzeug erneut erfolgen. Die Änderung derAnmeldesprache wird erst mit dem Neustart der Werkzeuge wirksam.
Als Anmeldesprachen werden alle Sprachkulturen angeboten, die mit der OptionWählbarim Frontend gekennzeichnet sind.
Um weitere Anmeldesprachen zur Verfügung zu stellen
1. Wählen Sie im Designer die Kategorie Basisdaten | Lokalisierung |Sprachkulturen.
2. Wählen Sie die Sprachkultur.
3. Setzen Sie die OptionWählbar im Frontend.
Ablauf von Kennwörtern
Um eine Person darüber zu informieren, dass ihr Kennwort abläuft, werden verschiedeneFunktionen eingesetzt:
l Bei der Anmeldung am One Identity Manager wird der Benutzer auf ein ablaufendesKennwort hingewiesen und kann sein Kennwort gegebenenfalls ändern.
l Das System verschickt für Personen-basierte AuthentifizierungsmoduleErinnerungsmails zu ablaufenden Kennwörtern ab 7 Tage vor dem Ablauf desKennwortes.
l Die Zeit in Tagen können Sie im Konfigurationsparameter"Common\Authentication\DialogUserPasswordReminder" anpassen. Um denKonfigurationsparameter zu bearbeiten, verwenden Sie den Designer.
l Die Benachrichtigungen werden nach dem Zeitplan "Erinnerung Ablauf desSystembenutzerkennwortes" ausgelöst und verwenden die Mailvorlage"Person- Systembenutzerkennwort läuft ab". Den Zeitplan und die Mailvorlagekönnen die bei Bedarf im Designer anpassen.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen153
TIPP: Um zu verhindern, dass Kennwörter beispielsweise für Dienstkonten ablaufen,aktivieren Sie im Designer für die verwendeten Systembenutzer die OptionKennwort läuft nie ab (DialogUser.PasswordNeverExpires).
Weitere Informationen finden Sie im One Identity Manager Konfigurationshandbuch.
Überprüfung der Authentifizierung
Um zu verhindern, dass Benutzer mit ihren bestehenden Verbindungen arbeiten, wenn sieseit ihrer Anmeldung deaktiviert wurden, führt das System Gültigkeitsprüfungen aus.
Die Prüfung erfolgt bei der nächsten rechtebasierten Aktion auf der Verbindung nach einemfestgelegten Intervall von 20 Minuten.
TIPP: Das Intervall können Sie über den Konfigurationsparameter"Common\Authentication\CheckInterval" anpassen. Bearbeiten Sie denKonfigurationsparameter im Designer. Weitere Informationen finden Sie im OneIdentity Manager Konfigurationshandbuch.
One Identity Manager 8.0 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen154
12
Fehlerbehebung
Anzeigen der Transporthistorie undPrüfen der One Identity ManagerVersion
Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatumund der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden dasDatum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, derName des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet.
Um die Transporthistorie anzuzeigen
l Starten Sie den Designer und wählen Sie den Menüeintrag Hilfe |Transporthistorie.
Um einen Überblick über die Systemkonfiguration zu erhalten
l Starten Sie den Designer oder den Manager und wählen Sie den MenüeintragHilfe | Info.
Auf dem Tabreiter Systeminformationen erhalten Sie einen Überblick über IhreSystemkonfiguration. Stellen Sie diese Informationen bereit, wenn Sie den Supportkontaktieren.
HINWEIS: Wenn Sie die Lieferantenbenachrichtigung aktiviert haben, wirddieser Bericht einmal im Monat an One Identity gesendet.
Verwandte Themen
l Lieferantenbenachrichtigung im One Identity Manager auf Seite 70
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung155
Behandlung von Fehlern undWarnungen während derSystemkompilierung
HINWEIS: Alle Kompilierungsfehler und Warnungen werden während derKompilierung aufgezeichnet. Nach Abschluss der Kompilierung können Sie Fehler undWarnungen einsehen.
l Speichern Sie das Protokoll der Kompilierung über das Kontextmenü Protokollals Datei speichern....
l Korrigieren Sie die Fehler nach Beendigung der Kompilierung.
l Nach der Fehlerkorrektur kompilieren Sie die Datenbank erneut. Starten Siedazu den Kompilierungsvorgang im Designer über den MenüeintragDatenbank | Datenbank kompilieren....
Um Meldungen während der Kompilierung anzuzeigen und zu speichern
l Um eine Meldung anzuzeigen, wählen Sie die Schaltfläche Anzeigen. Es wird dasFehlermeldungsfenster geöffnet.
Zusätzlich zur Fehlermeldung wird eine umfangreichere Fehlerbeschreibungangezeigt. Den Umfang der dargestellten Informationen konfigurieren Sie über dieOptionen im Fehlermeldungsfenster. Öffnen Sie die Konfiguration über dieSchaltfläche und aktivieren oder deaktivieren Sie die gewünschten Optionen.
Option Bedeutung
VorhergehendeFehler anzeigen
Festlegung , ob alle vorhergehenden Fehler, die zumaktuellen Fehler führen, ebenfalls mit angezeigt werden.
One IdentityFehlernummernanzeigen
Festlegung, ob die interne Fehlernummer angezeigt wird.
Fehlerpositionanzeigen
Festlegung, ob die Fehlerposition im Programmcode mitangezeigt wird.
Lange Zeilenumbrechen
Festlegung, ob lange Fehlermeldungstexte mitZeilenumbruch angezeigt werden.
Nuranwenderrelevanteanzeigen
Festlegung, ob alle Fehlermeldungen oder nur als"anwenderrelevant" klassifizierte Fehler angezeigt werden.
Asynchrone Aufrufe Festlegung, ob Fehlermeldungen in asynchronen Metho-
Tabelle 52: Optionen zur Anzeige von Fehlermeldung
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung156
Option Bedeutung
anzeigen denaufrufen angezeigt werden sollen.
Crashberichtanzeigen
Festlegung, ob Fehlermeldungen aus dem Crashrecorderangezeigt werden sollen.
HINWEIS: Über die Schaltfläche Sende als Mail wird eine neue E-Mail-Nachricht im Standardmailprogramm erstellt und der Fehlermeldungstext indie Nachricht übernommen.
l Um alle Meldungen in eine Datei zu speichern, wählen Sie einen Eintrag undverwenden Sie das Kontextmenü Protokoll in Datei speichern....
l Um eine Meldung in die Zwischenablage einzufügen, wählen Sie den Eintrag undverwenden Sie Strg + C.
Treten Fehler auf, werden diese sofort während des Kompilierungsvorgangs in einemseparaten Protokollfenster angezeigt.
l Durch Maus-Doppelklick auf die Fehlermeldung im unteren Teil des Protokollfensterswird zur entsprechenden Zeile in der Quellcodeansicht (oberer Teil desDialogfensters) gesprungen. Die Quellcodeansicht dient lediglich zur Darstellung,eine Bearbeitung des Eintrages ist nicht möglich.
l Über die Schaltfläche Speichern speichern Sie die Fehlermeldungen in eine Datei.
l Über die Schaltfläche Schließen, schließen Sie das Fehlerprotokoll. Anschließendwird die Kompilierung fortgesetzt.
Abbildung 10: Ausgabe von Fehlermeldungen
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung157
Prüfen der Datenkonsistenz
Mit der Konsistenzprüfung werden verschiedene Tests zur Verfügung gestellt, um dieDatenbankobjekte hinsichtlich ihrer Datenbeschaffenheit zu analysieren. Nebenvordefinierten Tests können eigene Tests angewendet werden und bei Bedarf eineDatenreparatur ausgeführt werden.
HINWEIS: Eine Konsistenzprüfung sollten Sie in regelmäßigen Abständen sowie nachumfangreichen Änderungen an der Systemkonfiguration ausführen.
Die Konsistenzprüfung können Sie im Manager und im Designer ausführen. Datenbanktestwerden im Manager und im Designer vollständig durchgeführt. Bei Tabellentests undObjekttests im Manager werden die Daten des Anwendungsmodells geprüft und imDesigner die Daten des Systemdatenmodells geprüft.
HINWEIS: Es wird empfohlen Konsistenzprüfungen mit einem administrativenSystembenutzer auszuführen.
Konsistenzprüfungen vom Typ "Objekttest" werden immer im Kontext desangemeldeten Benutzers ausgeführt. Wenn der Benutzer keine Berechtigungen aufbestimmte Objekte hat, dann werden unter Umständen Fehler nicht erkannt oderFehlerreparaturen schlagen fehl.
Um eine Konsistenzprüfung auszuführen
1. Starten Sie den Konsistenzeditor im Designer oder im Manager über den MenüeintragDatenbank | Datenkonsistenz überprüfen....
Während des Starts werden die Tabellendefinitionen des One Identity ManagerSchemas geladen und die Datenbankobjekte zum Test bereitgestellt.
2. Legen Sie die Testoptionen fest.
3. Starten Sie die Konsistenzprüfung. Hierfür stehen im Konsistenzeditor folgendePrüfverfahren zur Verfügung:
l Prüfen aller Testobjekte
HINWEIS: Um einzelne Testobjekte von der Prüfung auszuschließen,wählen Sie diese vor Start der Prüfung in der Listenansicht desKonsistenzeditors aus und kennzeichnen diese über das KontextmenüDeaktivieren.
l Prüfen einzelner Testobjekte
Wählen Sie in der Listenansicht die gewünschten Testobjekte und starten Sieden Test über den Kontextmenüeintrag Überprüfen.
TIPP: Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrereTestobjekte für die Prüfung auswählen.
4. Prüfen Sie die Fehlerausgabe.
5. Führen Sie bei Bedarf eine Fehlerreparatur aus.
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung158
DBQueue Prozessor verarbeitet keineAufträge
Nach dem Wiederherstellen einer One Identity Manager-Datenbank aus einerDatenbanksicherung werden keine DBQueue Prozessor Aufträge verarbeitet.
Wenn der SQL Server in einer virtuellen Maschine läuft und die virtuelle Maschine wirdangehalten (suspend), werden nach dem Starten der virtuellen Maschine eventuell keineDBQueue Prozessor Aufträge verarbeitet.
Bei der Aktualisierung des One Identity Manager Schemas erhalten Sie im ConfigurationWizard die Meldung:
Cannot enable broker because of other users are active.
Wahrscheinliche Ursache
Der SQL Server Service Broker kann bei Initialisierung des DBQueue Prozessor kann nichtreaktiviert werden. Der Service Broker wird zur Kommunikation des DBQueue Prozessoreingesetzt.
Lösung
Führen Sie die folgenden Schritte mit einem geeigneten Query-Tool in der Datenbank aus.
1. Stoppen aller DBQueue Prozessor Komponenten.
exec QBM_PWatchDogPrepare 1
go
exec QBM_PDBQueuePrepare 1
go
2. Prüfen, ob noch weitere Sitzungen auf der Datenbank aktiv sind.
select *
from sys.sysprocesses p
where dbid = DB_ID()
and spid <> @@SPID
Sind noch weitere Sitzungen aktiv, müssen diese zunächst beendet werden.
3. Erstellen einer neuen Service Broker ID und Aktivieren der Nachrichtenauslieferung.
alter database <database name> set NEW_BROKER
go
alter database <database name> set enable_broker
go
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung159
4. Initialisieren des DBQueue Prozessor.
exec QBM_PDBQueuePrepare 0,1
go
exec QBM_PWatchDogPrepare
go
HINWEIS: Wenn Sie eine Test- oder Entwicklungsdatenbank aus einer Sicherungeiner anderen One Identity Manager-Datenbank erstellen, werden diese Schrittedurch den Database Compiler ausgeführt. Eine manuelle Ausführung der Schritte istin diesem Fall nicht notwendig. Weitere Informationen finden Sie unter Anhang:Erstellen einer One Identity Manager-Datenbank für eine Test- oderEntwicklungsumgebung aus einer Datenbanksicherung auf Seite 200.
Meldung: Enter email address inconfiguration parameter
Die Parameter SenderAddress oder Address in einem Prozess zum Versenden von E-MailBenachrichtigungen enthalten den Wert <Enter email address in configuration parameter"...">. Die Parameter eines Prozesses prüfen Sie im Job Queue Info.
Ist für den One Identity Manager Service die erweiterte Fehlerausgabe im Debugmoduseingerichtet, wird die Meldung zusätzlich in der Protokolldatei des One Identity ManagerService ausgegeben.
Wahrscheinliches Problem
Der One Identity Manager versendet bei verschiedenen Aktionen im System E-Mail-Benachrichtigungen. Das E-Mail Benachrichtigungssystem des One Identity Manager istnicht vollständig konfiguriert.
Lösung
l Prüfen Sie im Designer in der Kategorie Basisdaten | Allgemein |Konfigurationsparameter die Konfigurationsparameter für das E-MailBenachrichtigungssystem und passen Sie die Werte unternehmensspezifisch an.
HINWEIS: Zusätzlich zu den nachfolgend aufgeführtenKonfigurationsparametern können für die verschiedenenBenachrichtigungsprozesse weitere Konfigurationsparameter erforderlich sein.Einige Konfigurationsparameter stehen erst zur Verfügung wenn die Modulevorhanden sind.
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung160
Konfigurationsparameter Bedeutung
Common\InternationalEMail Der Parameter gibt an, ob internationaleDomänennamen beziehungsweiseUnicode-Zeichen in E-Mail-Adressenunterstützt werden.
WICHTIG: Der Mailserver mussdiese Funktion ebenfalls unter-stützen. Gegebenenfalls müssen Siedas Skript VID_IsSMTPAddressüberschreiben.
Common\MailNotification Angaben zur Benachrichtigung.
Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger)zum Versenden von Benachrichtigungen.
Common\MailNotification\DefaultCulture Standardsprachkultur, in der E-MailBenachrichtigungen versendet werden,wenn für einen Empfänger keineSprachkultur ermittelt werden kann.
Common\MailNotification\DefaultLanguage Standardsprache zum Versenden vonBenachrichtigungen.
Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zumVersenden von Benachrichtigungen.
Common\MailNotification\Encrypt Angabe, ob E-Mails verschlüsselt werdensollen.
Common\MailNo-tification\Encrypt\ConnectDC
Domänencontroller der Domäne, derverwendet werden soll.
Common\MailNo-tification\Encrypt\ConnectPassword
Benutzerkennwort. Die Angabe istoptional.
Common\MailNo-tification\Encrypt\ConnectUser
Benutzerkonto, mit dem das ActiveDirectory abgefragt wird. Die Angabe istoptional.
Common\MailNotification\Encrypt\DomainDN Distinguished Name der zudurchsuchenden Domäne.
Common\MailNo-tification\Encrypt\EncryptionCertificateScript
Skript, welches eine Liste vonVerschlüsselungszertifikaten liefert(Standard: QBM_GetCertificates).
Common\MailNo-tification\NotifyAboutWaitingJobs
Angabe, ob eine Benachrichtigunggesendet werden soll, wenn
Tabelle 53: Allgemeine Konfigurationsparameter für die Mailbenachrichtigung
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung161
Konfigurationsparameter Bedeutung
Prozessschritte eines bestimmtenAusführungszustandes in der Jobqueuesind.
Common\MailNo-tification\SignCertificateThumbprint
SHA1-Thumbprint des zur Signierung zuverwendenden Zertifikats. Dieses kann imMy-Store der Maschine oder desBenutzers liegen.
Common\MailNotification\SMTPAccount Name des Benutzerkontos zurAuthentifizierung am SMTP Server.
Common\MailNotification\SMTPDomain Domäne des Benutzerkontos zurAuthentifizierung am SMTP Server.
Common\MailNotification\SMTPPassword Kennwort des Benutzerkontos zurAuthentifizierung am SMTP Server.
Common\MailNotification\SMTPPort Port des SMTP-Dienstes auf dem SMTPServer (Standard: 25).
Common\MailNotification\SMTPRelay SMTP Server zum Versenden vonBenachrichtigungen.
Common\MailNo-tification\SMTPUseDefaultCredentials
Ist der Konfigurationsparameter aktiviert,werden zur Authentifizierung am SMTPServer die Anmeldeinformationen desOne Identity Manager Service verwendet.Ist der Konfigurationsparameter nichtaktiviert, werden die in denKonfigurationsparametern"Common\MailNotification\SMTPDomain"und"Common\MailNotification\SMTPAccount"bzw."Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationenverwendet.
Common\MailNotification\TransportSecurity Der Konfigurationsparameter definiertdas Verschlüsselungsverfahren beimVersenden vom E-MailBenachrichtigungen. Wird keine derfolgenden Optionen angegeben, so richtetsich das Verhalten nach dem Port (Port:25 = ohne Verschlüsselung, Port: 465 =mit SSL/TLS Verschlüsselung).
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung162
Konfigurationsparameter Bedeutung
HINWEIS: In den Prozessen zumVersenden von E-Mail Benach-richtigungen sind die Parameter fürdas zu nutzende Verschlüs-selungsverfahren deaktiviert. WennSie den Konfigurationsparameternutzen, passen Sie die Prozesseentsprechend an.
Wert Bedeutung
Auto AutomatischeErkennung desVerschlüsselungsverfahrens.
SSL Verschlüsseln dergesamten Sitzungmit SSL/TLS.
STARTTLS Verwenden derSTARTTLSMailserverErweiterung.
Schaltet die TLS-Verschlüsselungnach dem Greetingund dem Lesen derCapabilities desServers an. DieVerbindungscheitert, wenn derServer dieSTARTTLS-Erweiterung nichtunterstützt.
STARTTLSWhenAvailable
Verwenden derSTARTTLSMailserverErweiterung, wennverfügbar.
Tabelle 54: Zulässige Werte
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung163
Konfigurationsparameter Bedeutung
Wert Bedeutung
Schaltet die TLS-Verschlüsselungnach dem Greetingund dem Lesen derCapabilities desServers an, jedochnur, wenn dieser dieSTARTTLS-Erweiterungunterstützt.
Common\MailNotification\VendorNotification Aktivierung der E-Mail Adresse derKontaktperson ihres Unternehmens. DieE-Mail-Adresse wird als Antwortadressefür die Lieferantenbenachrichtigungverwendet.
Ist der Konfigurationsparameter aktiviert,erzeugt der One Identity Manager einmalim Monat eine Liste derSystemeinstellungen und sendet die Listean One Identity. Diese Liste enthält keinepersonenbezogenen Daten. Sie könnendie aktuellsten Systeminformationenjederzeit aus dem Menü Hilfe | Info...überprüfen. Die Liste wird von unseremKunden-Support-Team proaktiv überprüft,welches nach wesentlichen Änderungenschaut um mögliche Probleme zuidentifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen könnenvon unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zuTestzwecken verwendet werden. DieseInformationen behalten Gültigkeit,solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produktbezieht.
Konfigurationsparameter Beschreibung
QER\Attestation\DefaultSenderAddress Der Konfi-gurationsparameter
Tabelle 55: Zusätzliche Konfigurationsparameter für E-Mail-Adressen für dieMailbenachrichtigung
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung164
Konfigurationsparameter Beschreibung
enthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen für dieAttestierung.
QER\Com-plianceCheck\EmailNotification\DefaultSenderAddress
Der Konfi-gurationsparameterenthält die Absender-E-Mail-Adresse für automa-tisch generierteNachrichten innerhalbder Regelprüfung.
QER\ITShop\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen innerhalbdes IT Shop.
QER\Policy\EmailNotification\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierteNachrichten innerhalbder Überprüfung vonUnter-nehmensrichtlinien.
QER\RPS\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen.
TargetSystem\ADS\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemActive Directory.
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung165
Konfigurationsparameter Beschreibung
TargetSystem\ADS\Exchange2000\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemMicrosoft Exchange.
TargetSystem\ADS\MemberShipRestriction\MailNotification Der Konfi-gurationsparameterenthält die Standard-Mailadresse zumVersenden vonWarnmails.
TargetSystem\AzureAD\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemAzure Active Directory.
TargetSystem\AzureAD\ExchangeOnline\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemExchange Online.
TargetSystem\CSM\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im Cloud -Zielsystem.
TargetSystem\LDAP\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung166
Konfigurationsparameter Beschreibung
richtigungen überAktionen im ZielsystemLDAP.
TargetSystem\NDO\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemIBM Notes.
TargetSystem\SAPR3\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemSAP R/3.
TargetSystem\SharePoint\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemSharePoint.
TargetSystem\Unix\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im Unix-basierten Zielsystem.
TargetSystem\UNS\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im kunden-definierten Zielsystem.
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung167
Datenbankfehler 50000: Jobqueue isnot empty. This may cause in deadlockswhile compiling database.
Problem
In der Jobqueue befinden sich Prozesse, deren Verarbeitung vor der Aktualisierung derDatenbank abgeschlossen sein muss. Die Aktualisierung der Datenbank startet nicht.
Lösung
l Stellen Sie sicher, dass die Prozesse in der Jobqueue und die Aufträge in derDBQueue vor dem Start der Aktualisierung verarbeitet wurden. Zum Zeitpunkt derAktualisierung der Datenbank sollten sich keine Einträge in der Jobqueue und derDBQueue befinden.
Datenbankfehler bei der Migration einerDatenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen
Während der Aktualisierung des One Identity Manager Schemas tritt folgendeFehlermeldung auf:
Database error 1468: The operation cannot be performed on database "<database name>"because it is involved in a database mirroring session or an availability group. Someoperations are not allowed on a database that is participating in a database mirroringsession or in an availability group. ALTER DATABASE statement failed.
Problem
Die Datenbank ist Bestandteil einer AlwaysOn-Verfügbarkeitsgruppe und der SQL ServerService Broker ist nicht mehr vorhanden. Während der Aktualisierung des One IdentityManager Schemas wird versucht den SQL Server Service Broker wieder anzulegen.
Lösung
1. Entfernen Sie die Datenbank aus der AlwaysOn-Verfügbarkeitsgruppe.
2. Aktualisieren Sie das One Identity Manager Schema. Dabei wird auch wieder der SQLServer Service Broker erzeugt.
3. Nehmen Sie die Datenbank wieder in die AlwaysOn-Verfügbarkeitsgruppe auf.
One Identity Manager 8.0 Installationshandbuch
Fehlerbehebung168
A
Anhang: One Identity ManagerAuthentifizierungsmodule
HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulendefiniert und stehen erst zur Verfügung, wenn die Module installiert sind.
Folgende Authentifizierungsmodule sind verfügbar.
Systembenutzer
Anmeldeinformationen Bezeichnung und Kennwort des Systembenutzers.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
nein
Bemerkungen Die Benutzeroberfläche und Bearbeitungsrechte werden überden Systembenutzer geladen.
Datenänderungen werden dem Systembenutzer zugeordnet.
WICHTIG: Standardmäßig ist der Systembenutzer "viadmin" vorhanden. Der System-benutzer "viadmin" hat die vordefinierte Benutzeroberfläche und die Zugriffsrechteauf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur fürden "viadmin" sollten Sie nicht produktiv nutzen beziehungsweise verändern, dadieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierungüberschrieben wird.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule169
TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechendenBerechtigungen. Dies kann bereits bei der initialen Installation der One IdentityManager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompiliereneiner initialen One Identity Manager-Datenbank und zur ersten Anmeldung an denAdministrationswerkzeugen nutzen.
Person
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Zentrales Benutzerkonto und Kennwort der Person.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist das zentrale Benut-zerkonto eingetragen.
l In den Personenstammdaten ist der Systembenutzer einge-tragen.
l In den Personenstammdaten ist das Kennwort einge-tragen.
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der angemeldeten Persondirekt zugeordnet ist.
Datenänderungen werden der angemeldeten Person zugeordnet.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule170
Single Sign-on generisch (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Das Benutzerkonto ist in der One Identity Manager-Datenbankvorhanden und in den Stammdaten des Benutzerkontos ist diePerson eingetragen.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Der One Identity Manager sucht laut Konfiguration dasBenutzerkonto und ermittelt die Person, die dem Benutzerkontozugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden der angemeldeten Person zugeordnet.
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule171
Konfigurationsparameter Bedeutung
QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\SearchTable
Der Konfigurationsparameter enthält die Tabelle imOne Identity Manager Schema in der dieBenutzerinformationen hinterlegt werden. DieTabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.
Beispiel: ADSAccount
QER\Person\GenericAuthenticator\SearchColumn
Der Konfigurationsparameter enthält die Spalte ausder One Identity Manager-Tabelle (SearchTable), diezur Suche des Benutzernamens des angemeldetenBenutzers verwendet wird.
Beispiel: CN
QER\Person\GenericAuthenticator\EnabledBy
Der Konfigurationsparameter enthält eine durch Pipe(|) getrennte Liste von Boolean-Spalten aus der OneIdentity Manager-Tabelle (SearchTable), die dasBenutzerkonto für die Anmeldung aktiviert.
QER\Person\GenericAuthenticator\DisabledBy
Der Konfigurationsparameter enthält eine durch Pipe(|) getrennte Liste von Boolean-Spalten aus der OneIdentity Manager-Tabelle (SearchTable), die dasBenutzerkonto für die Anmeldung deaktiviert.
Beispiel: AccountDisabled
Tabelle 56: Konfigurationsparameter für das Authentifizierungsmodul
Person (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Zentrales Benutzerkonto und Kennwort der Person.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist das zentrale Benut-zerkonto eingetragen.
l In den Personenstammdaten ist das Kennwort einge-tragen.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Aktiviert im Standard ja
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule172
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden der angemeldeten Person zugeordnet.
Person (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Zentrales Benutzerkonto der Person und Kennwort der Person.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist das zentrale Benut-zerkonto eingetragen.
l In den Personenstammdaten ist das Kennwort einge-tragen.
Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
ja
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule173
Anmeldung am WebPortal möglich
ja
Bemerkungen Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Über die Konfigurationsdaten der Anwendung wird einSystembenutzer ermittelt und der Person dynamischzugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechtewerden über den Systembenutzer geladen, der derangemeldeten Person dynamisch zugeordnet ist.
Datenänderungen werden der angemeldeten Person zugeordnet.
Benutzerkonto
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten sind die zulässigen Anmel-dungen eingetragen. Die Anmeldungen werden in derForm: Domäne\Benutzer erwartet.
l In den Personenstammdaten ist der Systembenutzer einge-tragen.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule174
Bemerkungen Es werden die, in der One Identity Manager-Datenbankhinterlegten, Anmeldungen aller Personen ermittelt. ZurAnmeldung wird die Person verwendet, deren eingetrageneAnmeldung mit den Anmeldeinformationen des angemeldetenBenutzers übereinstimmt.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Benutzerkonto (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten sind die zulässigen Anmel-dungen eingetragen. Die Anmeldungen werden in derForm: Domäne\Benutzer erwartet.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Es werden die, in der One Identity Manager-Datenbank
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule175
hinterlegten, Anmeldungen aller Personen ermittelt. ZurAnmeldung wird die Person verwendet, deren eingetrageneAnmeldung mit den Anmeldeinformationen des angemeldetenBenutzers übereinstimmt.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Kontenbasierter Systembenutzer
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
l In den Stammdaten des Systembenutzers sind die zuläs-sigen Anmeldungen eingetragen. Die Anmeldungen werdenin der Form: Domäne\Benutzer erwartet.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
nein
Bemerkungen Es werden die, in der One Identity Manager-Datenbankhinterlegten, Anmeldungen aller Systembenutzer ermittelt. ZurAnmeldung wird der Systembenutzer verwendet, dereneingetragene Anmeldung mit den Anmeldeinformationen desangemeldeten Benutzers übereinstimmt.
Die Benutzeroberfläche und die Bearbeitungsrechte werden über
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule176
den Systembenutzer geladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Active Directory Benutzerkonto
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Die Person ist in der One Identity Manager-Datenbankvorhanden und in den Personenstammdaten ist derSystembenutzer eingetragen.
Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Aktiviert im Standard ja
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und dieDomäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist. Ist der Person kein Systembenutzer zugeordnet,
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule177
wird der Systembenutzer aus dem Konfigurationsparameter"SysConfig\Logon\DefaultUser" ermittelt.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Optionautomatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneuteAuthentifizierung notwendig.
Active Directory Benutzerkonto (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Aktiviert im Standard ja
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und dieDomäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule178
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Optionautomatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneuteAuthentifizierung notwendig.
Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.
Anmeldeinformationen Anmeldename und Kennwort zur Anmeldung am ActiveDirectory. Die Angabe der Domäne ist nicht erforderlich.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Die zulässigen Domänen für die Anmeldung sind imKonfigurationsparameter"TargetSystem\ADS\AuthenticationDomains" eingetragen.
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Anhand einer vordefinierten Liste von zulässigen ActiveDirectory Domänen wird die Identität des Benutzers ermittelt. Eswerden in der One Identity Manager-Datenbank dasentsprechende Benutzerkonto und die Person ermittelt, die demBenutzerkonto zugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule179
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Active Directory Benutzerkonto (manuelle Eingabe)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.
Anmeldeinformationen Anmeldename und Kennwort zur Anmeldung am ActiveDirectory. Die Angabe der Domäne ist nicht erforderlich.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Die zulässigen Domänen für die Anmeldung sind imKonfigurationsparameter"TargetSystem\ADS\AuthenticationDomains" eingetragen.
Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.
Aktiviert im Standard nein
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Anhand einer vordefinierten Liste von zulässigen ActiveDirectory Domänen wird die Identität des Benutzers ermittelt. Eswerden in der One Identity Manager-Datenbank dasentsprechende Benutzerkonto und die Person ermittelt, die demBenutzerkonto zugeordnet ist.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule180
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Über die Konfigurationsdaten der Anwendung wird einSystembenutzer ermittelt und der Person dynamischzugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechtewerden über den Systembenutzer geladen, der derangemeldeten Person dynamisch zugeordnet ist.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Active Directory Benutzerkonto (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.
Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und die
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule181
Domäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Über die Konfigurationsdaten der Anwendung wird einSystembenutzer ermittelt und der Person dynamischzugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechtewerden über den Systembenutzer geladen, der derangemeldeten Person dynamisch zugeordnet ist.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Optionautomatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneuteAuthentifizierung notwendig.
LDAP Benutzerkonto (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modulvorhanden ist.
Anmeldeinformationen Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.
Kennwort des LDAP Benutzerkontos.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.
Aktiviert im Standard nein
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule182
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Bei der Anmeldung über den Anmeldenamen, die Bezeichnungoder die Benutzer-ID wird über die Domäne des Containers dasentsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definiertenNamen, wird dieser direkt verwendet. Der One Identity Managerermittelt die Person, die dem LDAP Benutzerkonto zugeordnetist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Über die Konfigurationsdaten der Anwendung wird einSystembenutzer ermittelt und der Person dynamischzugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechtewerden über den Systembenutzer geladen, der derangemeldeten Person dynamisch zugeordnet ist.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.
Konfigurationsparameter Bedeutung
TargetSystem\LDAP\Authentication Der Konfigurationsparameter erlaubtdie Konfiguration der LDAPAuthentifizierungsmodule.
TargetSystem\LDAP\Authentication\Authentication Der Konfigurationsparameter legtden Authentifizierungsmechanismusfest. Gültige Werte sind "Secure","Encryption", "SecureSocketsLayer","ReadonlyServer", "Anonymous","FastBind", "Signing", "Sealing",
Tabelle 57: Konfigurationsparameter für das Authentifizierungsmodul
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule183
Konfigurationsparameter Bedeutung
"Delegation" und "ServerBind". DieWerte können mit Komma (,)kombiniert werden. AusführlicheInformationen zu denAuthentifizierungsarten finden Sie inder MSDN Library.
Standard ist ServerBind.
TargetSystem\LDAP\Authentication\Port Port des LDAP Servers. Standard istPort 389.
TargetSystem\LDAP\Authentication\RootDN Der Konfigurationsparameter enthältden Distinguished Name der Root-Domäne.
Syntax:
dc=MyDomain
TargetSystem\LDAP\Authentication\Server Der Konfigurationsparameter enthältden Namen des LDAP Servers.
LDAP Benutzerkonto (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modulvorhanden ist.
Anmeldeinformationen Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.
Kennwort des LDAP Benutzerkontos.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.
Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.
Aktiviert im Standard nein
Single Sign-on nein
Anmeldung am ja
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule184
Frontend möglich
Anmeldung am WebPortal möglich
ja
Bemerkungen Bei der Anmeldung über den Anmeldenamen, die Bezeichnungoder die Benutzer-ID wird über die Domäne des Containers dasentsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definiertenNamen, wird dieser direkt verwendet. Der One Identity Managerermittelt die Person, die dem LDAP Benutzerkonto zugeordnetist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.
Konfigurationsparameter Bedeutung
TargetSystem\LDAP\Authentication Der Konfigurationsparameter erlaubtdie Konfiguration der LDAPAuthentifizierungsmodule.
TargetSystem\LDAP\Authentication\Authentication Der Konfigurationsparameter legtden Authentifizierungsmechanismusfest. Gültige Werte sind "Secure","Encryption", "SecureSocketsLayer","ReadonlyServer", "Anonymous","FastBind", "Signing", "Sealing","Delegation" und "ServerBind". DieWerte können mit Komma (,)kombiniert werden. AusführlicheInformationen zu den
Tabelle 58: Konfigurationsparameter für das Authentifizierungsmodul
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule185
Konfigurationsparameter Bedeutung
Authentifizierungsarten finden Sie inder MSDN Library.
Standard ist ServerBind.
TargetSystem\LDAP\Authentication\Port Port des LDAP Servers. Standard istPort 389.
TargetSystem\LDAP\Authentication\RootDN Der Konfigurationsparameter enthältden Distinguished Name der Root-Domäne.
Syntax:
dc=MyDomain
TargetSystem\LDAP\Authentication\Server Der Konfigurationsparameter enthältden Namen des LDAP Servers.
HTTP Header (rollenbasiert)
Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-OnLösungen, die mit einer Proxy basierten Architektur arbeiten.
Anmeldeinformationen Zentrales Benutzerkonto oder Personalnummer der Person.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist das zentrale Benut-zerkonto oder die Personalnummer eingetragen.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Aktiviert im Standard ja
Single Sign-on ja
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
ja
Bemerkungen Im HTTP Header muss der Benutzername (in der Form: username= <Benutzername des authentifizierten Benutzers>) übergebenwerden. In der One Identity Manager-Datenbank wird die Personermittelt, deren zentrales Benutzerkonto oder Personalnummermit dem übergebenen Benutzernamen übereinstimmt.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule186
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden der angemeldeten Person zugeordnet.
HTTP Header
Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-OnLösungen, die mit einer Proxy-basierten Architektur arbeiten.
Anmeldeinformationen Zentrales Benutzerkonto oder Personalnummer der Person.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist das zentrale Benut-zerkonto oder die Personalnummer eingetragen.
l In den Personenstammdaten ist der Systembenutzer einge-tragen.
Aktiviert im Standard nein
Single Sign-on ja
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
ja
Bemerkungen Im HTTP Header muss der Benutzername (in der Form: username= <Benutzername des authentifizierten Benutzers>) übergebenwerden. In der One Identity Manager-Datenbank wird die Personermittelt, deren zentrales Benutzerkonto oder Personalnummermit dem übergebenen Benutzernamen übereinstimmt.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule187
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der angemeldeten Persondirekt zugeordnet ist. Ist der Person kein Systembenutzerzugeordnet, wird der Systembenutzer aus demKonfigurationsparameter "SysConfig\Logon\DefaultUser"ermittelt.
Datenänderungen werden der angemeldeten Person zugeordnet.
OAuth 2.0/OpenID Connect
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 undOpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Siebeispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.
Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure TokenService) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendiensteingesetzt werden, der OAuth 2.0 Token zurückgeben kann.
Anmeldeinformationen Abhängig vom Authentifizierungsverfahren desSicherheitstokendienstes.
Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.
Die Person ist in der One Identity Manager-Datenbankvorhanden.
l In den Personenstammdaten ist der Systembenutzer einge-tragen.
Das Benutzerkonto ist in der One Identity Manager-Datenbankvorhanden und in den Stammdaten des Benutzerkontos ist diePerson eingetragen.
Aktiviert im Standard nein
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Der One Identity Manager ermittelt die Person, die demBenutzerkonto zugeordnet ist.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule188
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Die Benutzeroberfläche und Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet. Dafür muss der Claim-Typ bekannt sein,dessen Wert zur Kennzeichnung der Datenänderungenverwendet wird.
Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an.Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wirdein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermitteltwird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an.Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wirdzunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zuermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Umdas Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher infolgender Reihenfolge abgefragt:
1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
a. Zertifikatstext (QBMWebApplication.CertificateText) .
b. Subject oder Fingerabdruck aus dem lokalen Speicher(QBMWebApplication.OAuthCertificateSubject undQBMWebApplication.OAuthCertificateThumbPrint).
c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal existieren.
2. Konfigurationsparameter
a. Zertifikatstext (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateText").
b. Subject oder Fingerabdruck aus dem lokalen Speicher(Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateSubject" und"QER\Person\OAuthAuthenticator\CertificateThumbPrint").
c. Zertifikatsendpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateEndpoint").
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule189
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal exisitieren.
d. JSON-Web-Key-Endpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").
Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem dieBenutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationendes One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID ConnectAuthentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einemID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenIDConnect sind weitere Konfigurationseinstellungen erforderlich. Ist imKonfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid"enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.
Konfi-gurationsparameter
Bedeutung
QER\Per-son\OAuthAuthenticator
Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Sicherheitstoken unterstützt wird.
QER\Per-son\OAuthAuthenticator\CertificateEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Zertifikatsendpunkts auf dem Autori-sierungsserver.
Beispiel: https://localhost/RSTS/SigningCertificate
QER\Per-son\OAuthAuthenticator\CertificateSubject
Der Konfigurationsparameter enthält das Subject des Zerti-fikats, das zur Überprüfung verwendet wird. Subject oderFingerabdruck müssen gesetzt sein.
QER\Per-son\OAuthAuthenticator\CertificateThumbPrint
Der Konfigurationsparameter enthält den Fingerabdruck deszu verwendenden Zertifikates zur Prüfung des Sicher-heitstokens.
QER\Per-son\OAuthAuthenticator\ClientID
Der Konfigurationsparameter legt fest, ob Client-Anwen-dungen die Authentifizierung unterstützen.
QER\Per-son\OAuthAuthenticator\ClientID\Web
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der Web Anwendung, welche die Authen-tifizierung unterstützt.
Beispiel: urn:OneIdentityManager/Web
QER\Per-son\OAuthAuthenticator\
Der Konfigurationsparameter enthält Uniform ResourceName (URN) der nativen Anwendung, welche die Authen-
Tabelle 59: Konfigurationsparameter für das Authentifizierungsmodul
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule190
Konfi-gurationsparameter
Bedeutung
ClientID\Windows tifizierung unterstützt.
Beispiel: urn:OneIdentityManager/WinClient
QER\Per-son\OAuthAuthenticator\DisabledByColumns
Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung deaktiviert.
Beispiel: AccountDisabled
QER\Per-son\OAuthAuthenticator\EnabledByColumns
Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung aktiviert.
QER\Per-son\OAuthAuthenticator\IssuerName
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) des Aussteller des Zertifikates zur Prüfung desSicherheitstokens.
Beispiel: urn:RSTS/identity
QER\Per-son\OAuthAuthenticator\LoginEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) der erweiterten Anmeldeseite des Sicher-heitstokendienstes.
Beispiel: http://localhost/rsts/login
QER\Per-son\OAuthAuthenticator\Resource
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der abzufragenden Ressource, zum Beispiel fürADFS.
QER\Per-son\OAuthAuthenticator\SearchClaim
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs aus dem die Anmeld-einformationen ermittelt werden.
Beispiel: Name einer Entität
http://-schemas.xml-soap.org/ws/2005/05/identity/claims/nameidentifier
QER\Per-son\OAuthAuthenticator\SearchColumn
Der Konfigurationsparameter enthält die Spalte aus der OneIdentity Manager-Tabelle (SearchTable), die zur Suche derBenutzerinformationen verwendet wird. Entsprechung desClaim-Typs (SearchClaim) im One Identity ManagerSchema.
Beispiel: ObjectGUID
QER\Per-son\OAuthAuthenticator\
Der Konfigurationsparameter enthält die Tabelle im OneIdentity Manager Schema in der die Benutzerinformationen
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule191
Konfi-gurationsparameter
Bedeutung
SearchTable hinterlegt werden. Die Tabelle muss einen Fremdschlüsselnamens UID_Person enthalten, der auf die Tabelle Personzeigt.
Beispiel: ADSAccount
QER\Per-son\OAuthAuthenticator\TokenEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Tokenendpunktes des Autori-sierungsservers für die Rückgabe des Zugriffstokens an denClient für die Anmeldung.
Beispiel: https://localhost/rsts/oauth2/token
QER\Per-son\OAuthAuthenticator\UserNameClaim
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs, der verwendet wird, umDatenänderungen zu kennzeichnen (XUserInserted, XUserUp-dated).
Beispiel: User Principal Name (UPN)
http://-schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
QER\Per-son\OAuthAuthenticator\InstalledRedirectUri
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) zur Weiterleitung für installierte Appli-kationen.
Beispiel: urn:InstalledApplication
QER\Per-son\OAuthAuthenticator\AllowSel-fSignedCertsForTLS
Der Konfigurationsparameter legt fest, ob die Nutzung vonselbstsignierten Zertifikaten bei der Verbindung zum Token-und User Info Endpunkt erlaubt ist.
QER\Per-son\OAuthAuthenticator\CertificateText
Der Konfigurationsparameter enthält den Inhalt des Zerti-fikats als Base64-kodierte Zeichenkette. Es wird nurbenutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.
QER\Per-son\OAuthAuthenticator\JsonWebKeyEndpoint
Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert.Derzeit werden nur JWK-Dateien unterstützt, die die Zerti-fikate im x5c-Feld (Certificate Chain) enthalten.
QER\Per-son\OAuthAuthenticator\LogoutEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Abmelde-Endpunktes.
Beispiel: http://localhost/rsts/login?wa=wsignout1.0
QER\Per-son\OAuthAuthenticator\SharedSecret
Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunktgenutzt wird.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule192
Konfigurationsparameter Bedeutung
QER\Person\OAuthAuthenticator\Scope
Der Konfigurationsparameter legt das Protokolls fürdie Authentifizierung fest. Besitzt der Konfi-gurationsparameter einen Wert "openid", wird OpenIDConnect verwendet, ansonsten OAuth2.
QER\Person\OAuthAuthenticator\UserInfoEndpoint
Der Konfigurationsparameter enthält den UniformResource Locator (URL) des OpenID Connect User InfoEndpunktes.
Tabelle 60: Zusätzliche Konfigurationsparameter für OpenID Connect
OAuth 2.0/OpenID Connect (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.
Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 undOpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Siebeispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.
Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure TokenService) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendiensteingesetzt werden, der OAuth 2.0 Token zurückgeben kann.
Anmeldeinformationen Abhängig vom Authentifizierungsverfahren desSicherheitstokendienstes.
Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.
Die Person ist mindestens einer Anwendungsrolle zugewiesen.
Das Benutzerkonto ist in der One Identity Manager-Datenbankvorhanden und in den Stammdaten des Benutzerkontos ist diePerson eingetragen.
Aktiviert im Standard nein
Single Sign-on nein
Anmeldung amFrontend möglich
ja
Anmeldung am WebPortal möglich
ja
Bemerkungen Der One Identity Manager ermittelt die Person, die demBenutzerkonto zugeordnet ist.
Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule193
l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.
l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.
Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.
Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet. Dafür muss der Claim-Typ bekannt sein,dessen Wert zur Kennzeichnung der Datenänderungenverwendet wird.
Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an.Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wirdein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermitteltwird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an.Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wirdzunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zuermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Umdas Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher infolgender Reihenfolge abgefragt:
1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
a. Zertifikatstext (QBMWebApplication.CertificateText) .
b. Subject oder Fingerabdruck aus dem lokalen Speicher(QBMWebApplication.OAuthCertificateSubject undQBMWebApplication.OAuthCertificateThumbPrint).
c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal existieren.
2. Konfigurationsparameter
a. Zertifikatstext (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateText").
b. Subject oder Fingerabdruck aus dem lokalen Speicher(Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateSubject" und"QER\Person\OAuthAuthenticator\CertificateThumbPrint").
c. Zertifikatsendpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateEndpoint").
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal exisitieren.
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule194
d. JSON-Web-Key-Endpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").
Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem dieBenutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationendes One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID ConnectAuthentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einemID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenIDConnect sind weitere Konfigurationseinstellungen erforderlich. Ist imKonfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid"enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.
Konfi-gurationsparameter
Bedeutung
QER\Per-son\OAuthAuthenticator
Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Sicherheitstoken unterstützt wird.
QER\Per-son\OAuthAuthenticator\CertificateEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Zertifikatsendpunkts auf dem Autori-sierungsserver.
Beispiel: https://localhost/RSTS/SigningCertificate
QER\Per-son\OAuthAuthenticator\CertificateSubject
Der Konfigurationsparameter enthält das Subject des Zerti-fikats, das zur Überprüfung verwendet wird. Subject oderFingerabdruck müssen gesetzt sein.
QER\Per-son\OAuthAuthenticator\CertificateThumbPrint
Der Konfigurationsparameter enthält den Fingerabdruck deszu verwendenden Zertifikates zur Prüfung des Sicher-heitstokens.
QER\Per-son\OAuthAuthenticator\ClientID
Der Konfigurationsparameter legt fest, ob Client-Anwen-dungen die Authentifizierung unterstützen.
QER\Per-son\OAuthAuthenticator\ClientID\Web
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der Web Anwendung, welche die Authen-tifizierung unterstützt.
Beispiel: urn:OneIdentityManager/Web
QER\Per-son\OAuthAuthenticator\ClientID\Windows
Der Konfigurationsparameter enthält Uniform ResourceName (URN) der nativen Anwendung, welche die Authen-tifizierung unterstützt.
Beispiel: urn:OneIdentityManager/WinClient
QER\Per- Der Konfigurationsparameter enthält eine durch Pipe (|)
Tabelle 61: Konfigurationsparameter für das Authentifizierungsmodul
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule195
Konfi-gurationsparameter
Bedeutung
son\OAuthAuthenticator\DisabledByColumns
getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung deaktiviert.
Beispiel: AccountDisabled
QER\Per-son\OAuthAuthenticator\EnabledByColumns
Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung aktiviert.
QER\Per-son\OAuthAuthenticator\IssuerName
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) des Aussteller des Zertifikates zur Prüfung desSicherheitstokens.
Beispiel: urn:RSTS/identity
QER\Per-son\OAuthAuthenticator\LoginEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) der erweiterten Anmeldeseite des Sicher-heitstokendienstes.
Beispiel: http://localhost/rsts/login
QER\Per-son\OAuthAuthenticator\Resource
Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der abzufragenden Ressource, zum Beispiel fürADFS.
QER\Per-son\OAuthAuthenticator\SearchClaim
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs aus dem die Anmeld-einformationen ermittelt werden.
Beispiel: Name einer Entität
http://-schemas.xml-soap.org/ws/2005/05/identity/claims/nameidentifier
QER\Per-son\OAuthAuthenticator\SearchColumn
Der Konfigurationsparameter enthält die Spalte aus der OneIdentity Manager-Tabelle (SearchTable), die zur Suche derBenutzerinformationen verwendet wird. Entsprechung desClaim-Typs (SearchClaim) im One Identity ManagerSchema.
Beispiel: ObjectGUID
QER\Per-son\OAuthAuthenticator\SearchTable
Der Konfigurationsparameter enthält die Tabelle im OneIdentity Manager Schema in der die Benutzerinformationenhinterlegt werden. Die Tabelle muss einen Fremdschlüsselnamens UID_Person enthalten, der auf die Tabelle Personzeigt.
Beispiel: ADSAccount
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule196
Konfi-gurationsparameter
Bedeutung
QER\Per-son\OAuthAuthenticator\TokenEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Tokenendpunktes des Autori-sierungsservers für die Rückgabe des Zugriffstokens an denClient für die Anmeldung.
Beispiel: https://localhost/rsts/oauth2/token
QER\Per-son\OAuthAuthenticator\UserNameClaim
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs, der verwendet wird, umDatenänderungen zu kennzeichnen (XUserInserted, XUserUp-dated).
Beispiel: User Principal Name (UPN)
http://-schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
QER\Per-son\OAuthAuthenticator\InstalledRedirectUri
Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) zur Weiterleitung für installierte Appli-kationen.
Beispiel: urn:InstalledApplication
QER\Per-son\OAuthAuthenticator\AllowSel-fSignedCertsForTLS
Der Konfigurationsparameter legt fest, ob die Nutzung vonselbstsignierten Zertifikaten bei der Verbindung zum Token-und User Info Endpunkt erlaubt ist.
QER\Per-son\OAuthAuthenticator\CertificateText
Der Konfigurationsparameter enthält den Inhalt des Zerti-fikats als Base64-kodierte Zeichenkette. Es wird nurbenutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.
QER\Per-son\OAuthAuthenticator\JsonWebKeyEndpoint
Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert.Derzeit werden nur JWK-Dateien unterstützt, die die Zerti-fikate im x5c-Feld (Certificate Chain) enthalten.
QER\Per-son\OAuthAuthenticator\LogoutEndpoint
Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Abmelde-Endpunktes.
Beispiel: http://localhost/rsts/login?wa=wsignout1.0
QER\Per-son\OAuthAuthenticator\SharedSecret
Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunktgenutzt wird.
Konfigurationsparameter Bedeutung
QER\Person\OAuthAuthenticator\Scope
Der Konfigurationsparameter legt das Protokolls fürdie Authentifizierung fest. Besitzt der Konfi-
Tabelle 62: Zusätzliche Konfigurationsparameter für OpenID Connect
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule197
Konfigurationsparameter Bedeutung
gurationsparameter einen Wert "openid", wird OpenIDConnect verwendet, ansonsten OAuth2.
QER\Person\OAuthAuthenticator\UserInfoEndpoint
Der Konfigurationsparameter enthält den UniformResource Locator (URL) des OpenID Connect User InfoEndpunktes.
Synchronisationsauthenticator
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ModulZielsystemsynchronisation vorhanden ist.
Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung desSynchronization Editor.
Anmeldeinformationen Die Anmeldung erfolgt über den Systembenutzer "sa".
Voraussetzungen
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
nein
Bemerkungen Den Systembenutzer "sa" sollten Sie nicht verändern, da dieserbei jeder Schemaaktualisierung überschrieben wird.
Web Agent Authenticator
Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des WebDesigner, um vor der ersten Benutzeranmeldung auf die Datenbank zuzugreifen.
Anmeldeinformationen Die Anmeldung erfolgt über den Systembenutzer "sa".
Voraussetzungen
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
nein
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule198
Bemerkungen Den Systembenutzer "sa" sollten Sie nicht verändern, da dieserbei jeder Schemaaktualisierung überschrieben wird.
Component Authenticator
Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung derProzesskomponenten.
Anmeldeinformationen Die Anmeldung erfolgt über den Systembenutzer "sa".
Voraussetzungen
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
nein
Bemerkungen Den Systembenutzer "sa" sollten Sie nicht verändern, da dieserbei jeder Schemaaktualisierung überschrieben wird.
Crawler
Das Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes fürdie Volltextsuche über die Datenbank verwendet.
Anmeldeinformationen Die Anmeldung erfolgt über den Systembenutzer "sa".
Voraussetzungen
Aktiviert im Standard ja
Single Sign-on nein
Anmeldung amFrontend möglich
nein
Anmeldung am WebPortal möglich
nein
Bemerkungen Den Systembenutzer "sa" sollten Sie nicht verändern, da dieserbei jeder Schemaaktualisierung überschrieben wird.
Verwandte Themen
l Aktivieren weiterer Authentifizierungsmodule auf Seite 152
One Identity Manager 8.0 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule199
B
Anhang: Erstellen einer One IdentityManager-Datenbank für eine Test-oder Entwicklungsumgebung aus
einer Datenbanksicherung
Um eine Testdatenbank oder eine Entwicklungsdatenbank aus einerDatenbanksicherung von einem anderen System zu erstellen
1. Erstellen Sie eine neue Datenbank auf dem Datenbankserver in derReferenzumgebung.
2. Erstellen Sie eine Datenbanksicherung der Originaldatenbank.
3. Spielen Sie die Datenbanksicherung in die Referenzdatenbank ein.
4. Stellen Sie die Berechtigungen für die Datenbankbenutzer auf dem Datenbankserverwieder her.
5. Kompilieren Sie die Datenbank mit dem Database Compiler.
Mit dem Database Compiler passen Sie die Verbindungsdaten zur Datenbank an undkompilieren alle Skripte und Prozesse der Datenbank.
a. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbankkompilieren. Der Database Compiler wird gestartet.
b. Auf der Startseite des Database Compiler klicken SieWeiter.
c. Auf der Seite Verbindung zur Datenbank herstellen erfassen Sie dieVerbindungsdaten zur One Identity Manager-Datenbank und klicken SieWeiter.
d. Es wird die Überprüfung der Datenbank-ID ausgeführt. Wird während derPrüfung festgestellt, dass die Datenbank-ID nicht korrekt ist, werden Sieaufgefordert, eine neue Datenbank-ID erzeugen zu lassen. Bestätigen Sie dieAufforderung mit Ja. Die Datenbank-ID wird geändert.
e. Auf der Seite Datenbankverbindungsinformationen unvollständig prüfenSie die Verbindungsdaten zur Datenbank und ändern Sie diese gegebenenfalls.Klicken SieWeiter.
One Identity Manager 8.0 Installationshandbuch
Anhang: Erstellen einer One Identity Manager-Datenbank für eineTest- oder Entwicklungsumgebung aus einer Datenbanksicherung
200
l Prüfen Sie die Verbindungsparameter (Connection-String)
Die Eingabe ändern Sie über die Schaltfläche [...] neben demEingabefeld. Wählen Sie die Verbindungsdaten Ihrer Datenbank.
l Prüfen Sie den vollständiger Kundennamen.
f. Es erfolgt ein Test der Datenbankverbindung. Bestätigen Sie die Meldungmit OK.
g. Geben Sie erneut die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.
h. Auf der Seite Verbindung zur Datenbank herstellen geben Sie dieVerbindungsdaten zur One Identity Manager-Datenbank an und klicken SieWeiter.
i. Auf der Seite Kompiliervorgaben werden die zu kompilierenden Bestandteileangezeigt. Um den Kompiliervorgang zu starten, klicken SieWeiter.
Die Kompilierung wird gestartet. Der Vorgang kann einige Zeit inAnspruch nehmen.
j. Auf der Seite Kompilierung werden die Ergebnisse des Kompiliervorgangsangezeigt. Nach Beenden der Kompilierung, klicken SieWeiter.
k. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
6. Passen Sie im Designer die Staging Ebene der Datenbank an.
a. Wählen Sie im Designer die Kategorie Basisdaten | Allgemein |Datenbanken.
b. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft StagingEbene auf "Testumgebung" oder "Entwicklungssystem".
c. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.
7. Passen Sie im Synchronization Editor die Verbindungsdaten derSynchronisationsprojekte an.
Verwandte Themen
l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung auf Seite 62
One Identity Manager 8.0 Installationshandbuch
Anhang: Erstellen einer One Identity Manager-Datenbank für eineTest- oder Entwicklungsumgebung aus einer Datenbanksicherung
201
C
Anhang: Erweiterte Konfigurationder Manager Webanwendung
HINWEIS: Der Web Installer verwendet Standardwerte für die meistenKonfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen mithilfe des Manager Web Configuration Editorüberprüfen.
Die Konfiguration der Manager Webanwendung erfolgt mit Hilfe des Manager WebConfiguration Editor. Der Manager Web Configuration Editor ist Teil der Webanwendung undbefindet sich im Installationsverzeichnis im Unterverzeichnis WebConfigEditor.
Um die Konfiguration durchzuführen
1. Starten Sie die Datei WebConfigEditor.exe.
Der Manager Web Configuration Editor öffnet automatisch die Datei web.config derWebanwendung.
2. Passen Sie die Konfigurationseinstellungen an.
3. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
l Allgemein auf Seite 203
l Datenbankverbindung auf Seite 203
l Sicherheit auf Seite 204
l Debugging auf Seite 205
l Leistung auf Seite 206
l Dateidownload auf Seite 207
l ASP.Net Basiseinstellungen auf Seite 208
l Applikationspool auf Seite 209
l Plugins auf Seite 210
l Load Balancing auf Seite 210
l Single Sign-On auf Seite 212
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung202
Allgemein
Hier konfigurieren Sie das Erscheinungsbild der Webanwendung.
Einstellung Beschreibung
Kultur Sprachkultur. Die Sprachkultur hat unter anderem Einfluss auf dieDarstellung von Datumswerten und Zahlen.
Sitzungs-Timeout
Zeit der Inaktivität eines Benutzers in Minuten, nachdem der Benutzerautomatisch abgemeldet werden soll. Dieser Wert ist abhängig vomTimeout-Modus und hat direkten Einfluss auf den Speicherverbrauch undsomit auf die Anwendungsperformance.
HINWEIS: Dieser Wert sollte so lang wie nötig und so kurz wiemöglich gewählt werden, da verwaiste Sitzungen Speicherverbrauchen und die Anwendungsperformance negativbeeinflussen.
Timeout-Modus
Verfahren zur Timeout-Bestimmung.
l TimeOut
Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeoutdefinierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist.
l HeartBeat
Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeoutdefinierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist.Das offene Browserfenster des Benutzers meldet sichautomatisch. So dass der Timeout erst mit dem Schließen desBrowserfensters beginnt.
Visualisierung Visualisierung der Anwendung
DynamischeDesignauswahl
Wird momentan nicht verwendet.
Portalmodusaktivieren
Erlaubt der Anwendung in einem Frame einer anderen Anwendungverlinkt zu werden.
Tabelle 63: Bedeutung der allgemeinen Konfigurationseinstellungen
Datenbankverbindung
Hier legen Sie alle Datenbankparameter fest.
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung203
Einstellung Beschreibung
Datenbank Datenbankverbindung. Sie können zwischen einer SQL ServerDatenbankverbindung, einer Oracle Datenbankverbindung und einemAnwendungsserver wählen.
Anwendung Anwendung, die den Inhalt der Webanwendung festlegt. In der Regelsollten Sie "Manager" wählen.
Anzeigename Name, der als Anwendungsname zum Beispiel in der Titelzeile desBrowsers verwendet werden soll.
Authentifizierung Verfahren, mit dem die Benutzer bei der Anmeldung an derAnwendung authentifiziert werden sollen.
SchnelleAnmeldung(Single-Sign-On)
Angabe, ob Single Sign-On zur Anmeldung verwendet werden soll.Aktivieren Sie diese Option, wenn Sie Single Sign-On benutzen. DieAnwendung zeigt dadurch keine Anmeldeseite dem Benutzer undversucht dessen Identität automatisch zu ermitteln.
Tabelle 64: Bedeutung der Konfigurationseinstellungen für dieDatenbankverbindung
Verwandte Themen
l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169
Sicherheit
Hier legen Sie einige wichtige, die Sicherheit der Anwendung beeinflussende,Einstellungen fest.
Einstellung Beschreibung
Installationsumgebung Standardkonfigurationen der Installationsumgebung. DieseEinstellung wirkt sich auf andere Konfigurationsgruppen aus.
Wert Beschreibung
Production Empfohlene Einstellung für alle produktivenInstallationen.
Test Einstellung, wenn die Anwendung zu Testzwe-
Tabelle 66: Zulässige Werte
Tabelle 65: Bedeutung der Konfigurationseinstellungen für die Sicherheit
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung204
Einstellung Beschreibung
Wert Beschreibung
cken installiert wurde.
Development Einstellungen, wenn die Anwendung in einemEntwicklungsumfeld installiert wurde.
Custom Einstellungen, wenn Sie alle Einstellungenmanuell vornehmen möchten.
Antwortverzögerungbei ungültiger Sitzung
Zeit in Sekunden, die eine clientseitige Anfrage mit falschenSitzungsinformationen blockiert werden soll. Diese Einstellungsoll eventuelle "Brute Force" Angriffe verhindern.
Anmeldung ohneCookies erlauben
Die Anwendung nutzt Sitzungs-Cookies zur Sicherung der Client-Server Kommunikation. Aktivieren Sie diese Einstellung, umBenutzeranmeldungen ohne Cookies zu erlauben. Dies wäre derFall, falls beispielsweise Cookies im Firmennetzwerk verbotenwurden.
HINWEIS: Es ist empfohlen diese Einstellung nicht zuaktivieren.
Browserfenster nachdem Abmeldenschließen
Angabe, ob das Browserfenster nach Abmeldung geschlossenwerden soll. Ist diese Einstellung aktiviert, versucht dieAnwendung das Browserfenster des Benutzers zu schließen,nachdem sich dieser abgemeldet hat. Diese Funktion wird nichtvon jedem Browser unterstützt oder erfolgt nur nach Nachfragedes Browsers.
Debugging
Hier befinden sich nützliche Einstellungen zur Fehlersuche. Im Normalfall müssen Sie hiernichts konfigurieren.
Einstellung Beschreibung
Protokollumfang Menge an Informationen, die protokolliert werden sollen.
HINWEIS: Im produktiven Betrieb der Anwendung sollte"Normal" eingestellt werden.
Dokumentationsmodusaktivieren
Angabe, ob in der Anwendungsoberfläche einige zusätzlicheInformationen angezeigt werden, beispielsweise der Name desaktiven Formulars. Die Wirkung ist abhängig von der
Tabelle 67: Bedeutung der Konfigurationseinstellungen für das Debugging
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung205
Einstellung Beschreibung
ausgewählten Visualisierung.
HINWEIS: Diese Einstellung sollte im produktiven Betriebnicht aktiviert werden.
SQL Protokollaktivieren
Angabe, ob alle Datenbankanweisungen protokolliert werdensollen. Das Protokoll wird in das SQL Protokollverzeichnisgeschrieben.
HINWEIS: Diese Einstellung sollte im produktiven Betriebnicht aktiviert werden.
ASP.NetFehlermeldungenanzeigen
Angabe, ob ASP.Net eigene Fehlermeldungen angezeigt werdensollen.
HINWEIS: Diese Einstellung sollte im produktiven Betriebnicht aktiviert werden.
Testmodus aktivieren Angabe, ob automatische Tests unterstützt werden sollen.
HINWEIS: Diese Einstellung sollte im produktiven Betriebnicht aktiviert werden.
Verwandte Themen
l Verzeichnisse auf Seite 208
Leistung
Hier legen Sie einige wichtige Einstellungen fest, die die Leistung der Anwendungbeeinflussen.
Einstellung Beschreibung
Lastverteilung Modus des integrierten Load-Balancings. In den meisten Fällen sollte"DistributeEqually" gewählt werden.
MaximaleAuslastung
Maximale Anzahl von Benutzersitzungen, die die Anwendung akzeptierensoll. Soll eine große Anzahl von Sitzungen ermöglicht werden, so solltedie Anwendung eventuell mehrfach installiert werden, da dieSystemressourcen für jeden Anwendungsprozess limitiert sind.
Maximumerzwingen
Wird diese Einstellung deaktiviert, so wird der Wert unter MaximaleAuslastung unwirksam. Er wird jedoch als Schwellwert für das Load-
Tabelle 68: Bedeutung der Konfigurationseinstellungen für die Leistung
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung206
Einstellung Beschreibung
Balancing-Verfahren "DistributeSuccessively" verwendet.
HTTP-Übertragungkomprimieren
Angabe, ob die Nutzung der Kompression der HTTP Kommunikationaktiviert werden soll.
HINWEIS: Die Kompression der HTTP Kommunikation muss auchfür den Internet Information Services konfiguriert worden sein.Weitere Informationen finden Sie in der Dokumentation desWebservers.
HostSegmentation
Angabe von Host Segmenten. Die Einstellung ermöglicht die Verteilungder clientseitigen Anfragen auf mehrere Serveradressen die alle Aliasefür das Webfrontend darstellen. Damit lassen sich einige Limitierungendes Browsers umgehen und so bei schlechten Netzverbindungen dieLadezeiten verkürzen.
Verwandte Themen
l Load Balancing auf Seite 210
Dateidownload
Um den Download größerer Dateien zu ermöglichen, benötigt die Anwendung einVerzeichnis in dem der Download dem Benutzer zur Verfügung gestellt werden kann. Diesbetrifft zum Beispiel Berichte die von der Anwendung generiert und dann vom Benutzer alsPDF gespeichert werden.
Einstellung Beschreibung
Dateidownloadaktivieren
Angabe, ob Dateidownload aktiviert werden soll. Aktivieren Siediese Einstellung, um den Download von größeren Dateien, wieBerichten, zu ermöglichen. Ist der Dateidownload deaktiviert,stehen einige Funktionen nicht zur Verfügung.
Downloadverzeichnis Verzeichnis, das die Anwendung nutzen soll, um die Downloadszur Verfügung zu stellen. Die Anwendung benötigt vollständigeRechte in diesem Verzeichnis.
Säuberungsintervall Zeitdauer in Minuten, in der nicht benötigten Datei gesucht undentfernt werden.
Bereitstellungsdauer Zeitdauer in Minuten, in der ein Download dem Benutzer zurVerfügung gestellt werden soll. Nach der Initiierung eines
Tabelle 69: Bedeutung der Konfigurationseinstellungen für den Download vonDateien
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung207
Einstellung Beschreibung
Downloads kann die Anwendung nicht mehr feststellen, wann undob der Download vom Benutzer durchgeführt wurde, sodass derDownload nach einer bestimmten Zeit abgebrochen werden muss.
ASP.Net Basiseinstellungen
Hier sehen Sie einige Einstellungen des ASP.Net, die vom Manager Web ConfigurationEditor editiert werden können.
Einstellung Beschreibung
MaximaleAnfragelänge
Maximale Größe einer Benutzeranfrage in Kilobyte (kByte). Dieselimitiert unter anderem die maximale Größe der Dateien, diehochgeladen werden können.
MaximaleAusführungszeit
Maximale Zeit in Sekunden, die eine Benutzerabfrage bearbeitetwerden darf. Das Überschreiten dieser Zeit hat einen harten Abbruchder Benutzeranfrage zur Folge.
HINWEIS: Diese Zeit sollte nicht zu kurz festgelegt werden, dadas Überschreiten dieser Zeit einen Sitzungsverlust desBenutzers zur Folge haben kann.
Tabelle 70: Bedeutung der Konfigurationseinstellungen für ASP.Net
Verzeichnisse
Hier konfigurieren Sie alle Verzeichnisse, die die Anwendung benötigt.
Einstellung Beschreibung
Applikationsverzeichnis Vollständiger Pfad zum Installationsverzeichnis der Anwendung.Dies ist das Verzeichnis indem sich die Datei web.configbefindet.
HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.
Protokollverzeichnis Verzeichnis, in welches das Anwendungsprotokoll geschriebenwerden soll. Dieses Verzeichnis kann relativ zumApplikationsverzeichnis angegeben werden.
Tabelle 71: Bedeutung der Konfigurationseinstellungen für Verzeichnisse
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung208
Einstellung Beschreibung
Datenbank Cache Vollständiger Pfad zum Verzeichnis, in das häufig verwendeteDatenbankinhalte zwischengespeichert werden sollen.
Skriptassembly Cache Vollständiger Pfad zum Verzeichnis, in das die Assemblieszwischengespeichert werden sollen.
SQLProtokollverzeichnis
Vollständiger Pfad zum Verzeichnis, in das dieDatenbankzugriffe protokolliert werden sollen. Das SQLProtokoll ist nur zur Fehlersuche zu verwenden und muss unterDebugging | SQL Protokoll aktivieren aktiviert werden.
Verwandte Themen
l Debugging auf Seite 205
Applikationspool
Hier definieren Sie alle Anwendungen die zusammenarbeiten, um die Anwendung demBenutzer in mehreren Sprachen zur Verfügung zu stellen.
l Klicken Sie auf Applikation hinzufügen, um eine weitere Anwendung zu definieren.
l Klicken Sie auf Applikation entfernen, um die selektierte Anwendung zuentfernen.
l Mit den beiden Pfeilen auf der rechten Seite können Sie die Reihenfolge ändern.
HINWEIS: Es muss mindestens die aktuell konfigurierte Anwendung definiert werden.Die Reihenfolge hat direkten Einfluss auf die Anmeldeperformance, da der Status derkonfigurierten Anwendungen in der definierten Reihenfolge abgefragt wird.
Einstellung Beschreibung
URL fürWeiterleitung
Vollständige Adresse zur Anwendung. Diese Adresse muss auchclientseitig durch die Browser der Benutzer auflösbar sein.
HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.
Authentifizierung Die Anwendungen kommunizieren über die definierte URLuntereinander. Dafür werden Berechtigungen benötigt, wenn deranonyme Zugriff nicht erlaubt ist. Die Anwendung benötigt dafür diegleichen Rechte, die auch benötigt werden, wenn die URL per Browserauf dem Server aufgerufen werden soll.
Tabelle 72: Bedeutung der Konfigurationseinstellungen für den Applikationspool
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung209
Verwandte Themen
l Load Balancing auf Seite 210
Plugins
Plugins erweitern die Funktionalität der Anwendung. Sie können ein Plugin aktivieren,indem Sie die Option vor dem Namen des Plugins aktivieren. Unterhalb eines Plugins findenSie eventuell einige pluginspezifische Einstellungen.
Plugin "Automatische Aktualisierung"
Dieses Plugin führt die automatische Aktualisierung durch.
Einstellung Bedeutung
AutomatischeAktualisierung
Die automatische Aktualisierung wird aktiviert.
Schweregrad Schweregrad einer Änderung, damit die automatischeAktualisierung gestartet wird.
Tabelle 73: Bedeutung der Konfigurationseinstellungen
Verwandte Themen
l Aktualisieren der Manager Webanwendung auf Seite 142
l Automatisches Aktualisieren des One Identity Manager auf Seite 102
Load Balancing
Die Anwendung stellt ein einfaches Load Balancing zur Verfügung, um dieBenutzersitzungen und damit auch die entstehende Last auf mehrere Prozesse oder garServer zu verteilen. Dazu muss die Anwendung mehrfach auf demselben oder auf weiterenServern installiert werden.
Alle zusammenarbeitenden Anwendungen werden im Applikationspool der Anwendungenbekanntgegeben, auf denen eine Anmeldung möglich sein soll. Der ausgewählte LoadBalancing Algorithmus verteilt Benutzeranmeldungen auf die definierten Anwendungen.
HINWEIS: Auch wenn nur eine Anwendung installiert wird, muss diese in ihremeigenen Applikationspool definiert werden, da sonst keine Anmeldung möglich ist.
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung210
Algorithmus Beschreibung
DistributeEqually Dieser Algorithmus verteilt die Benutzeranmeldungen so, dassjede Anwendung einer Sprache möglichst die gleiche Anzahl vonaktiven Benutzern besitzt. Dieser Algorithmus ist der Standardund wird in 99% der Fälle benötigt.
DistributeSuccessively Dieser Algorithmus verteilt die Benutzeranmeldungen nach derDefinitionsreihenfolge der Anwendungen im Applikationspool.Zuerst werden alle Benutzeranmeldungen auf die ersteAnwendung der gewünschten Sprache weitergeleitet. Erst wenndiese ihre maximale Auslastung erreicht hat, werden dieAnmeldungen auf die nächste Anwendung weitergeleitet.
Tabelle 74: Unterstützte Algorithmen für das Load Balancing
Das Load Balancing löst folgende Probleme:
l Mehrsprachigkeit
Die Sprache wird pro Anwendung festgelegt, so dass eine Anwendung immer nurBenutzersitzungen in einer Sprache zur Verfügung stellen kann. Sollen Benutzer sichmit mehreren Sprachen anmelden können, so muss für jede Sprache mindestenseine Anwendung installiert werden.
l Umgehung von Ressourcenlimitierungen
Werden mehrere Anwendungen installiert und diese unterschiedlichen InternetInformation Services Anwendungspools zugewiesen, so werden diese in separatenProzessen gestartet. Unter 32 Bit Windows Betriebssystemen kann zum Beispieljeder Prozess 4 GByte Speicher adressieren, aber nur 2 GByte Speicher nutzen.Davon werden weitere 40% von ASP.Net reserviert, sodass lediglich 1,2 GByteSpeicher der Anwendung zur Verfügung steht. Durch eine mehrfache Installationlassen sich diese 1,2 GByte Speicher mehrfach nutzen und so der physikalischverfügbare Hauptspeicher überhaupt ausnutzen.
l Performancesteigerung
Durch die Installation auf mehreren Servern lässt sich die Performanceerheblich steigern.
l Redundanz
Durch die mehrfache Installation bedeutet der Ausfall einer installierten Anwendungnicht zwingend den Ausfall des gesamten Verbundes.
Verwandte Themen
l Applikationspool auf Seite 209
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung211
Single Sign-On
Die Anwendung unterstützt einen Single Sign-On Mechanismus, der es ermöglicht einenBenutzer zu authentifizieren, ohne dass dieser sich erneut per Benutzername und Kennwortauthentifizieren muss.
Notwendige Voraussetzungen sind:
l Deaktivierung des anonymen Zugriffs.
l Die Konfiguration eines Single Sign-on fähigen Authentifizierungsmoduls.
l Berechtigung in dem anwendungseigenen Anwendungspool.
Die Deaktivierung des anonymen Zugriffs erfolgt auf dem Webserver. Dadurch wird derBrowser des Benutzers gezwungen die für die Authentifizierung benötigten Informationenzu übermitteln.
1. Öffnen Sie dazu die Konfiguration der Anwendung in den Internet InformationServices und aktivieren Sie die Konfiguration zur "Authentication".
2. Ändern Sie den Wert für Status bei "Anonymous Authentication" auf "disabled".
Verwandte Themen
l Applikationspool auf Seite 209
l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169
One Identity Manager 8.0 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung212
D
Anhang: Maschinenrollen undInstallationspakete
Maschinenrolle Beschreibung zum Installationspaket
Workstation Enthält alle Basiskomponenten zur Installation derWerkzeuge auf einer administrativenArbeitsstation.
Administration Enthält die One Identity ManagerAdministrationswerkzeuge, die einStandardbenutzer zur Erfüllung seiner Aufgaben mitdem One Identity Manager benötigt. Neben denWerkzeugen, welche die Grundfunktionalität für dieArbeit mit One Identity Manager sicherstellen, zähltdazu auch der Manager als zentralesAdministrationswerkzeug.
Configuration Enthält alle One Identity Manager Werkzeuge desStandardbenutzers und zusätzliche Programme,welche zur Konfiguration des Systems erforderlichsind. Dazu gehören beispielsweise ConfigurationWizard, Database Compiler, Database Transporter,Crypto Configuration, Designer, Web Designersowie Konfigurationswerkzeuge für den OneIdentity Manager Service.
Development &Testing
Enthält die One Identity Manager Werkzeuge zurEntwicklung und zum Testen kundenspezifischerSkripte und Formulare, wie beispielsweise SystemDebugger.
Monitoring Enthält One Identity Manager Programme zurÜberwachung des Systemstatus, wie beispielsweiseJob Queue Info.
Documentation Enthält die One Identity Manager Dokumentation in
Tabelle 75: Mögliche Maschinenrollen und zugehörige Installationspakete
One Identity Manager 8.0 Installationshandbuch
Anhang: Maschinenrollen und Installationspakete213
Maschinenrolle Beschreibung zum Installationspaket
verschiedenen Sprachen.
Server Enthält alle Basiskomponenten zur Einrichtungeines Servers.
Jobserver Enthält den One Identity Manager Service und dieBasisprozesskomponenten. ZusätzlicheMaschinenrollen enthalten die Konnektoren zurSynchronisation der einzelnen Zielsysteme.
One Identity Manager 8.0 Installationshandbuch
Anhang: Maschinenrollen und Installationspakete214
E
Anhang: Einstellungen für eine neueSQL Server Datenbank
Der Configuration Wizard erstellt eine neue SQL Server Datenbank mit den folgendenEinstellungen.
Eigenschaft Wert
Name der Datenbank <Datenbankname>
Verzeichnis der Datendatei <Daten Verzeichnis>
Name der Datendatei <Datenbankname>.mdb
Initiale Größe der Datendatei <Initiale Größe>
Maximale Größe der Datendatei unbegrenzt
Automatische Dateivergrößerung der Datendatei 10 %
Verzeichnis der Transaktionsprotokolldatei <Log Verzeichnis>
Name der Transaktionsprotokolldatei <Datenbankname>.ldb
Initiale Größe der Transaktionsprotokolldatei 1/2 <Initiale Größe>
Maximale Größe der Transaktionsprotokolldatei unbegrenzt
Automatische Dateivergrößerung der Trans-aktionsprotokolldatei
10 %
Sortierung der Datenbank SQL_Latin1_General_CP1_CI_AS
Kompatibilitätsgrad 130
Wiederherstellungsmodell Einfach
Statistiken automatisch asynchron aktualisieren False
Statistiken automatisch aktualisieren True
Tabelle 76: Eigenschaften zur Erstellung der Datenbank
One Identity Manager 8.0 Installationshandbuch
Anhang: Einstellungen für eine neue SQL Server Datenbank215
Eigenschaft Wert
Automatisch verkleinern False
Statistiken automatisch erstellen True
Verwandte Themen
l Erstellen einer neuen SQL Server Datenbank auf Seite 49
One Identity Manager 8.0 Installationshandbuch
Anhang: Einstellungen für eine neue SQL Server Datenbank216
Über uns
Über uns
Kontaktieren Sie uns
Bei Fragen zum Kauf oder anderen Anfragen besuchen Siehttps://www.oneidentity.com/company/contact-us.aspx oder rufen Sie + 1-800-306-9329 an.
Technische Supportressourcen
Technische Unterstützung steht für One Identity Kunden mit einem gültigenWartungsvertrag und Kunden mit Testversionen zur Verfügung. Sie können auf das SupportPortal unter https://support.oneidentity.com/ zugreifen.
Das Support Portal bietet Selbsthilfetools, die Sie verwenden können, um Probleme schnellund unabhängig zu lösen, 24 Stunden am Tag, 365 Tage im Jahr. Das Support Portalermöglicht Ihnen:
l Senden und Verwalten von Serviceanfragen
l Anzeigen von Knowledge Base Artikeln
l Anmeldung für Produktbenachrichtigungen
l Herunterladen von Software und technischer Dokumentation
l Anzeigen von Videos unter www.YouTube.com/OneIdentity
l Engagement in der One Identity Community
l Chat mit Support-Ingenieuren
l Anzeigen von Diensten, die Sie bei Ihrem Produkt unterstützen
One Identity Manager 8.0 Installationshandbuch
Über uns217
I ndex
A
Aktualisierungsserver 41, 105
One Identity Manager Service 60
Analyzer 14
Anmeldung 144-145, 150
Datenbankbenutzer 145
Standardverbindungsdialog 144
Systembenutzerkennung 150
Anwendungsserver 11
aktualisieren 113
deinstallieren 114
installieren 108
One Identity Manager-Werkzeuge 19
One Identity Manager Service 19
Search Indexing Service 108
Search Service 108
Statusanzeige 113
Systemanforderungen 32
Arbeitsstation
aktualisieren 86
installieren 43
Systemanforderungen 27
Authentifizierungsmodul 150, 169
Active Directory Benutzerkonto 169
Active Directory Benutzerkonto(dynamisch) 169
Active Directory Benutzerkonto(manuell) 169
Active Directory Benutzerkonto(manuelle Einga-be/rollenbasiert) 169
Active Directory Benutzerkonto(rollenbasiert) 169
aktivieren 169
Benutzerkonto 169
Benutzerkonto (rollenbasiert) 169
Component Authenticator 169
Crawler 169
freischalten 169
HTTP Header 169
HTTP Header (rollenbasiert) 169
Kontobasierter Systembenutzer 169
LDAP Benutzerkonto(dynamisch) 169
LDAP Benutzerkonto(rollenbasiert) 169
OAuth 2.0/OpenID Connect 169
OAuth 2.0/OpenID Connect (rollen-basiert) 169
Single Sign-on (rollenbasiert) 169
Synchronisationsauthenticator 169
Systembenutzer 169
Web Agent Authenticator 169
B
Benachrichtigungssystem 160
Berechtigungen 34-35, 37, 39
C
Clusterressource
One Identity Manager Service 82
Protokolldatei 82
One Identity Manager 8.0 Installationshandbuch
Index218
Index
Configuration Wizard 14, 47, 49, 52, 56-58, 60, 89-90, 92, 95, 215
starten 49
Crypto Configuration 14, 64
D
Database Compiler 14
Database Transporter 14, 97-98
Datenbank
aktualisieren 87, 89-90, 92, 95-96
anmelden 145
entschlüsseln 68
Entwicklungsumgebung 62, 200
Hotfixpaket 87, 96
installieren 47
konfigurieren 47, 62
Konsistenzprüfung 158
Kundenkonfigurationspaket 87
Migrationspaket 87
Migrationsprotokoll 57, 95
Modulübersicht 155
Oracle 54, 56, 92
Produktivumgebung 62
Referenzdatenbank 200
SQL Server 49, 52, 90, 215
Staging Ebene 62, 200
Systemanforderungen 24-25
Testumgebung 62, 200
Transporthistorie 57, 95-96, 155
Transportpaket 87
verschlüsseln 64-67
Versionsstand 57, 95, 155
Datenbankanmeldung
Oracle 145
SQL Server 145
Datenbankbenutzer
Berechtigungen 35, 37
Oracle 37
SQL Server 35
Datenbankserver
Systemanforderungen 23
Designer 14
Dienstserver
Systemanforderungen 28
E
E-Mail Benachrichtigung 160
F
Fehlerbehebung 155-156
Firewall Konfiguration 40
H
HistoryDB Manager 14
Hotfixpaket 87
Datei
importieren 99
Sicherheitskopie 99
importieren 98
Inhalt anzeigen 97
installieren 96
I
Installationsvoraussetzungen 22-25, 27-28, 30, 32, 34-35, 37, 39-40
InstallState.config 102
One Identity Manager 8.0 Installationshandbuch
Index219
J
Job Queue Info 14
Job Service Configuration 14
Jobserver
aktualisieren 86, 102
einrichten 74
installieren 43, 74
kein automatischesSoftwareupdate 102, 105
K
Konsistenzprüfung 158
Kundenkonfigurationspaket 87
importieren 98
Inhalt anzeigen 97
L
Launchpad 14
License Meter 14
Lieferantenbenachrichtigung 70
aktivieren 71
deaktivieren 72
prüfen 72
M
Manager 14
Manager Web Configuration Editor 202
Manager Webanwendung 14
aktualisieren 142
deinstallieren 143
installieren 138
konfigurieren 202
Load Balancing 210
Single Sign-on 212
Maschinenrolle 213
Migrationspaket 87
O
One Identity Manager
aktualisieren 84
Anwendungsserver 11
Architekturübersicht 11
Benutzer 34
Berechtigungen 34
Datenbank 11
Frontends 11
Hotfix 84
installieren 41
Serverdienst 11
Service Pack 84
Systemkonfiguration
E-Mail Benachrichtigung 160
Versionsänderung 84
Webserver 11
One Identity Manager-Komponenten
aktualisieren 86, 102
installieren 43, 46
One Identity Manager-Werkzeuge 14
aktualisieren 102
Analyzer 14
anmelden 144, 150
Configuration Wizard 14
Crypto Configuration 14
Database Compiler 14
Database Transporter 14
Designer 14
HistoryDB Manager 14
Installationsvoraussetzungen 27
One Identity Manager 8.0 Installationshandbuch
Index220
installieren 43, 46
Job Queue Info 14
Job Service Configuration 14
Launchpad 14
License Meter 14
Manager 14
One Identity Manager Web 14
Report Editor 14
Schema Extension 14
Software Loader 14
Synchronization Editor 14
System Debugger 14
Web Designer 14
Web Installer 14
Web Portal 14
One Identity Manager Schema
installieren 47
One Identity Manager Service 11
aktualisieren 86, 102
Aktualisierungsserver 60
Benutzerkonto 60, 79
Berechtigungen 34
Clusterressource 80, 82
Datenbankschlüssel 69
Installationsvoraussetzungen 28, 39
installieren 60, 74
private.key 69
Protokolldatei 78
Schlüsseldatei 69
SQL Ausführungsserver 60
Startart 79
starten 79
P
Ports 40
R
Report Editor 14
S
Schema Extension 14
Server
aktualisieren 86, 102
installieren 43, 74
Software Loader 14, 99
Softwareaktualisierung 102
aktivieren 57, 95, 102
Datei
importieren 99
Sicherheitskopie 99
Version 99
Inbetriebnahme 105
InstallState.config 102
Jobserver 102
One Identity Manager-Werkzeuge 102
One Identity Manager Service 102
Server 102
Softwarerevision.viv 102
update.lock 102
update.log 102
Updater.exe 102
Webanwendung 102
Softwarerevision.viv 102
Sprache 153
Sprachkultur 153
SQL Ausführungsserver 41
One Identity Manager Service 60
Standardverbindungsdialog 144
One Identity Manager 8.0 Installationshandbuch
Index221
Synchronization Editor 14
System Debugger 14
Systemanforderungen
Anwendungsserver 32
Arbeitsstation 27
Benutzer 34
Berechtigungen 34
Datenbank
Oracle 25
SQL Server 24
Datenbankbenutzer
Oracle 37
SQL Server 35
Datenbankserver 23
Dienstserver 28
One Identity Manager Service 28
One Identity Manager Werkzeuge 27
Webserver 30
Systembenutzer
administrativer 58
Kennwort 58
kundenspezifisch 58
Systembenutzerkennung
anmelden 150
T
Transporthistorie 155
Transportpaket 87
importieren 98
Inhalt anzeigen 97
U
update.lock 102
update.log 102
Updater.exe 102
V
Verschlüsselung 64-69
privater Schlüssel 64
Schlüssel
ändern 66
erzeugen 65
generieren 64
Schlüsseldatei 64
Schlüsselinformation 64
Volltextsuche
Anwendungsserver 108, 131
Suchdienst 108, 131
Web Portal 131
W
Web Designer 14
Web Installer 14, 108, 114-115, 125,138, 143
Web Portal 14
deinstallieren 125
installieren 115
konfigurieren 125
Suchdienst 131
warten 132
Webserver 11
Systemanforderungen 30
One Identity Manager 8.0 Installationshandbuch
Index222
Recommended