One Identity Manager Installationshandbuch · 2017. 11. 17. · l...

One Identity Manager 8.0

Installationshandbuch

Copyright 2017 One Identity LLC.

ALLE RECHTE VORBEHALTEN.Diese Anleitung enthält urheberrechtlich geschützte Informationen. Die in dieser Anleitungbeschriebene Software wird unter einer Softwarelizenz oder einer Geheimhaltungsvereinbarungbereitgestellt. Diese Software darf nur in Übereinstimmungmit den Bestimmungen der geltendenVereinbarung verwendet oder kopiert werden. Kein Teil dieser Anleitung darf ohne die schriftlicheErlaubnis von One Identity LLC in irgendeiner Form oder mit irgendwelchen Mitteln, elektronisch odermechanisch reproduziert oder übertragen werden, einschließlich Fotokopien und Aufzeichnungen fürirgendeinen anderen Zweck als den persönlichen Gebrauch des Erwerbers.Die Informationen in diesem Dokument werden in Verbindungmit One Identity Produktenbereitgestellt. Durch dieses Dokument oder im Zusammenhangmit dem Verkauf von One Identity LLCProdukten wird keine Lizenz, weder ausdrücklich oder stillschweigend, noch durch Duldung oderanderweitig, an jeglichem geistigen Eigentumsrechts eingeräumt. MIT AUSNAHME DER IN DERLIZENZVEREINBARUNG FÜR DIESES PRODUKT GENANNTEN BEDINGUNGEN ÜBERNIMMTONEIDENTITY KEINERLEI HAFTUNG UND SCHLIESST JEGLICHE AUSDRÜCKLICHE, IMPLIZIERTE ODERGESETZLICHE GEWÄHRLEISTUNGODER GARANTIE IN BEZUG AUF IHRE PRODUKTE AUS,EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE IMPLIZITE GEWÄHRLEISTUNGEN DERALLGEMEINEN GEBRAUCHSTAUGLICHKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODERNICHTVERLETZUNG VON RECHTEN. IN KEINEM FALL HAFTET ONE IDENTITY FÜR JEGLICHE DIREKTE,INDIREKTE, FOLGE-, STÖRUNGS-, SPEZIELLE ODER ZUFÄLLIGE SCHÄDEN (EINSCHLIESSLICH,OHNE EINSCHRÄNKUNG, SCHÄDEN FÜR VERLUST VON GEWINNEN, GESCHÄFTSUNTERBRECHUNGENODER VERLUST VON INFORMATIONEN), DIE AUS DER NUTZUNGODER UNMÖGLICHKEIT DERNUTZUNGDIESES DOKUMENTS RESULTIEREN, SELBSTWENN ONE IDENTITY AUF DIE MÖGLICHKEITSOLCHER SCHÄDEN HINGEWIESEN HAT. One Identity übernimmt keinerlei Zusicherungen oderGarantien hinsichtlich der Richtigkeit und Vollständigkeit des Inhalts dieses Dokuments und behält sichdas Recht vor, Änderungen an Spezifikationen und Produktbeschreibungen jederzeit ohne vorherigeAnkündigung vorzunehmen. One Identity verpflichtet sich nicht, die in diesem Dokument enthaltenenInformationen zu aktualisieren.Wenn Sie Fragen zu Ihrer potenziellen Nutzung dieses Materials haben, wenden Sie sich bitte an:One Identity LLC.Attn: LEGAL Dept4 Polaris WayAliso Viejo, CA 92656Besuchen Sie unsere Website (http://www.OneIdentity.com) für regionale und internationaleBüro-Adressen.

PatenteOne Identity ist stolz auf seine fortschrittliche Technologie. Für dieses Produkt können Patente undanhängige Patente gelten. Für die aktuellsten Informationen über die geltenden Patente für diesesProdukt besuchen Sie bitte unsere Website unter http://www.OneIdentity.com/legal/patents.aspx.

MarkenOne Identity und das One Identity Logo sindMarken und eingetragene Marken von One Identity LLC.in den USA und anderen Ländern. Für eine vollständige Liste der One Identity Marken, besuchen Siebitte unsere Website unter www.OneIdentity.com/legal. Alle anderen Marken sind Eigentum derjeweiligen Besitzer.

Legende

WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oderSachschäden oder Schaden mit Todesfolge hin.

VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigungvon Hardware oder den möglichen Verlust von Daten hin, wenn die Anwei-sungen nicht befolgt werden.

WICHTIG, HINWEIS, TIPP, MOBIL, oder VIDEO: Ein Informationssymbol weist aufBegleitinformationen hin.

http://www.oneidentity.com/

http://www.oneidentity.com/legal/patents.aspx

http://www.oneidentity.com/legal

One Identity Manager InstallationshandbuchAktualisiert - November 2017Version - 8.0

Inhalt

Über dieses Handbuch 9

Überblick über den One Identity Manager 10

Editionen des One Identity Manager 10

Architektur des One Identity Manager 11

Werkzeuge des One Identity Manager 14

Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? 19

Installationsvoraussetzungen 22

Minimale Systemanforderungen für den Datenbankserver 23

Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank 24

Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank 25

Minimale Systemanforderungen für die administrative Arbeitsstation 27

Minimale Systemanforderungen für den Dienstserver 28

Minimale Systemanforderungen für den Webserver 30

Minimale Systemanforderungen für den Anwendungsserver 32

Benutzer und Berechtigungen für den One Identity Manager 34

Berechtigungen für SQL Server Datenbankbenutzer 35

Berechtigungen für Oracle Datenbankbenutzer 37

Einrichten der Berechtigung zum Erstellen eines HTTP Server 39

Kommunikationsports und Firewall Konfiguration 40

Installieren des One Identity Manager 41

Bevor Sie die Installation des One Identity Manager starten 42

Installieren der One Identity Manager-Komponenten 43

Installieren der One Identity Manager-Komponenten auf einem Windows Termi-nalserver 46

Installieren und Konfigurieren einer One Identity Manager-Datenbank 47

Starten des Configuration Wizard 49

Erstellen einer neuen SQL Server Datenbank 49

Verwenden einer bestehenden leeren SQL Server Datenbank 52

Erstellen eines neuen Oracle Datenbankbenutzers 54

Verwenden eines bestehenden leeren Oracle Datenbankbenutzers 56

One Identity Manager 8.0 Installationshandbuch 4

Verarbeiten der Datenbank 57

Erfassen der Systeminformationen 58

Installieren des One Identity Manager Service für die Datenbank 60

Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwick-lungs- oder Produktivumgebung 62

Verschlüsseln von Datenbankinformationen 64

Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Daten-bankinformationen 65

Ändern eines Datenbankschlüssels und Verschlüsseln der Daten-bankinformationen 66

Erneutes Verschlüsseln der Datenbankinformationen 67

Entschlüsseln der Datenbankinformationen 68

Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank 69

Lieferantenbenachrichtigung im One Identity Manager 70

Aktivieren der Lieferantenbenachrichtigung 71

Prüfen der Lieferantenbenachrichtigung 72

Deaktivieren der Lieferantenbenachrichtigung 72

Installieren und Konfigurieren des One Identity Manager Service 74

Anzeigen der Protokolldatei des One Identity Manager Service 78

Ändern des Benutzerkontos oder der Startart des One Identity Manager Service 79

Der One Identity Manager Service im Cluster 80

Registrieren des One Identity Manager Service im Cluster 81

Installieren und Konfigurieren des One Identity Manager Service im Cluster 82

Aktualisieren des One Identity Manager 84

Aktualisieren der One Identity Manager-Komponenten 86

Aktualisieren der One Identity Manager-Komponenten mit dem Instal-lationsassistenten 86

Aktualisieren der One Identity Manager-Datenbank 87

Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard 89

Aktualisieren einer SQL Server Datenbank 90

Aktualisieren eines Oracle Datenbankbenutzers 92

Verarbeiten der Datenbank während der Aktualisierung 95

Einspielen eines Hotfixes in die One Identity Manager-Datenbank 96

Inhalt eines Transportpaketes mit dem Database Transporter anzeigen 97

Importieren eines Transportpaketes mit dem Database Transporter 98


Importieren von Dateien mit dem Software Loader 99

Automatisches Aktualisieren des One Identity Manager 102

Grundlagen zur automatischen Aktualisierung 102

Inbetriebnahme der automatischen Softwareaktualisierung 105

Installieren und Aktualisieren eines One Identity Manager Anwen-dungsservers 108

Installieren eines One Identity Manager Anwendungsservers 108

Aktualisieren eines One Identity Manager Anwendungsservers 113

Anzeigen des Status eines One Identity Manager Anwendungsservers 113

Deinstallieren eines One Identity Manager Anwendungsservers 114

Installieren, Konfigurieren und Warten des Web Portals 115

Installieren des Web Portal 115

Installieren des Web Portal über die Kommandozeilenkonsole 120

Kompilieren des Web Portal über die Kommandozeilenkonsole 123

Deinstallieren des Web Portal 125

Konfigurieren des Web Portal 125

Datenbankverbindung 126

Webprojekt 128

Log 128

Automatische Aktualisierung 129

Webeinstellungen 130

Cache 131

Debugger Service 131

Suchdienst 131

Warten des Web Portal 132

Runtime Monitoring 132

Sicherheit 132

Ansehen der Protokolldateien und Exceptions 133

Anwenden automatischer Aktualisierungen für das Web Portal 133

Wartungsmodus 134

Manuelle Aktualisierung 134

Überwachung mithilfe von Leistungsindikatoren 135

Installieren des Web Portal für Betriebsunterstützung 137

Installieren und Aktualisieren der Manager Webanwendung 138


Installieren der Manager Webanwendung 138

Aktualisieren der Manager Webanwendung 142

Deinstallieren der Manager Webanwendung 143

Anmelden an den One Identity Manager-Werkzeugen 144

Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer 145

Anmelden an den One Identity Manager-Werkzeugen mit einer System-benutzerkennung 150

Aktivieren weiterer Authentifizierungsmodule 152

Aktivieren weiterer Anmeldesprachen 153

Ablauf von Kennwörtern 153

Überprüfung der Authentifizierung 154

Fehlerbehebung 155

Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version 155

Behandlung von Fehlern und Warnungen während der Systemkompilierung 156

Prüfen der Datenkonsistenz 158

DBQueue Prozessor verarbeitet keine Aufträge 159

Meldung: Enter email address in configuration parameter 160

Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks whilecompiling database. 168

Datenbankfehler bei der Migration einer Datenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen 168

Anhang: One Identity Manager Authentifizierungsmodule 169

Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test-oder Entwicklungsumgebung aus einer Datenbanksicherung 200

Anhang: Erweiterte Konfiguration der Manager Webanwendung 202

Allgemein 203

Datenbankverbindung 203

Sicherheit 204

Debugging 205

Leistung 206

Dateidownload 207

ASP.Net Basiseinstellungen 208

Verzeichnisse 208

Applikationspool 209

Plugins 210


Load Balancing 210

Single Sign-On 212

Anhang: Maschinenrollen und Installationspakete 213

Anhang: Einstellungen für eine neue SQL Server Datenbank 215

Über uns 217

Kontaktieren Sie uns 217

Technische Supportressourcen 217

Index 218


1

Über dieses Handbuch

Dieses Handbuch beschreibt die Installation und erste Inbetriebnahme des One IdentityManager. Sie erhalten einen Überblick die Architektur des One Identity Manager und überdie Funktionen der verschiedenen One Identity Manager-Werkzeuge. Sei erhaltenInformationen darüber, welche Voraussetzungen Sie zur Installation des One IdentityManager benötigen, wie Sie die Komponenten des One Identity Manager einrichten,installieren und aktualisieren.

Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren,Berater, Analysten und andere IT-Fachleute entwickelt.

HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, diefür den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration undden Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.

One Identity Manager 8.0 Installationshandbuch

Über dieses Handbuch9

2

Überblick über den One IdentityManager

One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung vonBenutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichenden Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen,während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können.

Mit diesen Produkten können Sie:

l Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directorymit der One Identity Manager Active Directory Edition umsetzen,

l Zugriffsentscheidungen für unstrukturierte Daten mit der One Identity Manager DataGovernance Edition vereinfachen,

l Access Governance Anforderungen in Ihrem gesamten Konzernplattformübergreifend mit dem One Identity Manager verwirklichen.

Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimiertenArchitektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichenIdentity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität,Zeitaufkommen und Kosten.

Editionen des One Identity Manager

Der One Identity Manager ist in folgenden Editionen verfügbar.

Edition Beschreibung

One Identity Manager Die Edition enthält alle Management Module (IT Shop &Workflow, Delegation, Verwaltung von Systemrollen undGeschäftsrollen, Role Mining, Risikobewertung, Attestierung,Compliance, Unternehmensrichtlinien, Abonnements vonBerichten) sowie den Unified Namespace und Konnektoren

Tabelle 1: One Identity Manager Editionen


Überblick über den One Identity Manager10

Edition Beschreibung

für Active Directory .

One Identity ManagerActive Directory Edition

Die Edition enthält alle erforderlichen Funktionen für dieActive Directory Unterstützung inklusive Konnektoren fürActive Directory , Attestierung, IT Shop & Workflow undBerichtsfunktionen.

One Identity Manager DataGovernance Edition

Die Edition enthält alle erforderlichen Funktionen für dieData Governance Unterstützung inklusive Konnektoren fürActive Directory und SharePoint , Risikobewertung,Attestierung, Compliance, Unternehmensrichtlinien,Delegierung, Abonnements von Berichten und den DataGovernance Dienst.

Architektur des One Identity Manager

Abbildung 1: Überblick über die Komponenten des One Identity Manager

Der One Identity Manager besteht aus folgenden Komponenten.



Datenbank

Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgabender Datenhaltung und der Berechnung von Vererbungen. Vererbt werden könnenEigenschaften von Objekten entlang von hierarchischen Strukturen, wie Abteilungen,Kostenstellen, Standorten oder Geschäftsrollen. Bei der Datenhaltung bildet die Datenbankdie zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur Compliance undZugriffsberechtigungen ab.

Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. DieNutzdaten enthalten alle für die Datenpflege nötigen Informationen wie beispielsweiseInformationen über Personen, Benutzerkonten, Gruppen, Mitgliedschaften undBetriebsdaten, Genehmigungsworkflows, Attestierungen, Rezertifizierungen undComplianceregeln.

Die Metadaten enthalten die Beschreibung des Nutzdatenmodells sowie Skripte für Format-und Bildungsvorschriften oder bedingte Wechselwirkungen. Die kompletteSystemkonfiguration des One Identity Managers, die gesamten Einstellungen zurSteuerung der Frontends und die Queues für asynchrone Verarbeitung der Daten undProzesse sind ebenfalls Teil der Metadaten.

Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst.Die Trigger stellen dazu Verarbeitungsaufträge in eine als "DBQueue" bezeichneteAuftragsliste ein. Der DBQueue Prozessor verarbeitet diese Aufträge und berechnet dieVererbungen der jeweiligen Datenbankobjekte neu. Eine als "JobQueue" bezeichneteTabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschichtauszuführen sind.

Als Datenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz.

Serverdienst

Der One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannteProzesse. Ein Prozess besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellenund über Vorgänger-Nachfolger-Beziehungen miteinander verbunden sind. DiesesFunktionsprinzip erlaubt es, flexibel Aktionen und Abläufe an die Ereignisse von Objektenzu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die Umwandlungder als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkretenProzess in der JobQueue übernimmt der Jobgenerator.

Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der OneIdentity Manager-Datenbank verwalteten Informationen im Netzwerk. Der One IdentityManager Service übernimmt die Datensynchronisation zwischen Datenbank und denangebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbank- undDateiebene. Der One Identity Manager Service holt die Prozessschritte aus der JobQueueab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One IdentityManager Service erzeugt dazu eine Instanz der benötigten Prozesskomponente undübergibt die Parameter des Prozessschrittes. Eine Entscheidungslogik überwacht dieAusführung der Prozessschritte und veranlasst abhängig vom gemeldetenAusführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity ManagerService ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrereInstanzen von Prozesskomponenten erzeugen kann.



Der One Identity Manager Service ist die einzige Komponente des One Identity Manager,die berechtigt ist, Änderungen in den Zielsystemen auszuführen.

Anwendungsserver

Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. DerAnwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zurVerfügung und sorgt für eine sichere Verbindung zur Datenbank. Die Clients senden ihreAnfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wiebeispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet dieErgebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vomAnwendungsserver an die Datenbank übergeben.

Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst dieObjektschicht halten und direkt auf die Datenbankschicht zugreifen. In den Clientskommt in diesem Fall nur der Teil der Objektschicht zum Einsatz, der dieErfassungsprozesse abbildet.

Webserver

Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Applikationbetrieben, die aus einer Renderengine für Webseiten besteht. Der Benutzer greift mittelseines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. DerAustausch zwischen Datenbank und Webserver kann über den Anwendungsserver oderdirekt erfolgen.

Frontends

Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweisewird zur Konfiguration des One Identity Manager ein anderes Frontend verwendet als zurVerwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werdenin Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschichtbestimmt. Als Frontends stehen sowohl Clients als auch eine browserbasierte Lösung zurVerfügung.



Abbildung 2: Überblick über die Komponenten des One Identity Manager ohneAnwendungsserver

Verwandte Themen

l Werkzeuge des One Identity Manager auf Seite 14

l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? aufSeite 19

Werkzeuge des One Identity Manager

Für unterschiedliche Aufgabenstellungen gibt es verschiedene Werkzeuge. Beispielsweisewird zur Konfiguration des One Identity Manager ein anderes Werkzeuge verwendet alszur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeitwerden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch dieObjektschicht bestimmt.



Werkzeug Kurzbeschreibung

Launchpad Das Launchpad ist das zentrale Werkzeug zum Starten derAdministrationswerkzeuge und Konfigurationswerkzeuge des OneIdentity Manager. Mit dem Launchpad können Sie die vorhandene OneIdentity Manager Installation prüfen und die Werkzeuge des OneIdentity Manager zur Ausführung einzelner Aufgaben starten.

Das Launchpad ist kundenspezifisch erweiterbar. Sie können imDesigner eigene Menüeinträge und Aktionen für das Launchpaddefinieren.

Web Portal Das Web Portal ist eine webbasierte Applikation für alle One IdentityManager Benutzer. Das Web Portal stellt die stringente Arbeitsabläufein folgenden Bereichen bereit:

l Eigene Personenstammdaten und eigenes Kennwort ändern.

l Personenstammdaten für untergeordnete Mitarbeiter bearbeitenoder neu erfassen.

l Produkte im IT Shop suchen, bestellen, abbestellen oder verlän-gern.

l Eigene Rollen delegieren.

l Zugewiesene Entscheidungen, Attestierungsvorgänge und Regel-verletzungen bearbeiten.

Im Infosystem erhalten Sie verschiedene Auswertungen, zum Beispielüber eigene Bestellvorgänge oder Attestierungsvorgänge,Mitarbeiterzahlen, Genehmigungen, Regelverletzungen oder denUnified Namespace.

Das Web Portal benötigt einen Webserver. Der Benutzer greift mittelseines Webbrowsers auf die für ihn dynamisch erstellte und angepassteWebsite zu. Nach der Konfiguration des Webservers und der Freigabeeines Webprojekts im Web Designer starten Sie das Web Portal ineinem Webbrowser.

Manager Der Manager ist das zentrale Administrationswerkzeug zur Einrichtungaller Informationen über Personen und ihre Identitäten. Es werden alleInformationen abgebildet und bearbeitet, die zur Verwaltung vonPersonen mit ihren Benutzerkonten, Berechtigungen undunternehmensspezifischen Rollen in einem One Identity Manager-Netzwerk erforderlich sind. Unternehmensressourcen, die dieMitarbeiter für ihre Arbeit benötigen, können erfasst und den Personenzugewiesen werden.

Nutzen Sie den Manager außerdem, um

l unternehmensspezifische IT-Richtlinien zu definieren,

Tabelle 2: Übersicht der One Identity Manager Werkzeuge




l einen IT Shop einzurichten, über den Unternehmensressourcenund Zuweisungen bestellt werden,

l spezielle Genehmigungsverfahren einzurichten, mit denen Bestel-lungen autorisiert und die Einhaltung der IT-Richtlinien überprüftwerden,

l Attestierungsverfahren einzurichten, mit denen die Korrektheitder Informationen über Personen oder Rollen und ihre Zuwei-sungen regelmäßig attestiert werden.

Durch den Einsatz von One Identity Manager Anwendungsrollen erhältjeder One Identity Manager Benutzer nur die Bearbeitungsrechte, die erzur Erfüllung seiner administrativen Aufgaben benötigt.

Die Funktionen des Manager können als Webanwendung bereitgestelltwerden.

SynchronizationEditor

Die Anbindung verschiedener Zielsysteme an den One Identity Managerwird mit dem Synchronization Editor realisiert. Mit diesem Werkzeugkonfigurieren Sie die Synchronisation von Daten beliebiger Zielsystemeund legen fest, welche Daten der Zielsysteme in der One IdentityManager-Datenbank abgebildet werden. Dazu definieren Sie dasMapping der Objekteigenschaften und den Ablauf der Synchronisationals Workflow.

Analyzer Mit dem Analyzer können Sie Datenkorrelationen in der Datenbankautomatisch analysieren und erkennen. Diese Informationen könnengenutzt werden, um zum Beispiel direkte Berechtigungszuordnungendurch indirekte Zuordnungen zu ersetzen, und somit denVerwaltungsaufwand zu reduzieren.

Job Queue Info Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der ineinem One Identity Manager-Netzwerk laufenden Dienste. Esermöglicht eine detaillierte und übersichtliche Darstellung der Aufträgein der JobQueue und stellt verschiedene Abfragen des One IdentityManager Service auf den Servern zur Verfügung. Das Werkzeug liefertZustandsinformationen im laufenden Betrieb und ermöglicht eineschnelle Fehlererkennung und Fehlersuche.

ConfigurationWizard

Der Configuration Wizard ist das Werkzeug mit dem die Datenbank aufeinem SQL Server bzw. einem Oracle Database Datenbanksystem fürdie Verwendung in einem One Identity Manager-Netzwerk eingerichtetwird. Mit dem Configuration Wizard werden die benötigten Tabellen,Datentypen, Datenbankprozeduren des One Identity Manager Schemasin die Datenbank eingespielt. Die Datenbankrollen mit denBerechtigungen auf das One Identity Manager Schema werdenangelegt.

Im One Identity Manager ist eine automatische Versionsverwaltung




integriert, die einen konsistenten Stand der Bestandteile des OneIdentity Manager untereinander als auch zur Datenbank sichert.Werden Erweiterungen implementiert, die die Struktur verändern (zumBeispiel Tabellenerweiterungen), ist eine Migration der Datenbankerforderlich. Der Configuration Wizard führt diese Schemainstallation inAbhängigkeit vom aktuellen Stand des Schemas durch.

Designer Der Designer ist das zentrale Werkzeug zur Konfiguration des OneIdentity Manager. Das Programm bietet einen Überblick über dasgesamte Datenmodell des One Identity Manager. Es ermöglicht dieKonfiguration globaler Systemeinstellungen, wie beispielsweiseSprachen oder Konfigurationsparametern sowie die Anpassung derBenutzeroberfläche der unterschiedlichen Administrationswerkzeuge.Mit dem Designer können Sie die Rechtestruktur für die verschiedenenadministrativen Aufgaben der einzelnen Anwender undAnwendergruppen festlegen. Eine weitere zentrale Aufgabe ist dieDefinition von Arbeitsabläufen zur technischen Abbildung derAdministrationsprozesse in einem Unternehmen. Der Designer stellt fürdie Systemkonfiguration des One Identity Manager verschiedeneEditoren zur Verfügung. Funktionsumfang und Arbeitsweise derEditoren sind abgestimmt auf die unterschiedlichenKonfigurationsanforderungen.

Web Designer Der Web Designer ist das Werkzeug zur Konfiguration und Erweiterungdes Web Portals. Er stellt Funktionen zur Verfügung, mit denen dieArbeitsabläufe des Web Portals angepasst und neue Arbeitsabläufeentwickelt werden.

Data Import Mit dem Programm "Data Import" bietet der One Identity Managereinen einfache Möglichkeit für den Datenimport aus anderen Systemen.Nutzen Sie das Programm, um Daten betrieblicher Ressourcen ausexternen Quellen in Ihre Datenbank zu importieren. Das Programmunterstützt Importe aus Dateien und direkte Importe aus anderenDatenbanksystemen. Datenimporte können sofort ausgeführt werden.Zusätzlich werden Importskripte erzeugt, mit denen Datenimporte überkundenspezifische Prozesse ausführbar sind. Die Importdefinition wirdgespeichert und kann bei weiteren Datenimporten genutzt werden.

CryptoConfiguration

Unter Umständen ist es notwendig, Informationen verschlüsselt in derDatenbank abzulegen. Die Verschlüsselung erfolgt mit dem Programm"Crypto Configuration". Das Programm erzeugt eine Schlüsseldatei undkonvertiert die Inhalte der betroffenen Datenbankspalten. DieSchlüsselinformationen werden in der Datenbank abgelegt.

DatabaseCompiler

Nach Änderungen von Konfigurationsdaten müssen Sie die One IdentityManager-Datenbank kompilieren. Nach dem Import einesMigrationspaketes oder eines kompletten Kundenkonfigurationspaketeswird die Kompilierung der Datenbank aus dem Configuration Wizard




oder dem Database Transporter heraus sofort gestartet.

Nach dem Import von Hotfixpaketen oder eingeschränktenKundenkonfigurationspaketen sowie nach Änderungen von Prozessen,Skripten, Bildungsvorschriften, Objektdefinitionen,Methodendefinitionen und präprozessorrelevantenKonfigurationsparametern wird der Database Compiler zurKompilierung der One Identity Manager-Datenbank eingesetzt.

Report Editor Mit dem Report Editor können Sie Informationen über die One IdentityManager-Objekte in Reporten zusammenzustellen. Sie können dieseDaten gruppieren, aggregieren und grafisch darstellen. Bei derMigration werden bereits von uns definierte Reporte mitgeliefert. Mitdem Report Editor können Sie aber auch eigene Reporte erstellen.

SchemaExtension

Schema Extension wird zur Erweiterung des bestehendenAnwendungsdatenmodells einer One Identity Manager-Datenbank umkundenspezifische Tabellen und Spalten eingesetzt. Mit der im OneIdentity Manager verwendeten Objekttechnologie ist es möglich, dasAnwendungsdatenmodell kundenspezifisch um Spalten und Tabellen aufDatenbankebene zu erweitern, sodass diese Erweiterungen auf derObjektebene mit allen Funktionen verfügbar sind.

SystemDebugger

Mit dem System Debugger können Sie Skripte erstellen, starten unddebuggen. Die in Ihrer One Identity Manager-Datenbank vorhandenenSkripte werden in eine Visual Studio Skriptbibliothek importiert. Dortkönnen Sie die Skripte lokal bearbeiten und testen. Anschließendentscheiden Sie, ob Ihre Änderungen in die One Identity Manager-Datenbank übernommen werden sollen.

DatabaseTransporter

Der Database Transporter wird eingesetzt, um Objekte undkundenspezifische Anpassungen sowie kundenspezifischeDatenbankprozeduren, Trigger, Funktionen und Views aus einer OneIdentity Manager-Datenbank (Quellsystem) in eine andere One IdentityManager-Datenbank (Zielsystem) zu transportieren.

HistoryDBManager

Historische Daten der One Identity Manager-Datenbank werden inzyklischen Abständen in eine One Identity Manager History Databaseübertragen. Diese One Identity Manager History Database stellt somitdas Veränderungsarchiv dar. Der HistoryDB Manager ist das Werkzeugzur Anzeige der Daten der One Identity Manager History Database.Nutzen Sie den HistoryDB Manager um den Zugriff auf dieQuelldatenbanken einzurichten.

Job ServiceConfiguration

Job Service Configuration ist das Werkzeug mit dem dieKonfigurationsdatei für den One Identity Manager Service erstellt undangepasst wird. Mit dieser Datei werden der One Identity ManagerService selbst und seine Plugins konfiguriert. Die Konfigurationsdateiist sowohl für den One Identity Manager Service auf einem Windows




Betriebssystem als auch für den Linux-Deamon notwendig.

License Meter Mit dem Assistenten "License Meter" führen Sie eine LizenzvermessungIhrer One Identity Manager-Datenbank durch. Der Assistent erstellteinen Bericht mit den Lizenz-relevanten Informationen.

SoftwareLoader

Mit dem Software Loader werden neue oder geänderte Dateien,beispielsweise kundenspezifische Formulararchive, in die One IdentityManager-Datenbank geladen um diese über die Mechanismen derautomatischen Softwareaktualisierung an die Arbeitsstationen undJobserver eines One Identity Manager-Netzwerkes zu verteilen.

Server Installer Mit dem Server Installer können Sie den One Identity Manager Serviceinstallieren und konfigurieren. Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokaleInstallation des Dienstes ist mit diesem Programm nicht möglich.

Verwandte Themen

l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? aufSeite 19

Welche Komponenten und Frontendsarbeiten mit einem Anwendungsserver?

Der nachfolgenden Liste entnehmen Sie, welche der Komponenten des One IdentityManager gegen einen Anwendungsserver arbeiten können. Einige Frontends arbeiten nurmit eingeschränkter Funktionalität gegen einen Anwendungsserver.

Komponente Verbindung überAnwendungsservermöglich?

Einschränkungen

Launchpad Ja Einige der Anwendungen, die aus demLaunchpad gestartet werden, benötigen einedirekte Verbindung zur Datenbank.

Web Portal Ja

Manager Ja Die Konsistenzprüfung wird nicht unterstützt.

Die Simulation der Complianceregeln wird nichtunterstützt.

Tabelle 3: One Identity Manager Komponenten und Anwendungsserver




Einschränkungen

Einige Formulare werden nicht unterstützt.

ManagerWebanwendung

Ja Einige Formulare werden nicht unterstützt.

SynchronizationEditor

Ja

Analyzer Ja

Job Queue Info Nein

ConfigurationWizard

Nein

Designer Ja Die Konsistenzprüfung wird nicht unterstützt.

Die Simulation von Prozessen wird nichtunterstützt.

Das Kompilieren der Datenbank wird nichtunterstützt.

Web Designer Ja

Data Import Ja

CryptoConfiguration

Nein

DatabaseCompiler

Nein

Report Editor Ja Testen von SQL Abfragen wird nicht unterstützt.

SchemaExtension

Nein

SystemDebugger

Ja

DatabaseTransporter

Nein

HistoryDBManager

Ja

License Meter Ja

SoftwareLoader

Ja




Einschränkungen

SPMLWebanwendung

Nein

SOAP WebService

Nein

One IdentityManagerService

Ja

Server Installer Ja



3

Installationsvoraussetzungen

Die nachfolgend beschriebenen Installationsvoraussetzungen stellen lediglichMindestanforderungen zur Inbetriebnahme und uneingeschränkten Nutzung des OneIdentity Manager dar. Abhängig von der Projektgröße und den unterstütztenGeschäftsprozessen und Geschäftsvorfällen können diese Voraussetzungen als Ansatzpunktfür weitere Planungen verwendet werden. Die Ermittlung und gegebenenfallsWeiterentwicklung von Hardwarekapazitäten ist Bestandteil der Projektplanung undabhängig von der Spezifikation des Identity Management Projektes. BesonderesAugenmerk muss auf I/O Performance (in Durchsatz und Latenz) gelegt werden,insbesondere in SAN Umgebungen empfiehlt sich eine gezielte Leistungsanalyse derkonkreten Infrastruktur vor dem Einsatz.

Jede One Identity Manager Installation kann virtualisiert werden. Stellen Sie sicher, dassder jeweiligen One Identity Manager-Komponente die laut Systemanforderungspezifizierte Leistung und Ressourcen zur Verfügung stehen. Idealerweise solltenRessourcenzuordnungen für den Datenbankserver statisch festgesetzt werden. DieVirtualisierung einer One Identity Manager Installation sollte von Experten mit einemfundierten Wissen über Virtualisierungstechniken vorgenommen werden. WeitereInformationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für denProdukt-Support.

HINWEIS: Sollten für den Einsatz einzelner One Identity Manager Module zusätzlicheSystemanforderungen und Berechtigungen erforderlich sein, so werden diese in denentsprechenden Handbüchern aufgeführt.

Detaillierte Informationen zum Thema

l Minimale Systemanforderungen für den Datenbankserver auf Seite 23

l Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 24

l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 25

l Minimale Systemanforderungen für die administrative Arbeitsstation auf Seite 27

l Minimale Systemanforderungen für den Dienstserver auf Seite 28

l Minimale Systemanforderungen für den Webserver auf Seite 30

l Minimale Systemanforderungen für den Anwendungsserver auf Seite 32

l Benutzer und Berechtigungen für den One Identity Manager auf Seite 34


Installationsvoraussetzungen22

https://support.oneidentity.com/essentials/support-guide


l Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35

l Berechtigungen für Oracle Datenbankbenutzer auf Seite 37

l Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 39

l Kommunikationsports und Firewall Konfiguration auf Seite 40

Minimale Systemanforderungen für denDatenbankserver

One Identity Manager unterstützt folgende Datenbanksysteme:

l SQL Server

l Oracle Database

Für die Installation der Datenbank sind auf einem Server folgende Systemvoraussetzungenzu gewährleisten.

Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung

HINWEIS: Aus Performancegründen wird der Einsatz von 16physischen Kernen empfohlen.

Arbeitsspeicher 16 GB+ RAM

FreierFestplattenspeicher

100 GB

Betriebssystem Windows Betriebssysteme

Unterstützt werden die Versionen:

l Windows Server 2008 (nicht-Itanium 64 bit) ab Service Pack2

l Windows Server 2008 R2 (nicht-Itanium 64 bit) ab ServicePack 1

l Windows Server 2012

l Windows Server 2012 R2


UNIX und Linux Betriebssysteme

l Beachten Sie die Minimalanforderungen des Betriebs-systemherstellers für Oracle Datenbanken.

Tabelle 4: Minimale Systemanforderungen - Datenbankserver



HINWEIS: In virtuellen Umgebungen muss gesichert sein, dass der VM-Host demDatenbankserver die laut Systemanforderung spezifizierte Leistung und Ressourcenzur Verfügung stellt. Idealerweise sollten Ressourcenzuordnungen für denDatenbankserver statisch festgesetzt werden. Des Weiteren ist eine optimale I/OPerformance insbesondere für den Datenbankserver zwingend erforderlich. WeitereInformationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für denProdukt-Support.

Verwandte Themen

l Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 24

l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 25



Weitere Systemanforderungen bei Einsatzeiner SQL Server Datenbank

Wenn Sie eine SQL Server Datenbank einsetzen, stellen Sie für die Installation des OneIdentity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit,der die folgenden Mindestanforderungen erfüllt.

Software l SQL Server


l SQL Server 2016 Standard Edition, Service Pack 1 oderhöher

l SQL Server 2017 Standard Edition

HINWEIS: Aus Performancegründen wird der Einsatzder SQL Server Enterprise Edition empfohlen.

l SQL Server Management Studio (empfohlen)

Kompatibilitätsgradfür Datenbanken

SQL Server 2016 (130)

Standard-Sortierschema

l Case-Insensitiv

Tabelle 5: Systemanforderungen bei Einsatz einer SQL Server Datenbank





l Empfehlung: SQL_Latin1_General_CP1_CI_AS

HINWEIS: Das Sortierschema "SQL_Latin1_General_CP1_CI_AS" wird bei der Installation des One IdentityManager Schemas erwartet und gegebenenfalls für dieDatenbank eingestellt.

Standardsprachefür Benutzer desDatenbankservers

English

Sprache fürDatenbankbenutzer

English

ZusätzlicheAnforderungen

Starten Sie den SQL Server Agent in der Dienstverwaltung des SQLServer. Sie können sich am SQL Server Agent sowohl mit einemDomänen-Benutzerkonto (Domain User) mit WindowsAuthentifizierung anmelden als auch mit einem lokalenSystemkonto.

HINWEIS: Es kann zu einer schlechten Performance bei der Verwendung vonTabellenvariablen kommen. Hierzu gibt es einen Fix von Microsoft. Dazu musszusätzlich das Ablaufverfolgungsflag 2453 gesetzt werden. Sie können dazu in denServerstartoptionen den Startparameter -T2453 setzen. Weitere Informationenfinden Sie unter https://support.microsoft.com/en-us/kb/2952444 undhttps://msdn.microsoft.com/en-us/library/ms345416%28v=sql.110%29.aspx.

Verwandte Themen



Weitere Systemanforderungen bei Einsatzeiner Oracle Datenbank

Wenn Sie eine Oracle Datenbank einsetzen, stellen Sie für die Installation des One IdentityManager Schemas einen installierten und konfigurierten Datenbankserver bereit, derfolgende Mindestanforderungen erfüllt.

HINWEIS: Um die einwandfreie Funktion des One Identity Manager sicherzustellen,wird ein Datenbankserver erwartet, dessen Konfigurationseinstellungen einerStandardinstallation entsprechen.



https://support.microsoft.com/en-us/kb/2952444

https://msdn.microsoft.com/en-us/library/ms345416(v=sql.110).aspx

Software l Oracle Database


l Oracle Database 12c Standard Edition oder Enterprise Editionab Version 12.1.0.2

Das Patch Level unterscheidet sich je nach Systemplattform.

HINWEIS: Es wird dringend empfohlen die Patches für dieOracle Bugs 18097476 (Doc ID 1683819.1) und 19497286 (DocID 19497286.8) anzuwenden.

l Oracle Client Tools

Die Version sollte mindestens der Version der eingesetztenDatenbank entsprechen. Beachten Sie hierbei die Empfehlungen vonOracle bezüglich der einzusetzenden Client Tools.

In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt.

HINWEIS: Die Verwendung von Oracle Client Tools wird vomOne Identity Manager nur unter Windows Betriebssystemenunterstützt.

HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbankper TCP/IP möglich ist, kann auf den Oracle Client verzichtetwerden. Der im One Identity Manager integrierte OracleKonnektor stellt die Verbindung zur Datenbank her.

HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, die entweder

l eine Angabe mehrerer "ADDRESS" Einträge für einen"net_service_name" in der clientseitige tnsnames.ora

oder

l zusätzliche Einträge in der clientseitigen sqlnet.ora

erfordern, sollte der Zugriff auf die Oracle Datenbank über denOracle Client erfolgen.

Zeichensatz Unicode (AL32UTF8) und Option "Oracle Text"

Parameter NLS_LENGHT_SEMANTICS mit dem Wert "CHAR"

Tablespace Es muss ein initialer Tablespace eingerichtet sein. Der Tablespace mussmindestens eine Block-Size von 8 kByte haben.

Tabelle 6: Systemanforderungen bei Einsatz einer Oracle Datenbank

HINWEIS: Bei Einsatz vom Systemen mit mehreren Knoten (beispielsweise Clustern)müssen alle Knoten den gleichen Versionsstand (Patch Level) haben.



Verwandte Themen



Minimale Systemanforderungen für dieadministrative Arbeitsstation

Zur Darstellung und Bearbeitung von Daten werden die Administrationswerkzeuge undKonfigurationswerkzeuge des One Identity Manager auf einer administrativenArbeitsstation installiert.

Zur Installation der Werkzeuge sind auf der administrativen Arbeitsstation die folgendenSystemvoraussetzungen zu gewährleisten.

Prozessor 4 physische Kerne mit 2 GHz+ Taktung

Arbeitsspeicher 4 GB+ RAM


1 GB



l Windows Vista mit dem aktuellen Service Pack

l Windows 7 (32 bit oder nicht-Itanium 64 bit) mit demaktuellen Service Pack

l Windows 8 (32 bit oder 64 bit) mit dem aktuellenService Pack

l Windows 8.1 (32 bit oder 64 bit) mit dem aktuellenService Pack

l Windows 10 (32 bit oder 64 bit) mindestens Version1511

Zusätzliche Software l Microsoft .NET Framework Version 4.5.2 oder höher

HINWEIS: Microsoft .NET Framework Version 4.6wird nicht unterstützt.

l Windows Installer

UnterstützteBrowserversionen

l Internet Explorer 11 oder höher

l Firefox (Release Channel)

Tabelle 7: Minimale Systemanforderungen - Administrative Arbeitsstation



l Chrome (Release Channel)

l Microsoft Edge (Release Channel)

ZusätzlicheSoftware

Windows Betriebssysteme


Die Version sollte mindestens der Version der eingesetzten Datenbankentsprechen. Beachten Sie hierbei die Empfehlungen von Oraclebezüglich der einzusetzenden Client Tools.




HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, die entweder


oder


erfordern, sollte der Zugriff auf die Oracle Datenbank über denOracle Client erfolgen.

Tabelle 8: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank

Minimale Systemanforderungen für denDienstserver

Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der OneIdentity Manager-Datenbank verwalteten Informationen im Netzwerk. Der One IdentityManager Service übernimmt die Datensynchronisation zwischen Datenbank und denangebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbankebeneund Dateiebene.

Zur Installation des One Identity Manager Service sind auf einem Server folgendeSystemvoraussetzungen zu gewährleisten.




Arbeitsspeicher 16 GB RAM


40 GB








Linux Betriebssysteme

l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden.



l Microsoft .NET Framework Version 4.5.2 oder höher

HINWEIS: Microsoft .NET Framework Version 4.6 wirdnicht unterstützt.

HINWEIS: Für die Zielsystemanbindung beachten Siedie Empfehlungen des Zielsystemherstellers.

l Windows Installer


l Mono 4.6 oder höher

Tabelle 9: Minimale Systemanforderungen - Dienstserver




Die Version sollte mindestens der Version der eingesetztenDatenbank entsprechen. Beachten Sie hierbei die Empfehlungen vonOracle bezüglich der einzusetzenden Client Tools.

Tabelle 10: Zusätzliche Systemanforderungen bei Einsatz einer OracleDatenbank






HINWEIS: Bei Einsatz von Oracle Real Application Clusterssowie anderen Oracle Datenbankkonfigurationen, dieentweder


oder


erfordern, sollte der Zugriff auf die Oracle Datenbank überden Oracle Client erfolgen.


l Bei Verwendung eines Oracle Datenbanksystem ist der direkteZugriff auf die Datenbank per TCP/IP erforderlich. Eine Verbindungzu Oracle Real Application Clusters wird unter Linux Betriebs-systemen nicht unterstützt.

Verwandte Themen


Minimale Systemanforderungen fürden Webserver

Zur Installation des Web Portals sind auf einem Webserver folgendeSystemvoraussetzungen zu gewährleisten.

Prozessor 4 physische Kerne mit 1.65 GHz+Taktung

Tabelle 11: Systemanforderungen - Webserver





40 GB









l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden. Beachten Sie die Minima-lanforderungen des Betriebssystemherstellers für ApacheHTTP Server.





l Windows Installer

l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10mit ASP.NET 4.5.2 und den Role Services:

l Web Server > Common HTTP Features > Static Content

l Web Server > Common HTTP Features > DefaultDocument

l Web Server > Application Development > ASP.NET

l Web Server > Application Development > .NET Exten-sibility

l Web Server > Application Development > ISAPI Exten-sions

l Web Server > Application Development > ISAPI Filters

l Web Server > Security > Basic Authentication

l Web Server > Security > Windows Authentication



l Web Server > Performance > Static Content Compres-sion

l Web Server > Performance > Dynamic ContentCompression


l NTP - Client


l Apache HTTP Server 2.0 oder 2.2 mit folgenden Modulen:

l mod_mono

l rewrite

l ssl (optional)

Minimale Systemanforderungen für denAnwendungsserver

Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung und hält die Geschäftslogik. Zur Installation des One Identity Manager auf einemAnwendungsserver sind die folgenden Systemvoraussetzungen zu gewährleisten.




40 GB









Tabelle 12: Systemanforderungen - Anwendungsserver



l Linux Betriebssystem (64 bit), welches vom Mono Projektunterstützt wird oder Docker Images, die vom Mono Projektbereitgestellt werden. Beachten Sie die Minima-lanforderungen des Betriebssystemherstellers für ApacheHTTP Server.





l Windows Installer

l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10mit ASP.NET 4.5.2 und den Role Services:

l Web Server > Common HTTP Features > Static Content

l Web Server > Common HTTP Features > DefaultDocument

l Web Server > Application Development > ASP.NET

l Web Server > Application Development > .NET Exten-sibility

l Web Server > Application Development > ISAPI Exten-sions

l Web Server > Application Development > ISAPI Filters

l Web Server > Security > Basic Authentication

l Web Server > Security > Windows Authentication

l Web Server > Performance > Static Content Compres-sion

l Web Server > Performance > Dynamic ContentCompression


l NTP - Client


l Apache HTTP Server 2.0 oder 2.2 mit folgenden Modulen:

l mod_mono

l rewrite

l ssl (optional)



Benutzer und Berechtigungen für denOne Identity Manager

Benutzer Berechtigungen

Datenbankbenutzerzur Installation desOne IdentityManager

SQL Server:

Weitere Informationen finden Sie unter Berechtigungen für SQLServer Datenbankbenutzer auf Seite 35.

Oracle Database:

Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.

Datenbankbenutzerfür den laufendenBetrieb des OneIdentity Manager

SQL Server:

Weitere Informationen finden Sie unter Berechtigungen für SQLServer Datenbankbenutzer auf Seite 35.

Oracle Database:


Datenbankbenutzerfür Endbenutzer

SQL Server:

Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten,müssen nur Mitglied der Datenbankrolle "basegroup" sein.

Oracle Database:


Benutzer zurAnmeldung am OneIdentity Manager

Zur Anmeldung an den Administrationswerkzeugen verwendet derOne Identity Manager unterschiedliche Authentifizierungsmodule.Die Authentifizierungsmodule ermitteln den anzuwendendenSystembenutzer und laden abhängig von dessen Mitgliedschaften inRechtegruppen die Benutzeroberfläche und die Bearbeitungsrechteauf Ressourcen der Datenbank.

Weitere Informationen finden Sie unter Anhang: One IdentityManager Authentifizierungsmodule auf Seite 169.

Benutzerkonto fürden One IdentityManager Service

Das Benutzerkonto für den One Identity Manager Service benötigtdie Rechte, um die Operationen auf Dateiebene durchzuführen(Rechtevergabe, Verzeichnisse und Dateien anlegen undbearbeiten).

Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (DomainUsers) angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht

Tabelle 13: Benutzer für den One Identity Manager



Benutzer Berechtigungen

"Anmelden als Dienst" (Log on as a service).

Das Benutzerkonto benötigt Rechte für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter demBenutzerkonto des Network Service (NTAuthority\NetworkService) laufen, so können Sie die Rechtefür den internen Webservice über folgendenKommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity ManagerServices benötigt das Benutzerkonto Vollzugriff auf das One IdentityManager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiertunter:

l %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebs-systemen)

l %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

HINWEIS: Für die Synchronisation des One Identity Managermit den einzelnen Zielsystemen können weiterezielsystemspezifische Berechtigungen erforderlich sein. DieseBerechtigungen werden in den entsprechenden Handbüchernerläutert.

Weitere Informationen finden Sie unter Einrichten der Berechtigungzum Erstellen eines HTTP Server auf Seite 39.

Berechtigungen für SQL ServerDatenbankbenutzer

HINWEIS: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen.

Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypenunterschieden werden:

l Endbenutzer

Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nurMitglied der Datenbankrolle "basegroup" sein.



l Administrative Benutzer

Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen.Hierbei kann zwischen Berechtigungen für die Installation und Berechtigungen fürden laufenden Betrieb unterschieden werden.

Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden folgendeBerechtigungen benötigt.

Berechtigung FürDatenbank

Benötigtfür Instal-lation

BenötigtfürlaufendenBetrieb

Benötigt für

Serverrolle "dbcreator"* x - Erzeugen derDatenbank.

Serverrolle"processadmin"

- x Aktivität vonVerbindungen prüfenund gegebenenfallsschließen derVerbindung.

Datenbankrolle "db_owner"

OneIdentityManager

x x Erzeugen derDatenbank.Betreiben derDatenbank.

Datenbankrolle"basegroup"**

OneIdentityManager

- x InterneBerechtigungsrollefürDatenbankobjekte.

Berechtigung "Execute" Master x x Starten des SQLServer Agent.

Datenbankrolle"SQLAgentUserRole"

msdb - x Ausführen vonDatenbankschedules.

Datenbankrolle "db_Datareader"

msdb - x Lesen und ÄndernvonDatenbankschedules.

Datenbankrolle"SQLAgentOperatorRole"

msdb x x Definieren vonDatenbankschedules.

Berechtigung "Connect" tempdb x x Prüfen, obEinzelbenutzermoduswährend derVerbindungerforderlich ist.

Tabelle 14: Berechtigungen für Datenbankbenutzer unter SQL Server



Berechtigung FürDatenbank

Benötigtfür Instal-lation

BenötigtfürlaufendenBetrieb

Benötigt für

*) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den ConfigurationWizard erstellt wird.

**) Die Datenbankrolle "basegroup" wird während der initialen Schemainstallation derOne Identity Manager-Datenbank standardmäßig angelegt.

HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migrationder Datenbank gewechselt, dann muss der neue Datenbankbenutzer nachträglich alsEigentümer der Datenbankschedules eingetragen werden. Ansonsten kommt es zuFehlermeldungen bei der Ausführung der Datenbankschedules.

Hinweise zur Nutzung der integrierten Windows Authentifizierung

Die integrierte Windows Authentifizierung kann für den One Identity Manager Service unddie Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann dieintegrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppenzur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringenddie Nutzung einer SQL Server Anmeldung empfohlen.

Um die integrierte Windows Authentifizierung einzusetzen

l Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL ServerAnmeldung ein.

l Tragen Sie als Standardschema "dbo" ein.

l Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. WeitereInformationen finden Sie unter Tabelle 14 auf Seite 36.

Berechtigungen für OracleDatenbankbenutzer

Für die Nutzung der Datenbank sollte ein eigener Datenbankbenutzer eingerichtetwerden. Den Datenbankbenutzer können Sie über den Configuration Wizard erzeugenoder manuell erstellen.

HINWEIS: Die verwendeten Datenbankbenutzer müssen die Berechtigungen direkterhalten. Bei der Zuweisung von Berechtigungen über Datenbankrollen kann es beider Ausführung von Datenbankabfragen, aufgrund vonBerechtigungseinschränkungen, zu Oracle Fehlermeldungen kommen.



Berechtigungen für Oracle Database Installationen

Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden fürOracle Database Installationen die folgenden Berechtigungen benötigt.

Berechtigung Benötigt Für

GRANT ALTERSESSION TO<user>

Einstellungen der eigenen Benutzersitzung ändern.

GRANTANALYZE ANYTO <user>

Die Berechtigung wird zum Ausführen der Prozedur DBMS_STATS.FLUSH_DATABASE_MONITORING_INFO während der Statistikberechnungenverwendet. Sollen keine Statistiken ermittelt werden, kann auf dieseBerechtigung verzichtet werden.

GRANTCONNECT TO<user>

Datenbank verbinden.

GRANTCREATE JOBTO <user>

Datenbankschedules erzeugen.

GRANTCREATEPROCEDURETO <user>

Schemaobjekte erzeugen.

GRANTCREATESEQUENCE TO<user>


GRANTCREATESYNONYM TO<user>


GRANTCREATE TABLETO <user>


GRANTCREATETRIGGER TO<user>


GRANTCREATE TYPETO <user>


Tabelle 15: Berechtigungen für Datenbankbenutzer



Berechtigung Benötigt Für

GRANTCREATE VIEWTO <user>


GRANTEXCEUTE ONDBMS_PIPE TO<user>

Kommunikation der einzelnen Verarbeitungsschritte mit derHauptroutine des DBQueue Prozessor im Parallelbetrieb.

GRANTEXECUTE ONDBMS_CRYPTOTO <user>

Zugriff auf Paket für allgemeine Verschlüsselungsroutinen.

GRANTEXECUTE ONDBMS_LOCKTO <user>

Nutzung der Sleep-Methode bei der Weiterschaltung der Verarbeitung imDBQueue Prozessor, zum Beispiel zum Warten auf Beenden einzelnerVerarbeitungsschritte.

GRANT SELECTON GV_$OSSTAT TO<user>

Informationen zu aktuellen Serverversion auslesen.

GRANT SELECTON GV_$SESSION TO<user>

Informationen der aktuellen Sitzungen auslesen. Diese Berechtigungwird unter anderem dazu benötigt, die Datenbank in derEinzelbenutzermodus zu schalten.

Einrichten der Berechtigung zumErstellen eines HTTP Server

Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTPServer erfolgen (http://<Servername>:<Portnummer>).

Damit ein Benutzer einen HTTP-Server öffnen kann, muss er dazu berechtigt werden. Dazumuss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann überfolgenden Kommandozeilenaufruf erfolgen:

netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername>

Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NTAuthority\NetworkService) laufen, so müssen explizit Rechte für den internen Webservicevergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NTAUTHORITY\NETWORKSERVICE"



Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüftwerden:

netsh http show urlacl

Kommunikationsports und FirewallKonfiguration

Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenenNetzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriffauf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenteninstalliert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrerFirewall installieren möchten, müssen Sie verschiedene Ports öffnen.

Die folgenden Basisports werden benötigt.

Standardport Beschreibung

SQL Server:1433

Oracle: 1521

Port zur Kommunikation mit der Datenbank.

1880 Port für das HTTP- basierte Protokoll des One Identity Manager Service.

2880 Port für die Zugriffstests innerhalb des Synchronization Editor.

80 Port für den Zugriff auf die Webanwendungen.

88 Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierungeingesetzt wird).

135 Microsoft EPMAP (End Point Mapper) (auch DCE/RPC Locator Service)

137 NetBIOS Name Service

139 NetBIOS Session Service

Tabelle 16: Kommunikationsports

Für die Verbindung zu den Zielsystemen können weitere Ports erforderlich sein. DiesePorts werden in den entsprechenden Handbüchern aufgeführt.



4

Installieren des One IdentityManager

Um den One Identity Manager zu installieren, sind folgende Schritte erforderlich.

1. Installieren der One Identity Manager-Komponenten auf der administrativenArbeitsstation, auf welcher die Schemainstallation der One Identity Manager-Datenbank gestartet wird.

2. Installieren des One Identity Manager Schemas mit dem Configuration Wizard.

3. Einrichten eines Servers, der die Verarbeitung von SQL Prozessen übernimmt.

a. Der Server muss als Jobserver mit der Serverfunktion "SQLAusführungsserver" in der Datenbank eingetragen sein.

b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die One Identity Manager-Datenbank installiert und konfiguriert sein.

HINWEIS: Für ein Lastverteilung der SQL Prozesse können mehrere SQL Ausfüh-rungsserver eingerichtet werden.

4. Einrichten eines Aktualisierungsservers für die automatische Softwareaktualisierungweiterer Server.

a. Der Server muss als Jobserver mit der Serverfunktion "Aktualisierungsserver"in der Datenbank eingetragen sein.

b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die One Identity Manager-Datenbank installiert und konfiguriert sein.

HINWEIS: Mit dem Configuration Wizard können Sie bereits einen SQL Ausfüh-rungsserver und den Aktualisierungsserver einrichten. Weitere Informationen findenSie unter Installieren des One Identity Manager Service für die Datenbank auf Seite60.

Zusätzlich können folgende Installationen ausgeführt werden.

l Installieren weiterer Arbeitsstationen.

l Installieren weiterer Server mit One Identity Manager Service.

l Installieren eines Anwendungsservers.

l Installieren des Web Portal auf einem Webserver.


Installieren des One Identity Manager41

l Installieren der Manager Webanwendung auf einem Webserver.

l Installieren weiterer Webservices wie SPML Webservice oder SOAP Web Service.

Ausführliche Informationen zum Installieren der Webservices finden Sie im OneIdentity Manager Konfigurationshandbuch.

Den One Identity Manager können Sie auf folgende Arten installieren und aktualisieren.

l Die Erstinstallation der One Identity Manager-Komponenten auf den Arbeitsstationennehmen Sie mit dem Installationsassistenten vor.

l Die Erstinstallation des One Identity Manager Service auf den Servern nehmen Siemit dem Installationsassistenten oder remote mit dem Server Installer vor.

l Zur Aktualisierung vorhandener Installationen setzen Sie die automatischeSoftwareaktualisierung ein.

l Für die manuelle Aktualisierung einzelner Arbeitsstationen und einzelner Servernutzen Sie den Installationsassistenten.

Ausführliche Informationen zur Aktualisierung des One Identity Manager finden Sie unterAktualisieren des One Identity Manager auf Seite 84.


l Bevor Sie die Installation des One Identity Manager starten auf Seite 42

l Installieren der One Identity Manager-Komponenten auf Seite 43

l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 47

l Installieren und Konfigurieren des One Identity Manager Service auf Seite 74

l Installieren eines One Identity Manager Anwendungsservers auf Seite 108

l Installieren des Web Portal auf Seite 115

l Installieren und Aktualisieren der Manager Webanwendung auf Seite 138

Bevor Sie die Installation des OneIdentity Manager starten

l Stellen Sie vor der Installation des One Identity Manager sicher, dass die minimalenHardware- und Softwarevoraussetzungen auf den Arbeitsstationen und den Serverngewährleistet sind.

l Beenden Sie alle Programm- und Dienstkomponenten, da sonst die Installation nichtbeginnen kann.

HINWEIS: Für die Aktualisierung von One Identity Manager Version 6.x auf OneIdentity Manager Version 7.0 wird ein separates Upgrade Package zur Verfügunggestellt. Entsprechende Anfragen richten Sie an den Support. Das Support Portal istunter https://support.oneidentity.com/identity-manager/ erreichbar.



https://support.oneidentity.com/identity-manager/


l Installationsvoraussetzungen auf Seite 22

l Installieren des One Identity Manager auf Seite 41

l Aktualisieren des One Identity Manager auf Seite 84

Installieren der One Identity Manager-Komponenten

Bei der Installation der One Identity Manager-Komponenten auf Arbeitsstationen undServern werden Sie durch einen Installationsassistenten unterstützt.

HINWEIS: Starten Sie die Installation der Administrationswerkzeuge undKonfigurationswerkzeuge nach Möglichkeit immer auf einer administrativenArbeitsstation.

Um die One Identity Manager Komponenten zu installieren

1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.

2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klickenSie Installieren.

3. Der Installationsassistent wird gestartet. Auf der Startseite wählen Sie die Sprachefür den Installationsassistenten und klicken SieWeiter.

4. Bestätigen Sie die Lizenzbedingungen.

5. Auf der Seite Einstellungen für die Installation legen Sie die Daten zurInstallationsquelle und Installationsziel fest.

l Wählen Sie unter Installationsquelle das Verzeichnis mit denInstallationsdateien.

l Wählen Sie unter Installationsverzeichnis das Verzeichnis, in das dieDateien des One Identity Manager installiert werden sollen.

HINWEIS: Um weitere Konfigurationseinstellungen vorzunehmen, klickenSie auf die Pfeil Schaltfläche neben dem Eingabefeld. Hier können Siefestlegen, ob die Installation auf einem 64 Bit- Betriebssystem oder aufeinem 32 Bit-Betriebssystem erfolgt.

Für eine Standardinstallation nehmen Sie keine weiterenKonfigurationseinstellungen vor.

l Wenn die Installationsinformationen über die vorhandene One IdentityManager-Datenbank geladen werden sollen, aktivieren Sie die OptionInstallationsmodule mit der Datenbank auswählen.



HINWEIS: Für Installation der Arbeitsstation, auf der Sie die Installationdes One Identity Manager Schemas starten, lassen Sie die Optiondeaktiviert.

l Um zusätzliche One Identity Manager Module zur gewählten Editionhinzuzufügen, aktivieren Sie die Option Weitere Module zur gewähltenEdition hinzufügen.

l Klicken SieWeiter.

6. Auf der Seite Modulauswahl wählen Sie die zusätzlich zu installierenden Moduleund klicken SieWeiter.

HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule zur gewählten Edition hinzufügen aktiviert haben.

7. Auf der Seite Datenbank verbinden erfassen Sie die Informationen zurDatenbankverbindung.

HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionInstallationsmodule mit der Datenbank auswählen aktiviert haben.

a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Verbindung.

- ODER -

Klicken Sie auf Neue Verbindung erstellen, wählen Sie den Systemtyp underfassen Sie die Verbindungsdaten.

Eingabe Beschreibung

Server Datenbankserver.

WindowsAuthentifizierung

Angabe, ob integrierte Windows Authentifizierungverwendet wird.

Die Verwendung dieser Authentifizierung wird nichtempfohlen. Sollten Sie dieses Verfahren dennocheinsetzen, stellen Sie sicher, dass Ihre UmgebungWindows Authentifizierung unterstützt.

Nutzer Datenbankbenutzer.

Kennwort Kennwort des Datenbankbenutzers.

Datenbank Datenbank.

Tabelle 17: Verbindungsdaten zur SQL Server Datenbank




Direktzugriff (ohneOracle Client)

Für den direkten Zugriff aktivieren Sie die Option.

Für den Zugriff über Oracle Clients deaktivieren Siedie Option.

Die erforderlichen Verbindungsdaten sind abhängigvon der Einstellung dieser Option.


Port Port der Oracle Instanz.

Service Name Service Name.

Benutzer Oracle Datenbankbenutzer.


Datenquelle TNS Alias Name aus der TNSNames.ora.

Tabelle 18: Verbindungsdaten zur Oracle Datenbank

b. Wählen Sie im Bereich "Authentifizierungsverfahren" dasAuthentifizierungsmodul und geben Sie die Anmeldedaten für dieSystembenutzerkennung ein.

Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.

c. Klicken SieWeiter.

8. Auf der Seite Maschinenrolle zuordnen legen Sie die Maschinenrollen fest undklicken SieWeiter.

HINWEIS: Die zu den One Identity Manager Modulen passenden Maschi-nenrollen sind aktiviert. Bei Auswahl einer Maschinenrolle werden alle unter-geordneten Maschinenrollen mit ausgewählt. Sie können einzelneMaschinenrollen abwählen.

9. Auf der letzten Seite des Installationsassistenten können Sie verschiedeneProgramme für die weitere Installation starten.

l Um die Installation des One Identity Manager Schemas auszuführen, startenSie den Configuration Wizard und folgen Sie den Anweisungen desConfiguration Wizard.

HINWEIS: Führen Sie diesen Schritt nur auf der Arbeitsstation aus, aufder Sie die Installation des One Identity Manager Schemas starten.

l Um die Konfiguration des One Identity Manager Service zu erstellen, startenSie das Programm Job Service Configuration.

HINWEIS: Führen Sie diesen Schritt nur auf Servern aus, auf denen Sieden One Identity Manager Service installiert haben.



10. Um den Installationsassistenten zu beenden, klicken Sie Ende.

11. Schließen Sie das Autorun Programm.

Der One Identity Manager wird für alle Benutzerkonten auf der Arbeitsstation oderdem Server installiert. In der Standardinstallation wird der One Identity Managerinstalliert unter:

l %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

l %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Verwandte Themen

l Bevor Sie die Installation des One Identity Manager starten auf Seite 42

l Installationsvoraussetzungen auf Seite 22

l Werkzeuge des One Identity Manager auf Seite 14

l Installieren der One Identity Manager-Komponenten auf einem WindowsTerminalserver auf Seite 46

l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 47

l Anhang: Maschinenrollen und Installationspakete auf Seite 213

Installieren der One Identity Manager-Komponenten auf einem WindowsTerminalserver

Zur Installation der One Identity Manager-Komponenten auf einem WindowsTerminalserver wird vorausgesetzt, dass der Windows Terminalserver vollständiginstalliert und konfiguriert wurde. Dies schließt insbesondere das Profilhandling sowie dieBerechtigungen zur Benutzung des Windows Terminalservers mit ein.

HINWEIS: Beachten Sie, dass in einer Active Directory Domäne auch der Benutzerselbst das Recht haben muss, den Windows Terminalserver benutzen zu dürfen.

Um die One Identity Manager Komponenten auf einem Windows Terminalserver zuinstallieren

1. Melden Sie sich mit einem Benutzerkonto, welches über administrative Rechte aufdem Windows Terminalserver verfügt, an.

Es wird die Anmeldung über eine Konsolenverbindung empfohlen. Diese wird über

Start/Ausführen: mstsc /Console /v:<servername>

aufgerufen, wobei <servername> durch den Servernamen des Terminalservers (ohneführende "\") ersetzt werden muss.



2. Öffnen Sie eine Kommandozeilenkonsole (CMD.exe) und schalten mit Hilfe des BefehlsCHANGE USER /INSTALL den Windows Terminalserver in den Modus zurSoftwareinstallation.

3. Starten Sie den One Identity Manager Installationsassistent und installieren die OneIdentity Manager Komponenten wie beschrieben.

4. Beenden Sie den Modus zur Softwareinstallation auf dem Windows Terminalservermit dem Befehl CHANGE USER /EXECUTE in der Kommandozeilenkonsole.

Nach Abschluss der Installation kann jeder hierzu berechtigte Windows Terminalserver-Benutzer die One Identity Manager-Werkzeuge starten und nutzen.

Weitere Informationen zur Softwareinstallation auf Windows Terminalservern entnehmenSie der Dokumentation des eingesetzten Windows Betriebssystems.

Verwandte Themen


Installieren und Konfigurieren einerOne Identity Manager-Datenbank

Auf der Arbeitsstation, von welcher die Einrichtung einer One Identity Manager-Datenbankgestartet werden soll, müssen die folgenden Voraussetzungen erfüllt sein:

l Installation des Programms "Configuration Wizard"

Die Installation des Programms erfolgt mit dem Installationsassistenten. Wählen Siedazu im Installationsassistenten die Maschinenrolle "Workstation" und dasInstallationspaket "Configuration".

l Zugriff auf die Installationsquellen

HINWEIS: Wenn Sie die Installationsquellen auf ein Ablageverzeichniskopieren, müssen Sie sicherstellen, dass die relative Verzeichnisstrukturerhalten bleibt.

Mit dem Programm "Configuration Wizard" richten Sie die Datenbank auf einemDatenbankserver für die Verwendung in der One Identity Manager-Umgebung ein. AlsDatenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz. DieDurchführung der Installation und Konfiguration unter SQL Server und Oracle Databaseist ähnlich.

Der Configuration Wizard führt die folgenden Schritte aus.

1. Installieren des One Identity Manager Schemas in eine Datenbank.

Das One Identity Manager Schema kann in eine bereits bestehende Datenbankinstalliert werden. Alternativ kann der Configuration Wizard eine neue Datenbankerstellen und das One Identity Manager Schema installieren.



2. Erstellen der administrativen Systembenutzer und Rechtegruppen.

3. Installieren und Konfigurieren eines One Identity Manager Service mit direktemZugriff auf die Datenbank für die Verarbeitung von SQL Prozessen und dieautomatische Softwareaktualisierung der Server.

HINWEIS: Abhängig von der gewählten Edition und den One Identity ManagerModulen können weitere Schritte im Configuration Wizard ausgeführt werden.

Nach der Schemainstallation sind weitere Schritte zur Konfiguration der One IdentityManager-Datenbank erforderlich.

l Konfigurieren Sie die Datenbank für eine Testumgebung, Entwicklungsumgebungoder den produktiven Einsatz.

l Für die Inbetriebnahme der einzelner Funktionen im One Identity Manager könnenweitere Systemeinstellungen erforderlich sein.

Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zumSystemverhalten. Der One Identity Manager stellt für verschiedeneKonfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie dieKonfigurationsparameter und passen Sie die Konfigurationsparametergegebenenfalls an das gewünschte Verhalten an.

Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert.Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameterinstallieren. Einen Überblick über alle Konfigurationsparameter finden Sie imDesigner in der Kategorie Basisdaten | Allgemein | Konfigurationsparameter.

l Unter Umständen ist es notwendig, Informationen verschlüsselt in der One IdentityManager-Datenbank abzulegen. Nutzen Sie dazu das Programm "CryptoConfiguration".

l Im One Identity Manager können Datenänderungen sowie Informationen aus derProzessverarbeitung protokolliert werden. Alle im One Identity Managerprotokollierten Aufzeichnungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Der Anteil der historisierten Daten am Gesamtvolumen einerOne Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls kannes zu Performance-Problemen kommen. Die Aufzeichnungen sollten in regelmäßigenAbständen aus der One Identity Manager-Datenbank entfernt und archiviert werden.

Ausführliche Informationen zur Konfiguration der Prozessüberwachung und derProzesshistorie finden Sie im One Identity Manager Konfigurationshandbuch.Ausführliche Informationen zur Archivierung von Daten finden Sie im One IdentityManager Administrationshandbuch für die Datenarchivierung.


l Starten des Configuration Wizard auf Seite 49

l Erstellen einer neuen SQL Server Datenbank auf Seite 49

l Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 52

l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 54

l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 56



l Verarbeiten der Datenbank auf Seite 57

l Erfassen der Systeminformationen auf Seite 58

l Installieren des One Identity Manager Service für die Datenbank auf Seite 60

l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung auf Seite 62

l Verschlüsseln von Datenbankinformationen auf Seite 64

l Lieferantenbenachrichtigung im One Identity Manager auf Seite 70

l Meldung: Enter email address in configuration parameter auf Seite 160

Verwandte Themen



Starten des Configuration Wizard

WICHTIG: Starten Sie den Configuration Wizard immer auf einer administrativenArbeitsstation! Wenn Sie den Configuration Wizard auf einem Server starten, auf demSie auch einen One Identity Manager Service konfigurieren wollen, so überspringenSie den Punkt "Installieren eines Dienstservers" für den lokalen Server imConfiguration Wizard.

Um den Configuration Wizard direkt aus dem Installationsassistenten zustarten

l Starten Sie den Configuration Wizard auf der letzten Seite desInstallationsassistenten.

Um den Configuration Wizard aus dem Startmenü zu starten

l Wählen Sie Start | One Identity | One Identity Manager | Configuration |Configuration Wizard.

Verwandte Themen


Erstellen einer neuen SQL Server Datenbank

HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizardeine neue Datenbank erstellen möchten, in die Sie das One Identity Manager Schemainstallieren.



Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One IdentityManager-Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sieunter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35.

Um eine neue Datenbank im Configuration Wizard zu erstellen

1. Starten Sie den Configuration Wizard.

2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbankerstellen und installieren.

3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie dieInformationen zur Anmeldung am Datenbankserver.

a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server.

b. Erfassen Sie die Verbindungsdaten zum Datenbankserver.



Um einen Datenbankserver auszuwählen

l Tragen Sie den Servernamen ein.

-ODER-

l Wählen Sie einen Server in der Liste.






Tabelle 19: Verbindungsdaten

HINWEIS: Die Verbindungsdaten werden bei der initialenSchemainstallation in den korrespondierenden Datenbankeintrag im OneIdentity Manager übernommen.

HINWEIS: Über die Option Erweitert können Sie weitereKonfigurationseinstellungen für die Datenbankverbindung vornehmen.

4. Auf der Seite Datenbank erstellen erfassen Sie die Informationen zur Erstellungeiner neuen Datenbank.

a. Erfassen Sie im Bereich "Datenbankeigenschaften" die folgendenInformationen zur Datenbank.




Datenbankname Name der Datenbank.

Datenverzeichnis Verzeichnis, in dem die Datendatei erstellt wird. ZurAuswahl stehen:

<Standard> Standardinstallationsverzeichnisdes Datenbankservers.

<browse> Auswahl eines Verzeichnisses überden Dateibrowser.

Verzeichnisangabe Verzeichnis, in dem bereitsDatendateien installiert sind.

Log Verzeichnis Verzeichnis, in dem die Transaktionsprotokolldatei erstelltwird. Zur Auswahl stehen:

<Standard> Standardinstallationsverzeichnisdes Datenbankservers.

<browse> Auswahl eines Verzeichnisses überden Dateibrowser.

Verzeichnisangabe Verzeichnis, in dem bereitsTransaktionsprotokolldateieninstalliert sind.

Initiale Größe Anfangsgröße der Datenbankdateien. Zur Auswahl stehen:

<Standard> Standardvorgabe desDatenbankservers.

<custom> Freie Eingabe.

VerschiedeneempfohleneGrößen

Abhängig von der Anzahl derPersonen, die verwaltet werden.

Tabelle 20: Datenbankeigenschaften

b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.

5. Auf der Seite Konfigurationsmodule auswählen wählen Sie dieKonfigurationsmodule.

l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartethaben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert.Prüfen Sie in diesem Fall die Modulauswahl.



l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie andieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodulewerden automatisch mit ausgewählt.

6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden dieInstallationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wirddurch den Configuration Wizard automatisch durchgeführt. Weitere Informationenfinden Sie unter Verarbeiten der Datenbank auf Seite 57.

Verwandte Themen


l Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 52

l Anhang: Einstellungen für eine neue SQL Server Datenbank auf Seite 215

Verwenden einer bestehenden leeren SQLServer Datenbank

HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard dasOne Identity Manager Schema in eine bestehende Datenbank installieren möchten.

Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One IdentityManager-Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sieunter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 35.

Es muss eine Datenbank mit mindestens folgenden Einstellungen zur Verfügunggestellt werden:

l Sortierschema: SQL_Latin1_General_CP1_CI_AS

l Kompatibilitätsgrad: SQL Server 2016 (130)

Um eine bestehende leere Datenbank im Configuration Wizard zu verwenden




a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server.

b. Aktivieren Sie die Option Erweitert.

c. Aktivieren Sie die Option Eine bereits existierende leere Datenbankverwenden.



d. Erfassen Sie die Verbindungsdaten zum Datenbankserver.










HINWEIS: Die Verbindungsdaten werden bei der initialenSchemainstallation in den korrespondierenden Datenbankeintrag im OneIdentity Manager übernommen.


e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.





Verwandte Themen





Erstellen eines neuen OracleDatenbankbenutzers

HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizardeinen neuen Datenbankbenutzer erstellen möchten, für den Sie das One IdentityManager Schema installieren.

Mit dem Configuration Wizard können Sie einen neuen Datenbankbenutzer auf einemDatenbankserver erstellen. Für diesen Datenbankbenutzer wird während derSchemainstallation das Schema erstellt.

HINWEIS: Vor der Erstellung eines neuen Datenbankbenutzers muss ein initialerTablespace auf dem Datenbankserver vorhanden sein. Der Tablespace mussmindestens eine Block-Size von 8 kByte haben.

Um einen neuen Datenbankbenutzer zu erstellen




a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database.

b. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.





Nutzer Oracle Benutzer mit SYSDBA-Rechten.

Kennwort Kennwort des Benutzers.

Tabelle 22: Verbindungsdaten

4. Auf der Seite Oracle Benutzer anlegen erfassen Sie die Informationen zumDatenbankbenutzer.



a. Erfassen Sie die Eigenschaften des Oracle Datenbankbenutzers.


Benutzername Datenbankbenutzer, für den das Schema erstelltwerden soll. Dieser Datenbankbenutzer wird für dieanschließende Migration verwendet.


Kennwortwiederholung Kennwort des Datenbankbenutzers.

Tablespace Tablespace, in den das Schema erstellt werden soll.

Temp. Tablespace Temporärer Tablespace, auf den zugegriffen werdensoll.

Tabelle 23: Oracle Benutzer Eigenschaften

Der Configuration Wizard erstellt den Datenbankbenutzer mit den benötigtenBerechtigungen.






Verwandte Themen


l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 56




Verwenden eines bestehenden leeren OracleDatenbankbenutzers

HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard dasOne Identity Manager Schema für einen bestehenden Datenbankbenutzer installierenmöchten.

Es muss ein Datenbankbenutzer mit erforderlichen Berechtigungen zur Verfügung gestelltwerden. Weitere Informationen finden Sie unter Berechtigungen für OracleDatenbankbenutzer auf Seite 37.

Um einen bestehenden leeren Datenbankbenutzer im Configuration Wizardzu verwenden




a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database.

b. Aktivieren Sie die Option Erweitert.

c. Aktivieren Sie die Option Einen bereits existierenden leeren OracleBenutzer verwenden.

d. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.















e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit denInstallationsdateien.





Verwandte Themen


l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 54

Verarbeiten der Datenbank

Der Configuration Wizard führt bei der Verarbeitung der Datenbank die folgendenSchritte aus:

l Schemainstallation

Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. DieFehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. DieFehler sind manuell zu korrigieren. Erst danach kann die Schemainstallationgestartet werden.

Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen,Datenbankprozeduren in die Datenbank eingespielt. Die Datenbankrolle "basegroup"wird angelegt und dieser Rolle werden volle Rechte auf die Objekte der Datenbankgegeben. Die gewählten Editionen und Konfigurationsmodule werden aktiviert.Während einer Schemainstallation werden Berechnungsaufträge in die Datenbankeingestellt. Diese werden durch den DBQueue Prozessor verarbeitet.

Bei einer Schemainstallation mit dem Configuration Wizard werden dasMigrationsdatum und der Migrationsstand in der Transporthistorie der Datenbankaufgezeichnet.

l Systemkompilierung

Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekanntgegeben. Es wird das Authentifizierungsmodul "Systembenutzer" mit demSystembenutzer "viadmin" zum Kompilieren verwendet.



l Automatische Aktualisierung

Um die Dateien des One Identity Manager über die Mechanismen der automatischenSoftwareaktualisierung zu verteilen, werden die Dateien in die One IdentityManager-Datenbank geladen.

Um die Verarbeitung der Datenbank im Configuration Wizard auszuführen

1. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt.

Die Installation und Konfiguration der Datenbank wird durch den ConfigurationWizard automatisch durchgeführt. Der Vorgang kann abhängig von Datenumfang undSystemperformance einige Zeit dauern.

l Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.

l Nach Abschluss der Verarbeitung, klicken SieWeiter.

2. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie dieKundenformationen und erstellen Sie administrative Benutzer. WeitereInformationen finden Sie unter Erfassen der Systeminformationen auf Seite 58.

Verwandte Themen

l Behandlung von Fehlern und Warnungen während der Systemkompilierung aufSeite 156

l Automatisches Aktualisieren des One Identity Manager auf Seite 102

l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Versionauf Seite 155

Erfassen der Systeminformationen

Für die Authentifizierung am One Identity Manager wird ein Systembenutzer benötigt. OneIdentity Manager stellt verschiedene Systembenutzer bereit, deren Berechtigungen auf dieverschiedenen Aufgaben abgestimmt sind. Ausführliche Informationen zuSystembenutzern, Rechtegruppen und zur Vergabe von Berechtigungen finden Sie im OneIdentity Manager Konfigurationshandbuch.

Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One IdentityManager. Dieser Systembenutzer kann zum Kompilieren einer initialen One IdentityManager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugengenutzt werden.

WICHTIG: Der Systembenutzer "viadmin" ist im produktiven Betrieb nicht zuverwenden! Richten Sie einen eigenen Systembenutzer mit entsprechendenBerechtigungen ein.



Um Systeminformationen im Configuration Wizard zu erfassen

1. Auf der Seite Systeminformationen erfassen Sie die Kundenformationen understellen Sie administrative Benutzer.

a. Im Bereich "Kundeninformation" erfassen Sie den vollständiger Name desUnternehmens.

b. Im Bereich "Systembenutzer" konfigurieren Sie die vordefiniertenSystembenutzer und erfassen eigene Systembenutzer.

l Für die vordefinierten Systembenutzer erfassen Sie ein Kennwort und dieKennwortbestätigung.

l Um kundenspezifische Systembenutzer zu erstellen, klicken Sie dieSchaltfläche und erfassen Sie die Bezeichnung, Kennwort undKennwortwiederholung.

Die kundenspezifischen Systembenutzer werden durch den ConfigurationWizard als administrative Systembenutzer erstellt. AdministrativeSystembenutzer werden automatisch in alle nicht-rollenbasiertenRechtegruppen aufgenommen und erhalten alle Berechtigungen desSystembenutzers "viadmin".

TIPP: Über die Schaltfläche <...> neben der Bezeichnung eines System-benutzers können Sie weitere Einstellungen für den Systembenutzerkonfigurieren. Diese Einstellungen können Sie auch zu einem späterenZeitpunkt im Designer anpassen.

c. Durch den Configuration Wizard werden bereits kundenspezifischeRechtegruppen erzeugt, die Sie für die Definition von Berechtigungen aufeventuelle kundenspezifische Schemaerweiterungen nutzen können.

l Für die nicht-rollenbasierte Anmeldung werden die Rechtegruppen"CCCViewPermissions" und "CCCEditPermissions" erstellt. AdministrativeSystembenutzer werden automatisch in diese Rechtegruppenaufgenommen.

l Für die rollenbasierte Anmeldung werden die Rechtegruppen"CCCViewRole" und "CCCEditRole" erstellt.

d. Erstellen Sie bei Bedarf weitere Rechtegruppen.

l Aktivieren Sie die Option Erweitert und klicken Sie im Bereich"Rechtegruppen" die Schaltfläche .

l Erfassen Sie die Bezeichnung der Rechtegruppe. Kennzeichnen Sieeigene Rechtegruppen mit dem Präfix 'CCC'.

l Für rollenbasierte Rechtegruppen aktivieren Sie die OptionRollenbasiert.

2. Nächster Schritt: Auf der Seite Dienstinstallation installieren und konfigurierenSie den One Identity Manager Service für einen Jobserver mit denServerfunktionen "SQL Ausführungsserver" und "Aktualisierungsserver". WeitereInformationen finden Sie unter Installieren des One Identity Manager Service fürdie Datenbank auf Seite 60.



Installieren des One Identity ManagerService für die Datenbank

WICHTIG: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.

Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service.Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank alsJobserver bekannt gegeben werden.

Während der initialen Schemainstallation wird in der One Identity Manager-Datenbankbereits ein Jobserver für den Server erzeugt, auf dem die One Identity Manager-Datenbankinstalliert ist. Dieser Jobserver erhält die Serverfunktionen "SQL Ausführungsserver" und"Aktualisierungsserver".

Der SQL Ausführungsserver übernimmt die Verarbeitung von SQL Prozessen. DerAktualisierungsserver sorgt für die automatische Softwareaktualisierung der weiterenServer.

Der SQL Ausführungsserver und der Aktualisierungsserver benötigen zur Verarbeitung derProzesse eine direkte Verbindung zur One Identity Manager-Datenbank. Mit demConfiguration Wizard installieren Sie auf einem Server den One Identity Manager Service,um diese Prozesse zu verarbeiten.

Der Configuration Wizard führt folgende Schritte aus.

l Installieren der One Identity Manager Service Komponenten

l Konfigurieren des One Identity Manager Service

l Starten des One Identity Manager Service

HINWEIS: Das Programm führt eine Remote-Installation des One Identity ManagerService aus. Die Remote-Installation wird nur innerhalb einer Domäne oder inDomänen mit Vertrauensstellung unterstützt.

Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. WennSie den Configuration Wizard auf einem Server gestartet haben, auf dem Sie aucheinen One Identity Manager Service konfigurieren wollen, so überspringen Sie denPunkt "Installieren eines Dienstservers". Installieren Sie den One Identity ManagerService in diesem Fall mit dem Installationsassistenten.

Um die Installation des One Identity Manager Service im Configuration Wizardnicht auszuführen

1. Auf der Seite Dienstinstallation aktivieren Sie die Option Keinen Dienstinstallieren.

2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.



Um den One Identity Manager Service im Configuration Wizard einzurichten

1. Auf der Seite Dienstinstallation erfassen Sie die Informationen für den Dienst.

a. Erfassen Sie folgende Informationen um den One Identity Manager Service zuinstallieren.


Computer Server, auf dem der Dienst installiert und gestartet wird.

Um einen Server auszuwählen

l Erfassen Sie den Servernamen.

-ODER-

l Wählen Sie einen Eintrag in der Liste.

Dienstkonto Angaben zum Benutzerkonto des One Identity ManagerService.

Um ein Benutzerkonto für den Dienst zu erfassen

l Aktivieren Sie die Option Lokales Systemkonto.

Damit wird der One Identity Manager Service unterdem Konto "NT AUTHORITY\SYSTEM" gestartet.

- ODER-

l Erfassen Sie Benutzerkonto, Kennwort undKennwortwiederholung.

Installationskonto Angaben zum administrativen Benutzerkonto für dieInstallation des Dienstes.

Um ein administratives Benutzerkonto für dieInstallation zu erfassen

l Aktivieren Sie die Option Erweitert.

l Aktivieren Sie die Option Aktueller Benutzer.

Es wird das Benutzerkonto des aktuellangemeldeten Benutzers verwendet.

- ODER-

l Geben Sie Benutzerkonto, Kennwort undKennwortwiederholung ein.

Maschinenrollen Legen Sie die Maschinenrollen fest. Standardmäßig ist dieMaschinenrolle "Jobserver" festgelegt. Sie könnenweitere Maschinenrollen hinzufügen.

Tabelle 25: Installationsinformationen



b. Prüfen Sie die Konfiguration des One Identity Manager Service. Aktivieren Siedie Option Erweitert.

HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert.Sollte eine erweiterte Konfiguration erforderlich sein, können Sie dieseauch zu einem späteren Zeitpunkt mit dem Designer durchführen.Ausführliche Informationen zur Konfiguration des Dienstes finden Sie imOne Identity Manager Konfigurationshandbuch.

c. Um die Installation des Dienstes zu starten, klicken SieWeiter.

Die Installation des Dienstes wird automatisch ausgeführt und kann einigeZeit dauern.


HINWEIS: Der Dienst wird mit der Bezeichnung "One Identity Manager Service" inder Dienstverwaltung des Servers eingetragen.

Verwandte Themen


l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbankauf Seite 69

l Installieren und Konfigurieren des One Identity Manager Service auf Seite 74

Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung

Über die Staging Ebene der One Identity Manager-Datenbank legen Sie fest, ob es sich umeine Testdatenbank, Entwicklungsdatenbank oder produktive Datenbank handelt. Über dieStaging Ebene werden einige Datenbankeinstellungen gesteuert. Diese werden eingestellt,wenn Sie die Staging Ebene anpassen.

Einstellung Staging Ebene der Datenbank

Entwicklungsumgebung Testumgebung Produktivumgebung

Farbe derStatuszeile derOne IdentityManager-Werkzeuge

keine Grün Gelb

Tabelle 26: Datenbankeinstellungen für Entwicklungsumgebung, Testumgebungund Produktivumgebung



Einstellung Staging Ebene der Datenbank

Entwicklungsumgebung Testumgebung Produktivumgebung

MaximaleLaufzeit DBQueueProzessor

20 Minuten 40 Minuten 120 Minuten

Maximale Anzahlder Slots fürDBQueueProzessor

3 5 Maximale Anzahl derSlots lautHardwarekonfiguration

Um die Staging Ebene einer Datenbank anzupassen

1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Staging Ebene derDatenbank. Der Datenbankeditor des Designer wird gestartet.

2. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebeneauf "Testumgebung", "Entwicklungsumgebung" beziehungsweise"Produktivumgebung".

3. Wählen Sie im Designer den Menüeintrag Datenbank|Übertragung inDatenbank… und klicken Sie Speichern.

Die Konfigurationseinstellungen des DBQueue Prozessor sind für einen Normalbetriebausgelegt und müssen in der Regel nicht angepasst werden. Für Test- undEntwicklungsumgebungen sind die Konfigurationseinstellungen reduziert, da sich mehrereDatenbanken auf einem Server befinden können.

Sollen aus Performancegründen die Einstellungen für Test- und Entwicklungsumgebungenangepasst werden, passen Sie im Designer die Einstellungen der folgendenKonfigurationsparameter an.

Konfigurationsparameter Bedeutung

QBM\DBQueue\CountSlotsMax Der Konfigurationsparameter legt die Anzahl dermaximal verfügbaren Slots fest.

Für die Nutzung der maximal verfügbaren Slots lautHardwarekonfiguration geben Sie den Wert 0 an.

QBM\DBQueue\KeepAlive Der Konfigurationsparameter regelt die maximaleLaufzeit des zentralen Dispatchers. Nach Ablauf derLaufzeit werden die Aufträge aktuell verwendeter Slotsnoch abgearbeitet. Anschließend werden dieDatenbankschedules der Slots gestoppt und der zentraleDispatcher beendet.

Der minimal zulässige Wert für die Laufzeit ist 5 Minuten,der maximal zulässige Wert ist 720 Minuten.

Tabelle 27: Konfigurationsparameter für den DBQueue Prozessor



Verwandte Themen

l Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oderEntwicklungsumgebung aus einer Datenbanksicherung auf Seite 200

Verschlüsseln von Datenbankinformationen

Unter Umständen ist es notwendig, Informationen verschlüsselt in der One IdentityManager-Datenbank abzulegen.

l Legen Sie im Designer über den Konfigurationsparameter"Common\EncryptionScheme" fest, welches Verschlüsselungsverfahren eingesetztwird.

Wert Beschreibung

RSA RSA-Verschlüsselung mit AES für größere Daten (Standard).

FIPSCompliantRSA FIPS zertifizierter RSA mit AES für größere Daten. DasVerfahren ist einzusetzen, wenn die Verschlüsselung dem FIPS1040-2 Standard entsprechen muss. Die lokaleSicherheitsrichtlinie "Use FIPS compliant algorithms forencryption, hashing, and signing" muss aktiviert sein.

Tabelle 28: Werte des Konfigurationsparameters"Common\EncryptionScheme"

HINWEIS: Ist der Konfigurationsparameter "Common\EncryptionScheme" nichtaktiviert, wird RSA als Verfahren genutzt.

l Die Verschlüsselung erfolgt mit dem Programm "Crypto Configuration". Mit diesemProgramm wird eine Schlüsseldatei erzeugt und die Inhalte der betroffenenDatenbankspalten werden konvertiert. Die Schlüsselinformationen werden in derDatenbanktabelle DialogDatabase abgelegt.

HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.


l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln derDatenbankinformationen auf Seite 65

l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationenauf Seite 66

l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 67

l Entschlüsseln der Datenbankinformationen auf Seite 68




Erzeugen eines neuen Datenbankschlüssels undVerschlüsseln der Datenbankinformationen


Um einen neuen Datenbankschlüssel zu erzeugen und die One IdentityManager-Datenbank zu verschlüsseln

1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln.Das Programm "Crypto Configuration" wird gestartet.

2. Auf der Startseite klicken SieWeiter.

3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigenVerbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.

4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern einesDatenbankschlüssels und klicken SieWeiter.

5. Auf der Seite Privater Schlüssel wählen Sie Bisher war keine Verschlüsselungaktiviert und klicken SieWeiter.

6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.

a. Klicken Sie Erzeuge Schlüssel.

b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namender Schlüsseldatei ein.

c. Klicken Sie Speichern.

Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen.Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt.

d. Klicken SieWeiter.

Die zu verschlüsselnden Daten werden ermittelt.

7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Datenangezeigt.

a. Klicken Sie Konvertiere.

b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.

Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.


8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.



Verwandte Themen





Ändern eines Datenbankschlüssels undVerschlüsseln der Datenbankinformationen

HINWEIS: Um einen Datenbankschlüssel zu ändern, benötigen Sie die Schlüsseldateimit dem alten Datenbankschlüssel. Der Schlüssel wird geändert und in einer neuenSchlüsseldatei gespeichert.


Um einen Datenbankschlüssel zu ändern und die One Identity Manager-Datenbank zu verschlüsseln




4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern einesDatenbankschlüssels und klicken SieWeiter.

5. Auf der Seite Privater Schlüssel laden Sie den vorhandenen Schlüssel.

a. Wählen Sie Die Verschlüsselung war aktiviert.

b. Klicken Sie Lade Schlüssel.

c. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem altenDatenbankschlüssel.

d. Klicken Sie Öffnen.

Der Dateibrowser wird geschlossen. Pfad und Dateiname werden angezeigt.

e. Klicken SieWeiter.



6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.

a. Klicken Sie Erzeuge Schlüssel.

b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namender Schlüsseldatei ein.

c. Klicken Sie Speichern.

Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen.Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt.

d. Klicken SieWeiter.








Verwandte Themen





Erneutes Verschlüsseln derDatenbankinformationen

Verwenden Sie dieses Verfahren, wenn Sie weitere Datenbankspalten mit der OptionVerschlüsselt versehen und die Datenbank bereits verschlüsselt ist.




Um die One Identity Manager-Datenbank mit einem vorhandenenDatenbankschlüssel erneut zu verschlüsseln




4. Auf der Seite Auswahl der Aktion wählen Sie Verschlüsselung mittels desbestehenden Schlüssels und klicken SieWeiter.








Verwandte Themen





Entschlüsseln der Datenbankinformationen

HINWEIS: Sie benötigen Sie die Datei mit dem Datenbankschlüssel.

HINWEIS: Es wird empfohlen, vor der Entschlüsselung der Datenbankinformationeneine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustandwieder herstellen zu können.

Um die One Identity Manager-Datenbank zu entschlüsseln






4. Auf der Seite Auswahl der Aktion wählen Sie Entschlüsselung der Daten undklicken SieWeiter.





c. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt derKonvertierung wird angezeigt.

d. Wählen Sie über den Dateibrowser die Datei (*.key) mit demDatenbankschlüssel.

e. Klicken Sie Öffnen.

Der Dateibrowser wird geschlossen. Die Entschlüsselung der Daten wirdgestartet. Der Fortschritt der Konvertierung wird angezeigt.

f. Klicken SieWeiter.


Verwandte Themen





Hinweise zum Arbeiten mit einer verschlüsseltenOne Identity Manager-Datenbank

Wenn Sie die One Identity Manager-Datenbank verschlüsseln, müssen Sie dem OneIdentity Manager Service den Datenbankschlüssel bekanntgeben.

VORSICHT: Wenn der One Identity Manager Service beim Start einenprivaten Schlüssel im Installationsverzeichnis findet, so legt er diesen imWindows internen Schlüsselcontainer seines Dienstkontos ab und löschtdie Datei auf der Festplatte. Sichern Sie daher den privaten Schlüsselzusätzlich an einer anderen Stelle als dem Installationsverzeichnis desDienstes!



Um den Datenbankschlüssel bekanntzugeben

l Geben Sie in der Konfigurationsdatei des One Identity Manager Service folgendenInformationen bekannt. Verwenden Sie den Jobservereditor im Designer oder dasProgramm "Job Service Configuration" zur Bearbeitung der Konfigurationsdatei.

Konfigurationsmodul Parameter Bedeutung

JobServiceDestination Datei mit privatemSchlüssel (PrivateKey)

Datei mit dem privatenSchlüssel. Standardwert istprivate.key.

JobServiceDestination Verschlüsselungsverfahren(EncryptionScheme)

EingesetztesVerschlüsselungsverfahren.

Tabelle 29: Konfiguration des One Identity Manager Service für dieVerschlüsselung

l Legen Sie die erzeugte Schlüsseldatei im Installationsverzeichnis des Dienstes ab.

l Öffnen Sie die Dienstverwaltung und starten Sie den Dienst "One Identity ManagerService" neu.

HINWEIS: Die Datei mit dem privaten Schlüssel muss auf allen Servern mit aktivemOne Identity Manager Service im Installationsverzeichnis des Dienstes vorhandensein.

HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern,müssen Sie die Schlüsseldatei neu im Installationsverzeichnis des Dienstes ablegen.


l Verschlüsseln von Datenbankinformationen auf Seite 64

Lieferantenbenachrichtigung im OneIdentity Manager

Geben Sie uns die Gelegenheit, Sie auf dem Laufenden zu halten. Die Schnittstellen zuanderen Systemen werden kontinuierlich weiterentwickelt. Aktivieren SieLieferantenbenachrichtigungen, um Nachrichten über wichtige Programmaktualisierungenfür Ihr System zu erhalten.

Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmalim Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. DieseListe enthält keine personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut ummögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. DieListen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu



Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange IhrUnternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht.

HINWEIS: Sie können die aktuellsten Systeminformationen jederzeit aus dem MenüHilfe | Info... überprüfen.


l Aktivieren der Lieferantenbenachrichtigung auf Seite 71

l Prüfen der Lieferantenbenachrichtigung auf Seite 72

l Deaktivieren der Lieferantenbenachrichtigung auf Seite 72

Aktivieren der Lieferantenbenachrichtigung

Voraussetzung für die Lieferantenbenachrichtigung

l Im One Identity Manager ist ein Jobserver als SMTP Host für den Mailversandkonfiguriert.

l Die Konfigurationsparameter für die E-Mail-Benachrichtigung sind konfiguriert.

Ausführliche Informationen zum Einrichten des E-Mail-Benachrichtigungssystems im OneIdentity Manager finden Sie im One Identity Manager Konfigurationshandbuch.

Um die Lieferantenbenachrichtigung zu aktivieren

1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur aufeiner One Identity Manager-Datenbank mit der Staging Ebene"Produktivumgebung" konfigurieren.

2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klickenSie Starten.

Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.

3. Aktivieren Sie den Konfigurationsparameter"Common\MailNotification\VendorNotification" und tragen Sie die E-Mail-AdresseIhres Unternehmenskontaktes ein.

Die E-Mail-Adresse wird als Antwortadresse für die Lieferantenbenachrichtigungverwendet.

4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.






l Meldung: Enter email address in configuration parameter auf Seite 160

Prüfen der Lieferantenbenachrichtigung

HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einerOne Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung"konfigurieren.

Um zu prüfen, ob die Lieferantenbenachrichtigung aktiviert ist

l Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

In der Installationsübersicht wird im Eintrag Lieferantenbenachrichtigungkonfigurieren angezeigt, ob die Funktion aktiviert ist.




Deaktivieren der Lieferantenbenachrichtigung

HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einerOne Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung"konfigurieren.

Um die Lieferantenbenachrichtigung zu deaktivieren

1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klickenSie Starten.

Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.

3. Deaktivieren Sie den Konfigurationsparameter"Common\MailNotification\VendorNotification".

4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.



Verwandte Themen





5

Installieren und Konfigurieren desOne Identity Manager Service

WICHTIG: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.

Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service.Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank alsJobserver bekannt gegeben werden.

HINWEIS: Mit dem Configuration Wizard können Sie bereits einen SQL Ausfüh-rungsserver und den Aktualisierungsserver einrichten. Weitere Informationen findenSie unter Installieren des One Identity Manager Service für die Datenbank auf Seite60.

Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eineeindeutige Queue-Bezeichnung erhalten. Mit exakt diesem Queue-Bezeichnung werden dieProzessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung tragen Sie in dieKonfigurationsdatei des One Identity Manager Service ein. Erzeugen Sie für jede Queueeinen korrespondieren Jobserver-Eintrag.

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm ServerInstaller. Das Programm führt die folgenden Schritte aus.

l Erstellen eines Jobservers.

l Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.

l Remote-Installation der One Identity Manager Service-Komponenten entsprechendder Maschinenrollen.

l Konfigurieren des One Identity Manager Service.

l Starten des One Identity Manager Service.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity ManagerService aus. Eine lokale Installation des Dienstes ist mit diesem Programm nichtmöglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänenmit Vertrauensstellung unterstützt.


Installieren und Konfigurieren des One Identity Manager Service74

Um den One Identity Manager Service remote auf einem Server zu installierenund zu konfigurieren

1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.

2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zurOne Identity Manager-Datenbank ein und klicken SieWeiter.

3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der OneIdentity Manager Service installiert werden soll.

a. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

- ODER -

Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

b. Bearbeiten Sie folgende Informationen für den Jobserver.

Eigenschaft Beschreibung

Server Bezeichnung des Jobservers.

Queue Bezeichnung der Queue, welche die Prozessschritteverarbeitet. Jeder One Identity Manager Service innerhalb desgesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnungwerden die Prozessschritte an der Jobqueue angefordert. DieQueue-Bezeichnung wird in die Konfigurationsdatei des OneIdentity Manager Service eingetragen.

VollständigerServername

Vollständiger Servername gemäß DNS Syntax.

Beispiel:

<Name des Servers>.<Vollqualifizierter Domänenname>

Tabelle 30: Eigenschaften eines Jobservers

HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaftenfür den Jobserver bearbeiten. Sie können die Eigenschaften auch zueinem späteren Zeitpunkt mit dem Designer bearbeiten.

4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im OneIdentity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werdendie Installationspakete ermittelt, die auf dem Jobserver installiert werden.

5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der OneIdentity Manager-Umgebung fest. Abhängig von der Serverfunktion wird dieVerarbeitung der One Identity Manager-Prozesse ausgeführt.

Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereitsausgewählt. Sie können die Serverfunktionen hier weiter einschränken.

6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One IdentityManager Service.



HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollteeine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einemspäteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationenzur Konfiguration des Dienstes finden Sie im One Identity Manager Konfi-gurationshandbuch.

7. Zur Konfiguration der Remote-Installation, klicken SieWeiter.

8. Bestätigen Sie die Sicherheitsabfrage mit Ja.

9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit denInstallationsdateien.

10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit demprivaten Schlüssel.

HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsseltist.

11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für denDienst.


Computer Server, auf dem der Dienst installiert und gestartet wird.

Um einen Server auszuwählen

l Erfassen Sie den Servernamen.

-ODER-

l Wählen Sie einen Eintrag in der Liste.

Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service.

Um ein Benutzerkonto für den One Identity ManagerService zu erfassen

l Aktivieren Sie die Option Lokales Systemkonto.

Damit wird der One Identity Manager Service unter demKonto "NT AUTHORITY\SYSTEM" gestartet.

- ODER-

l Erfassen Sie Benutzerkonto, Kennwort und Kennwort-wiederholung.

Installationskonto Angaben zum administrativen Benutzerkonto für die Instal-lation des Dienstes.

Um ein administratives Benutzerkonto für dieInstallation zu erfassen

Tabelle 31: Installationsinformationen




l Aktivieren Sie die Option Erweitert.

l Aktivieren Sie die Option Angemeldeter Benutzer.

Es wird das Benutzerkonto des aktuell angemeldetenBenutzers verwendet.

- ODER-

l Geben Sie Benutzerkonto, Kennwort und Kennwort-wiederholung ein.

12. Um die Installation des Dienstes zu starten, klicken SieWeiter.

Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeitdauern.

13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

HINWEIS: Der Dienst wird mit der Bezeichnung "One Identity Manager Service"in der Dienstverwaltung des Servers eingetragen.

Um den One Identity Manager Service manuell auf einem Server zu installierenund zu konfigurieren

l Installieren Sie die One Identity Manager-Komponenten mit demInstallationsassistenten.

l Konfigurieren Sie den One Identity Manager Service mit dem Programm "Job ServiceConfiguration".

l Geben Sie den Jobserver im Designer bekannt. Erzeugen Sie für jede Queue einenkorrespondieren Jobserver-Eintrag.

Ausführliche Informationen zur Aktualisierung des One Identity Manager Service finden Sieunter Aktualisieren des One Identity Manager auf Seite 84.

Verwandte Themen



l Anzeigen der Protokolldatei des One Identity Manager Service auf Seite 78

l Ändern des Benutzerkontos oder der Startart des One Identity Manager Serviceauf Seite 79


l Der One Identity Manager Service im Cluster auf Seite 80




Anzeigen der Protokolldatei des OneIdentity Manager Service

Die Anzeige der One Identity Manager Service Protokolldatei ist über einBrowserfrontend möglich.

Um die Protokolldatei des One Identity Manager Service über einenBrowser anzuzeigen

l Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL.

http://<Servername>:<Portnummer>

Standard ist der Port 1880.

Um die Protokolldatei des One Identity Manager Service im Job QueueInfo zu öffnen

l Wählen Sie in der Ansicht Serverstatus den Jobserver und wählen Sie denKontextmenüeintrag Im Browser öffnen.

Es wird für einen Jobserver der HTTP-Server des One Identity Manager Serviceangesprochen und die verschiedenen Dienste des One Identity Manager Servicewerden angezeigt.

Abbildung 3: Protokolldatei des One Identity Manager Service

Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazugibt es auf der Webseite eine Auswahlliste. Dabei können nur Texte angezeigt werden, dieauch in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf"Warning" können auch bei entsprechender Filterwahl keine Meldungen mit demMeldungstyp "Info" eingeblendet werden.

Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet.



Farbe Bedeutung

Grün Die Verarbeitung war erfolgreich.

Gelb Bei der Verarbeitung wurden Warnung ausgegeben.

Rot Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten.

Tabelle 32: Farbcode in der Protokolldatei

TIPP: Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten,speichern Sie die komplette Webseite.

Ändern des Benutzerkontos oder derStartart des One Identity ManagerService

Bei der Installation des One Identity Manager Service wird der Dienst in dieDienstverwaltung des Rechners eingetragen.

Um die Anmeldedaten und die Startart des Dienstes anzupassen

1. Öffnen Sie die Dienstverwaltung des Servers und wählen Sie in der Liste der Diensteden Eintrag "One Identity Manager Service".

2. Öffnen Sie über den Kontextmenüeintrag Eigenschaften die Eigenschaften desDienstes.

3. Ändern Sie auf dem Tabreiter Allgemein den Starttyp (sofern erforderlich).

Es wird der Starttyp "Automatisch" empfohlen.

4. Ändern Sie auf dem Tabreiter Anmelden das Benutzerkonto, unter dem derDienst läuft.

5. Klicken Sie auf Übernehmen.

6. Schließen Sie die Eigenschaften des Dienstes über OK.

7. Starten Sie den Dienst über den Kontextmenüeintrag Starten.

Kann der One Identity Manager Service nicht gestartet werden, wird eineentsprechende Meldung in das Ereignisprotokoll des Servers geschrieben.

HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern,müssen Sie die Konfigurationsdatei des Dienstes erneut im Installationsverzeichnisdes Dienstes ablegen.

HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbankarbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten OneIdentity Manager-Datenbank auf Seite 69.



Verwandte Themen



Der One Identity Manager Service imCluster

Sinn einer Clusterlösung ist die Hochverfügbarkeit eines Systems. Es wird angestrebt,beim Versagen einer Hardware- oder Softwarekomponente, den Systemausfall auf einigeSekunden zu beschränken. Mit der Installation einer Windows-Clusterlösung (nur mitEnterprise–Servern möglich) kann dies erreicht werden. Die folgende Grafik zeigt einBeispiel für eine derartige Lösung.

Abbildung 4: Beispiel einer Clusterlösung

Dieser Cluster besteht aus 2 physikalischen Maschinen "Server A" und "Server B", die eingemeinsames Diskarray nutzen und jeweils über eine eigene Systemfestplatte verfügen.Jeder Server ist mit einem Windows Betriebssystem ausgestattet. Beide Server sindidentisch installiert, so dass im Falle eines Ausfalls der eine Server die Arbeit des anderenServers übernehmen kann.

Alle redundanten Systemkomponenten werden durch den Cluster-Manager verwaltet. Nachaußen wird der Cluster als ein einzelner, virtueller Server "Server C" angesprochen.



Hierbei wird der zugreifende Dienst oder Benutzer automatisch zu dem physikalischenServer verbunden, der momentan die Arbeit im Cluster ausführt.

Tritt ein Versagen auf einem der physikalischen Server ein, so übernimmt automatisch derredundante Server im Cluster. Ansprechpartner bleibt weiter der virtuelle Server, nur derphysikalische Server, der die Arbeit ausführt, wechselt.


l Registrieren des One Identity Manager Service im Cluster auf Seite 81

l Installieren und Konfigurieren des One Identity Manager Service im Cluster aufSeite 82

Registrieren des One Identity ManagerService im Cluster

Mit der Registrierung unterliegt der One Identity Manager Service der Clusterbehandlungfür Ausfallsicherheit und Load Balancing. Der Dienst wird auf dem virtuellen Serverinstalliert, den der Cluster simuliert. Alle rechnerbezogenen Operationen undInformationen des Dienstes gehen, für den Dienst transparent, gegen den virtuellen Serverstatt gegen den realen aktuellen Rechner (Cluster Knoten). Das gilt auch für die Clients, dieden Dienst über den Server Namen kontaktieren, beispielsweise via RPC (ORPC, DCOM),TCP/IP (Winsock, Named Pipes), HTTP.

Da der Dienst sich im Kontext des virtuellen Servers befindet, sind die folgenden Faktenzu beachten:

l Die dienstspezifischen Einstellungen auf dem Knoten, auf dem sich der virtuelleServer befindet, werden auf alle anderen Knoten repliziert! Der Dienst hat somitimmer die gleiche Konfiguration, unabhängig von dem Knoten, auf dem er aktuellgestartet ist.

l Der Dienst ist immer nur auf dem aktuellen Knoten des virtuellen Servers (derKnoten, der aktuell den virtuellen Server trägt) gestartet. Auf allen anderen Knotenist der Dienst gestoppt.

l Der Dienst wird mit dem virtuellen Server herunter- und hochgefahren. Ist derCluster inaktiv, ist der Dienst auf allen Knoten gestoppt.

l Die Dienste auf den Knoten werden automatisch vor der Registrierung durch dasProgramm in den erforderlichen Zustand (Manual und Stopped) gebracht.

Verwandte Themen


l Installieren und Konfigurieren des One Identity Manager Service im Cluster aufSeite 82



Installieren und Konfigurieren des OneIdentity Manager Service im Cluster

Die Installation und Konfiguration der Serverkomponenten vom One Identity Manager-Installationsmedium führen Sie auf allen physikalischen Knoten eines Clusters durch.

HINWEIS: Bei der Konfiguration der JobServiceDestination muss der Parameter"Queue" den Namen des virtuellen Servers enthalten.

Nach dem Speichern der Konfiguration kopieren Sie die Konfigurationsdatei in dasInstallationsverzeichnis des One Identity Manager Service auf allen physikalischen Knoten.Dabei dürfen Sie auch den Namen der Konfigurationsdatei nicht ändern!

HINWEIS: Die Konfiguration des One Identity Manager Service ist nicht Bestandteileiner Clusterressource. Somit hält jeder Knoten seine eigene Konfiguration. AchtenSie aus diesem Grund darauf, dass die Konfigurationsdateien auf allen physikalischenKnoten des Clusters konsistent sind. Ist dies nicht der Fall, kann nicht für die korrekteFunktionsweise nach einem Wechsel des Clusterknotens garantiert werden.

Einrichten einer Clusterressource für den One Identity Manager Service

Richten Sie im Programm "Cluster Administrator" eine neue Clusterressource für den OneIdentity Manager Service ein und bringen diese Online. Die Vorgehensweise entnehmen Sieder Microsoft Technet (http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx). Beachten Sie bei der Erstellung der Clusterressource Folgendes:

l Wählen Sie "Generic Service" als Ressourcentyp.

l Wählen Sie mindestens folgende Abhängigkeiten des One Identity Manager Service.

l Cluster IP-Address

l Cluster Name

l Quorum (zum Beispiel Disk: D)

l Geben Sie keine weiteren Registrierungsschlüssel an.

HINWEIS: Nach der Einrichtung des One Identity Manager Service in einemClusterverbund ist es ratsam, ein Failover zu simulieren, damit eventuell vorhandeneProbleme am Cluster nicht erst im produktiven Betrieb zu Tage treten.

Auslagern der Protokolldatei des One Identity Manager Service in einShared Volume

l Richten Sie im Programm "Cluster Administrator" eine neue Clusterressource ein undbringen Sie diese Online. Beachten Sie bei der Erstellung der ClusterressourceFolgendes.

l Wählen Sie "File Share" als Ressourcentyp.



http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx

l Wählen Sie mindestens die folgende Abhängigkeit aus:

- One IdentityOne Identity Manager Service

l Passen Sie in der Konfigurationsdatei des One Identity Manager Service dieVerzeichnisangabe im Parameter "Protokolldatei" (OutPutFile) des Logwriters an.

l Kopieren Sie die Konfigurationsdatei nach der Änderung auf alle physischen Knotendes Clusters in das Installationsverzeichnis des One Identity Manager Service.

Verwandte Themen


l Registrieren des One Identity Manager Service im Cluster auf Seite 81



6

Aktualisieren des One IdentityManager

Die Aktualisierung des One Identity Manager beinhaltet die Aktualisierung der One IdentityManager-Datenbank und die Aktualisierung der vorhandenen Installationen auf denArbeitsstationen und Servern eines One Identity Manager-Netzwerkes.

Zur Aktualisierung des One Identity Manager werden einzelne Hotfixes und Service Packszu einer Hauptversion oder vollständige Versionsänderungen zur Verfügung gestellt.

l Hotfix

Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration dereingesetzten Hauptversion jedoch keine Erweiterungen der Funktionalität. Ein Hotfixkann Patches für gelöste Probleme in Synchronisationsprojekten bereitstellen.

l Service Pack

Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alleÄnderungen seit der letzten Hauptversion, die bereits in den Hotfixes enthaltenwaren. Ein Service Pack kann Patches mit neuen Funktionen fürSynchronisationsprojekte bereitstellen.

l Versionsänderung

Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen derFunktionalität und umfasst eine Komplettänderung der Installation. EineVersionsänderung kann Meilensteine für die Aktualisierung vonSynchronisationsprojekten bereitstellen. Meilensteine fassen alle Patches für gelösteProbleme und notwendige Patches für neue Funktionen der Vorversion zusammen.

Um den One Identity Manager zu aktualisieren, sind folgende Schritteerforderlich

1. Aktualisieren Sie die administrative Arbeitsstation, auf welcher dieSchemaaktualisierung der One Identity Manager-Datenbank gestartet wird.

a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One IdentityManager-Installationsmediums aus.

b. Wechseln Sie auf den Tabreiter Installation. Wählen Sie die Edition, die Sieinstalliert haben, und klicken Sie Installieren.


Aktualisieren des One Identity Manager84

Der Installationsassistent wird gestartet.

c. Folgen Sie den Installationsanweisungen.

WICHTIG: Wählen Sie auf der Seite Einstellungen für die Installationals Installationsverzeichnis, das Verzeichnis Ihrer bisherigen Installation.Anderenfalls erfolgt keine Aktualisierung der Komponenten, sondern eineNeuinstallation in einem zweiten Verzeichnis.

2. Beenden Sie den One Identity Manager Service auf dem Aktualisierungsserver.

3. Erstellen Sie eine Sicherung der One Identity Manager-Datenbank.

4. Führen Sie die Schemaaktualisierung der One Identity Manager-Datenbank aus.

l Starten Sie den Configuration Wizard auf der administrativen Arbeitsstation.

5. Aktualisieren Sie den One Identity Manager Service auf den Aktualisierungsserver.






6. Starten Sie den One Identity Manager Service auf dem Aktualisierungsserver.

7. Aktualisieren Sie weitere Installationen auf Arbeitsstationen und Servern.

Für die Aktualisierung vorhandener Installationen können Sie das Verfahren derautomatischen Softwareaktualisierung einsetzen.

HINWEIS: Unter Umständen kann es erforderlich sein, die weiterenArbeitsstationen und Jobserver manuell zu aktualisieren. Dies istbeispielsweise erforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz derautomatischen Softwareaktualisierung nicht zulassen.

8. Beim Aktualisieren des One Identity Manager werden gegebenenfalls Änderungen anden Systemkonnektoren oder der Synchronization Engine bereitgestellt. Damit allebereits eingerichteten Zielsystemsynchronisationen weiterhin fehlerfrei ausgeführtwerden, müssen diese Änderungen auf bestehende Synchronisationsprojekteangewendet werden. Detaillierte Informationen zum Anwenden von Patches findenSie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.




l Aktualisieren der One Identity Manager-Komponenten auf Seite 86

l Aktualisieren der One Identity Manager-Datenbank auf Seite 87


Aktualisieren der One IdentityManager-Komponenten

Für die Aktualisierung weiterer Arbeitsstationen und Server können Sie das Verfahren derautomatischen Softwareaktualisierung einsetzen.

Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen und Servermanuell mit dem Installationsassistenten zu aktualisieren. Dies ist beispielsweiseerforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikanteNeuerungen ergeben, die den Einsatz der automatischen Softwareaktualisierung nichtzulassen.

WICHTIG:

l Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank gestartet wird, aktualisieren Sie mit dem Installationsassistenten.

l Den One Identity Manager Service auf dem Aktualisierungsserver aktualisierenSie mit dem Installationsassistenten.


l Aktualisieren der One Identity Manager-Komponenten mit demInstallationsassistenten auf Seite 86


Aktualisieren der One Identity Manager-Komponenten mit demInstallationsassistenten

Um eine Arbeitsstation manuell zu aktualisieren

1. Installieren Sie die neue Version mit dem Installationsassistenten.








Um den One Identity Manager Service manuell zu aktualisieren

1. Öffnen Sie die Dienstverwaltung des Servers und beenden Sie den Dienst "OneIdentity Manager Service".

2. Installieren Sie die neue Version mit dem Installationsassistenten.






d. Prüfen Sie die Anmeldeinformationen des One Identity Manager Service. Wennder One Identity Manager Service ursprünglich nicht das lokale Systemkontozur Anmeldung nutzte, stellen Sie die ursprüngliche Einstellung wieder her.Geben Sie das zu verwendende Dienstkonto an.

3. Starten Sie den Dienst "One Identity Manager Service" in der Dienstverwaltung.



Aktualisieren der One IdentityManager-Datenbank

Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einenkonsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zurDatenbank sichert. Werden Programmerweiterungen implementiert, die die Struktur



verändern, beispielsweise Tabellenerweiterungen, ist eine Aktualisierung der Datenbankerforderlich.

Die Aktualisierung der Datenbank ist dann notwendig, wenn Hotfixes und Service Packs zureingesetzten One Identity Manager-Version oder vollständige Versionsänderungenverfügbar sind. Des Weiteren ist es immer wieder erforderlich, dass kundenspezifischeÄnderungen aus einer Entwicklungsdatenbank in die Datenbank des Produktivsystems zuübernehmen sind.

Die Anpassung des One Identity Manager Schemas erfolgt durch das Einspielen sogenannter Transportpakete. Der One Identity Manager kennt die folgenden Arten vonTransportpaketen, die je nach Anforderung in die Datenbank zu importieren sind.

WICHTIG: Bevor Sie ein Transportpaket in ein Produktivsystem einspielen, testen Siedie Änderungen zunächst in einer Testumgebung.

Art des Trans-portpaketes

Beschreibung VerwendetesWerkzeug

Migrationspaket Migrationspakete werden für die initialeSchemainstallation der Datenbank, beieinem Service Pack und einer vollständigenVersionsänderung zur Verfügung gestellt.Ein Migrationspaket enthält alle benötigtenTabellen, Datentypen,Datenbankprozeduren sowie dieStandardkonfiguration des One IdentityManager.

ConfigurationWizard

Hotfixpaket Hotfixpakete werden zur Verfügunggestellt, um einzelne Korrekturen an derStandardkonfiguration wie beispielsweiseBildungsregeln, Skripte, Prozesse oderDateien in die Datenbank einzuspielen.

HINWEIS: Enthält ein Hotfixpaket nurgeänderte Dateien, laden Sie dieseDateien mit dem Programm"Software Loader" in die Datenbank.

DatabaseTransporter

SoftwareLoader

Kundenkonfigurationspaket Ein Kundenkonfigurationspaket dient zumAustausch kundenspezifischer Änderungenzwischen Entwicklungsdatenbank,Testdatenbank und Datenbank desProduktivsystems. Diese Transportpaketewerden vom Kunden erstellt und in dieDatenbanken eingespielt.

DatabaseTransporter

Tabelle 33: Transportpakete



HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifischeKonfigurationsanpassungen in eine One Identity Manager-Datenbank übernommenwerden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Siedieses Transportpaket mit dem Database Transporter in die Zieldatenbank. DasZusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zueinem Transportpaket wird nicht unterstützt.

Verwandte Themen

l Aktualisieren einer SQL Server Datenbank auf Seite 90

l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 92

l Einspielen eines Hotfixes in die One Identity Manager-Datenbank auf Seite 96

Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard

WICHTIG: Bevor Sie ein Migrationspaket in ein Produktivsystem einspielen, testenSie die Änderungen zunächst in einer Testumgebung.

Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwendenSie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank.

Das Programm "Configuration Wizard" führt die Aktualisierung der Datenbank inAbhängigkeit vom aktuellen Stand der One Identity Manager-Datenbank durch undüberträgt den aktuellen Stand in die Versionshistorie.

Während der Aktualisierung werden Berechnungsaufträge in die Datenbank eingestellt.Diese werden durch den DBQueue Prozessor verarbeitet. Abhängig von Datenumfang undSystemperformance kann die Verarbeitung der Berechnungsaufträge einige Zeit dauern.Dies ist insbesondere der Fall, wenn Sie große Mengen historisierter Daten, wiebeispielsweise Datenänderungen oder Informationen aus der Prozessverarbeitung in derOne Identity Manager-Datenbank speichern. Stellen Sie daher vor der Aktualisierung derDatenbank sicher, dass Sie ein entsprechendes Verfahren zur Datenarchivierungkonfiguriert haben. Ausführliche Informationen zur Archivierung von Daten finden Sie imOne Identity Manager Administrationshandbuch für die Datenarchivierung.

HINWEIS: Starten Sie den Configuration Wizard auf einer administrativenArbeitsstation.

WICHTIG: Stellen Sie vor der Aktualisierung des One Identity Manager Schemas aufdie Version 8.0 sicher, dass der administrative Systembenutzer, mit dem die Kompi-lierung der Datenbank erfolgt, ein Kennwort hat. Anderenfalls kann die Aktualisierungdes Schemas nicht vollständig durchgeführt werden.




l Aktualisieren einer SQL Server Datenbank auf Seite 90

l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 92

l Verarbeiten der Datenbank während der Aktualisierung auf Seite 95

Aktualisieren einer SQL Server Datenbank


HINWEIS:

l Die Aktualisierung der Datenbank wird im Einzelbenutzermodus ausgeführt.Beenden Sie alle bestehenden Verbindungen zur Datenbank vor dem Start derMigration.

l Nach Beenden der Aktualisierung wird die Datenbank automatisch in denMehrbenutzermodus geschaltet. Sollte dies nicht möglich sein, erhalten Sieeine Meldung, über die Sie die Datenbank manuell in den Mehrbenutzermodusschalten können.

l Bei Einsatz einer Datenbankspiegelung kann es zu Problemen bei der Aktivie-rung des Einzelbenutzermodus kommen.



Um eine Datenbank zu aktualisieren:


2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbankaktualisieren.

3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und dasInstallationsverzeichnis.

a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in derListe.

-ODER-

Wählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem SQLServer und erfassen Sie die Verbindungsdaten zum Datenbankserver.














4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule undVersionsinformationen angezeigt.

a. Wählen Sie die Module, die Sie aktualisieren möchten.

b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.

c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie dieOptionWeitere Module hinzufügen.

5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichenModule.

HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule hinzufügen aktiviert haben.

HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihrekundenspezifischen administrativen Benutzer die Berechtigungen auf dieseModule.

6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden dieseauf der Seite Aktive Datenbankverbindungen angezeigt.

l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartetwerden kann.

7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eineVerarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit derAktualisierung fortfahren.



8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt. Die Installation und Konfiguration der Datenbank wird durch denConfiguration Wizard automatisch durchgeführt.

TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.

a. Für die Kompilierung des Systems ist die Anmeldung mit einemadministrativen Benutzer erforderlich.

l Erfassen Sie den Benutzername und Kennwort des administrativenSystembenutzers.

l Klicken Sie Anmelden.

b. Nach Abschluss der Verarbeitung, klicken SieWeiter.

9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie dieLieferantenbenachrichtigung einrichten.

Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Managereinmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an OneIdentity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird vonunserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichenÄnderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zu Testzwecken verwendet werden. DieseInformationen behalten Gültigkeit, solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produkt bezieht.

a. Um die Funktion zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein.

Die E-Mail-Adresse wird als Absenderadresse für dieLieferantenbenachrichtigung verwendet.

b. Um die Funktion nicht zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung deaktivieren.


Verwandte Themen



l Fehlerbehebung auf Seite 155


Aktualisieren eines Oracle Datenbankbenutzers






Um einen Datenbankbenutzer zu aktualisieren


2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbankaktualisieren.

3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und dasInstallationsverzeichnis.

a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbankin der Liste.

-ODER-

Wählen Sie unter Neue Verbindung hinzufügen das DatenbanksystemOracle Database und erfassen Sie die Verbindungsdaten zum Datenbankserver.















4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und



Versionsinformationen angezeigt.

a. Wählen Sie die Module, die Sie aktualisieren möchten.

b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.

c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie dieOptionWeitere Module hinzufügen.

5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichenModule.

HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die OptionWeitereModule hinzufügen aktiviert haben.

HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihrekundenspezifischen administrativen Benutzer die Berechtigungen auf dieseModule.

6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden dieseauf der Seite Aktive Datenbankverbindungen angezeigt.

l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartetwerden kann.

7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eineVerarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit derAktualisierung fortfahren.

8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritteangezeigt. Die Installation und Konfiguration der Datenbank wird durch denConfiguration Wizard automatisch durchgeführt.

TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zumMigrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert.

a. Für die Kompilierung des Systems ist die Anmeldung mit einemadministrativen Benutzer erforderlich.

l Erfassen Sie den Benutzername und Kennwort des administrativenSystembenutzers.

l Klicken Sie Anmelden.

b. Nach Abschluss der Verarbeitung, klicken SieWeiter.

9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie dieLieferantenbenachrichtigung einrichten.

Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Managereinmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an OneIdentity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird vonunserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichenÄnderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese



Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produkt bezieht.

a. Um die Funktion zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein.

Die E-Mail-Adresse wird als Absenderadresse für dieLieferantenbenachrichtigung verwendet.

b. Um die Funktion nicht zu nutzen, aktivieren Sie die OptionLieferantenbenachrichtigung deaktivieren.


Verwandte Themen





Verarbeiten der Datenbank während derAktualisierung

Die Aktualisierung der Datenbank wird durch den Configuration Wizard automatischdurchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformanceeinige Zeit dauern.

Der Configuration Wizard führt dabei die folgenden Schritte aus:

l Schemainstallation

Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. DieFehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. DieFehler sind manuell zu korrigieren. Erst danach kann die Schemainstallationgestartet werden.

Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen,Datenbankprozeduren in die Datenbank eingespielt. Beim Import einesMigrationspaketes in eine One Identity Manager-Datenbank werden die folgendenOperationen ausgeführt:

Operationen Beschreibung

Einfügen Wird in der Zieldatenbank kein Objekt über einen alternativenSchlüssel gefunden, so wird ein neues Objekt mit den Schlüs-

Tabelle 36: Operationen beim Import eines Migrationspaketes



Operationen Beschreibung

selwerten erzeugt.

Aktualisieren Wird in der Zieldatenbank ein Objekt über einen alternativenSchlüssel gefunden, so wird das Objekt aktualisiert.

Löschen Nicht mehr benötigte Objekte werden in der Zieldatenbankgelöscht.

Während einer Schemainstallation werden Berechnungsaufträge in die Datenbankeingestellt. Diese werden durch den DBQueue Prozessor verarbeitet.

Bei einer Schemainstallation mit dem Configuration Wizard werden dasMigrationsdatum und der Migrationsstand in der Transporthistorie der Datenbankaufgezeichnet.

l Systemkompilierung

Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekanntgegeben. Es wird das Authentifizierungsmodul "Systembenutzer" mit demangegebenen Systembenutzer zum Kompilieren verwendet.

l Automatische Aktualisierung

Um die Dateien des One Identity Manager über die Mechanismen der automatischenSoftwareaktualisierung zu verteilen, werden die Dateien in die One IdentityManager-Datenbank geladen.

Verwandte Themen




Einspielen eines Hotfixes in die One IdentityManager-Datenbank

WICHTIG: Bevor Sie ein Hotfixpaket in ein Produktivsystem einspielen, testen Sie dieÄnderungen zunächst in einer Testumgebung.

Hotfixpakete enthalten:

l Transportpakete, die Änderungen an der Standardkonfiguration wie beispielsweiseBildungsregeln, Skripte, Prozesse in die One Identity Manager-Datenbank enthalten

l Geänderte Dateien, wie beispielsweise *.exe, *.dll oder *.vif



Wenn Sie mit einem Hotfixpaket ein Transportpaket erhalten, verwenden Sie dasProgramm "Database Transporter" zur Aktualisierung der One Identity Manager-Datenbank.

Beim Importieren eines Transportpaketes mit dem Database Transporter werden dasDatum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, derName des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet.

Wenn ein Hotfixpaket geänderte Dateien enthält, kopieren Sie die Dateien zum Testen indas Installationsverzeichnis auf der Testmaschine. Um die Dateien über die automatischeSoftwareautomatisierung an alle Arbeitsstationen und Server zu verteilen, importieren Siedie Dateien mit dem Programm "Software Loader" in die One Identity Manager-Datenbank.

HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifischeKonfigurationsanpassungen in eine One Identity Manager-Datenbank übernommenwerden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Siedieses Transportpaket mit dem Database Transporter in die Zieldatenbank. DasZusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zueinem Transportpaket wird nicht unterstützt.


l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 97

l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 98

l Importieren von Dateien mit dem Software Loader auf Seite 99


Inhalt eines Transportpaketes mit dem DatabaseTransporter anzeigen

Vor dem Import eines Transportpaketes mit dem Database Transporter können Sie denInhalt der Datei anzeigen.

HINWEIS: Starten Sie den Database Transporter auf einer administrativenArbeitsstation.

Um den Inhalt eines Transportpaketes anzuzeigen

1. Öffnen Sie das Launchpad und wählen Sie den Eintrag KundenspezifischeÄnderungen transportieren. Das Programm "Database Transporter" wirdgestartet.

2. Auf der Startseite wählen Sie Transportdatei anzeigen.

3. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.

4. Auf der Seite Transportdatei auswählen klicken SieWeiter.



5. Auf der Seite Transportdatei anzeigen wird der Inhalt der Transportdateiangezeigt.

l Um die Importreihenfolge der Objekte anzuzeigen

a. Öffnen Sie über + einen Eintrag in der Transportdatei und wählen Sie dasKontextmenü Sortieren nach Importreihenfolge.

b. Klicken Sie OK und erfassen Sie die Verbindungsdaten zurDatenbank. Dieser Schritt ist nur bei der ersten Ermittlung einerReihenfolge notwendig.

Es wird die Reihenfolge ermittelt, in der die Objekte dieses Eintrags indie Datenbank importiert werden.

c. Wiederholen Sie Schritt a) für alle Einträge, für die Sie die Reihenfolgeermitteln möchten.


Verwandte Themen

l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 98

Importieren eines Transportpaketes mit demDatabase Transporter

HINWEIS: Um Transportpakete mit dem Database Transporter zu importieren, mussder angemeldete Benutzer zur Nutzung der Programmfunktion "Erlaubt den Importvon Transportpaketen in die Datenbank. (Transport_Import)" berechtigt sein.

HINWEIS: Starten Sie den Database Transporter auf einer administrativenArbeitsstation.

Um ein Transportpaket zu importieren

1. Öffnen Sie das Launchpad und wählen Sie den Eintrag KundenspezifischeÄnderungen transportieren. Das Programm "Database Transporter" wirdgestartet.

2. Auf der Startseite wählen Sie Transportdatei importieren.

3. Auf der Seite Datenbankverbindung wählen geben Sie die Verbindungsdatenzur One Identity Manager-Datenbank an, in welche Sie das Transportpaketimportieren möchten.

4. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.

5. Auf der Seite Transportdatei auswählen legen Sie Importoptionen fest.

a. Um eine Protokolldatei für den Import zu erstellen, aktivieren Sie die OptionProtokolldatei zum Datenimport erzeugen.

Die Protokolldatei wird im Ausgabeverzeichnis der Transportdatei abgelegt.



b. Um Objekte einzeln zu importieren, aktivieren Sie die Option Objekte einzelnimportieren und Fehler ignorieren.

Eventuell auftretende Fehler beim Import werden ignoriert und am Ende desImportvorgangs angezeigt. Ist die Option nicht aktiviert, wird derImportvorgang bei Fehlern abgebrochen.

6. Auf der Seite Systemdaten importieren werden die auszuführendenImportschritte und der Importfortschritt angezeigt. Der Importvorgang kann einigeZeit in Anspruch nehmen. Zum Abschluss werden Berechnungsaufträge für denDBQueue Prozessor eingestellt.

7. Wurden mit dem Transportpaket Änderungen an der Systemkonfigurationvorgenommen, beispielsweise Prozesse oder Skripte importiert, dann müssen Sienach der Abarbeitung dieser Aufträge die Datenbank kompilieren. Nach dem Importwird die Kompilierung der Datenbank automatisch gestartet.


HINWEIS: Sind während des Importes Fehler aufgetreten, können Sie dieseüber die Schaltfläche speichern.


Verwandte Themen

l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 97


Importieren von Dateien mit dem SoftwareLoader

HINWEIS: Starten Sie den Software Loader auf einer administrativen Arbeitsstation.

Um Dateien zu importieren

1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Dateien fürSoftwareaktualisierung. Das Programm "Software Loader" wird gestartet.

2. Auf der Startseite wählen Sie In Datenbank importieren.

3. Auf der Seite Verbindung zur Datenbank herstellen geben Sie dieVerbindungsdaten zur One Identity Manager-Datenbank an.

4. Auf der Seite Dateien auswählen legen Sie fest, welche Dateien importiertwerden.



a. Wählen Sie das Basisverzeichnis, in welchem sich die Dateien befinden.

In der Dateiliste werden alle Dateien des gewählten Verzeichnisses mit ihremStatus und der Dateigröße angezeigt. Der Status wird aus den Dateiinformationin der Datenbank ermittelt. Zur Prüfung der Version einer Datei werden dieDateigröße und der Hashwert ermittelt und mit dem Eintrag in der Datenbankverglichen.

HINWEIS: Achten Sie bei der Auswahl des Basisverzeichnisses darauf,das nicht unbeabsichtigt eine Verzeichnishierarchie erzeugt wird.

Status Bedeutung

Versionunbekannt

Die Datei gehört zu den bekannten Dateien, wurde jedoch nochnicht in die Datenbank geladen. Es liegen keine Versi-onsinformationen in der Datenbank vor.

Dateiunbekannt

Die Datei ist neu. Die Datei ist in der Liste der bekannten Dateiennicht vorhanden und wurde noch nicht in die Datenbank geladen.Es liegen keine Versionsinformationen in der Datenbank vor.

VersionOK

Die Version der Datei stimmt mit der Version in der Datenbanküberein.

Versiongeändert

Die Version der Datei hat sich gegenüber der Version in derDatenbank geändert.

Tabelle 37: Bedeutung der Status

b. Markieren Sie die Dateien, die in die One Identity Manager-Datenbank zu ladensind. Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrereDateien auswählen.

TIPP: Über Mausklick auf eine Spalte im Tabellenkopf sortieren Sie dieAnzeige nach der gewählten Spalte.

TIPP: Eine Vorauswahl geänderte Dateien ist über das Kontextmenümöglich.

Eintrag imKontextmenü

Bedeutung

Alle Verzeich-nisse öffnen

Es werden alle Verzeichnisse geöffnet.

Alle geänder-ten Dateienöffnen

Es werden alle Dateien mit dem Status "Version geändert"ausgewählt. Dateien in Unterverzeichnissen werden nurausgewählt, wenn vorher das Verzeichnis geöffnet wurde.

Tabelle 38: Bedeutung der Einträge im Kontextmenü



5. Auf der Seite Änderungskennzeichen wählen vergeben Sie einÄnderungskennzeichen.

Um den Austausch neuer Dateien zwischen verschiedenen Datenbanken(Testdatenbank, Entwicklungsdatenbank, Produktivdatenbank) zu erleichtern,vergeben Sie ein Änderungskennzeichen, mit dem die Dateien gekennzeichnetwerden. Diese Änderungskennzeichen werden im Programm "Database Transporter"bei der Erstellung eines Kundentransportpaketes als Exportkriterium angeboten.

a. Wählen Sie Die Dateien sollen folgendem Änderungskennzeichenzugeordnet werden.

b. Wählen Sie das Änderungskennzeichen über die Schaltfläche neben der Option.

6. Die Dateien werden in die One Identity Manager-Datenbank geladen. Nach demerfolgreichen Laden der Dateien in die Datenbank, wird der Semaphorwert"Softwarerevision" in der Datenbank durch den DBQueue Prozessor aktualisiert.Beim nächsten Semaphortest werden die Dateien somit in die Liste der zuaktualisierenden Dateien aufgenommen und an die Arbeitsstationen und Serververteilt.

7. Auf der Seite Maschinenrollen zuordnen legen Sie weitere Einstellungen für dieDateien fest.

a. Ordnen Sie die Dateien einer Maschinenrolle zu.

b. Um weitere Einstellungen festzulegen, klicken Sie die Schaltfläche ... nebenden Dateinamen.

Einstellung Beschreibung

Quellverzeichnis Verzeichnispfad in der Installationsquelle.

Sicherungskopieerstellen

Beim der automatischen Softwareaktualisierung ist vonder Datei eine Kopie anzufertigen.

Keine Aktua-lisierung

Die Datei wird durch die automatische Softwa-reaktualisierung nicht aktualisiert.

Tabelle 39: Weitere Dateieinstellungen

8. Auf der letzten Seite klicken Sie Ende, um das Programm zu schließen.

Verwandte Themen





Automatisches Aktualisieren des OneIdentity Manager

Aufgrund der räumlichen Verteilung der Server und Arbeitsstationen gestaltet sich vorallem das manuelle lokale Installieren und Aktualisieren von Software als problematisch.Um einen erträglichen Arbeitsaufwand der Netzwerkadministratoren zu gewährleisten,wurde für den One Identity Manager ein Verfahren zur automatischen Aktualisierung desOne Identity Manager entwickelt. Neben der Aktualisierung bekannter Dateien einer OneIdentity Manager-Installation können neue, kundenspezifische Dateien auf einfache Weisein das Verfahren aufgenommen werden und somit über die Mechanismen derautomatischen Softwareaktualisierung an die Arbeitsstationen und Server eines OneIdentity Manager-Netzwerkes verteilt werden.


l Grundlagen zur automatischen Aktualisierung auf Seite 102

l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 105

Grundlagen zur automatischenAktualisierung

Alle Dateien einer One Identity Manager-Installation sind mit Namen und ihrem Binärcodein der One Identity Manager-Datenbank abgelegt. Für jede Datei ist die Zugehörigkeit zuden Maschinenrollen und Installationspaketen erfasst. Zusätzlich sind in der Datenbank fürjede Datei die Dateigröße und ein Hashwert zur Dateierkennung hinterlegt.

Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs odereiner Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.

In der Datenbank wird ein Semaphor "Softwarerevision" gepflegt. Beim Hinzufügen,Ändern oder Löschen einer Datei in der Datenbank wird der Semaphorwert durch denDBQueue Prozessor neu berechnet. Im Installationsverzeichnis aller One Identity Manager-Installationen liegt eine Datei Softwarerevision.viv. Diese Datei enthält die folgendenInformationen:

l den Revisionsstand der Installation

Der Revisionsstand wird aus dem Wert des Semaphors "Softwarerevision" in derDatenbank ermittelt.

l den Startzeitpunkt der letzten Änderung

Zusätzlich befindet sich im Installationsverzeichnis aller One Identity Manager-Installationen eine Datei InstallState.config. Diese Datei enthält die Informationen überdie installierten Maschinenrollen, Installationspakete und Dateien.



Durch den Vergleich der Semaphorwerte aus der Datenbank und der Datei wirdfestgestellt, ob eine Softwareaktualisierung notwendig ist. Unterscheiden sich dieSemaphorwerte, wird anhand der InstallState.config ermittelt, welche Maschinenrollenfür den Computer oder den Server definiert sind. Für jede Datei, die zu einerMaschinenrolle gehört, wird geprüft, ob diese Datei in der Datenbank bekannt ist.

Gibt es die Datei in der Datenbank, wird geprüft:

l Hat sich die Dateigröße geändert?

Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateienaufgenommen.

l Hat sich der Hashwert geändert?

Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateienaufgenommen.

Neue Dateien, die durch das Einspielen eines Hotfixes, eines Service Packs, einerVersionsänderung oder durch Einspielen einer kundenspezifischen Datei in die One IdentityManager-Datenbank geladen wurden, werden ebenfalls in die Liste aufgenommen. Alle inder Liste aufgeführten Dateien werden aktualisiert. Alle Aktionen werden in der Dateiupdate.log protokolliert. Nach Abschluss der Aktualisierung wird der aktuelleSemaphorwert aus der Datenbank in die Datei Softwarerevision.viv übernommen.

Automatische Aktualisierung der One Identity Manager-Werkzeuge

Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her undführt den Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wirdeine neue Datei angelegt.

Ist im Installationsverzeichnis des One Identity Manager kein Schreibrecht vorhanden,wird eine Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt.

Das Aktualisierungsprogramm (Updater.exe) erwartet bei aktivierterBenutzerkontensteuerung die Angabe einer administrativen Anmeldung, sofern derangemeldete Benutzer keine administrativen Berechtigungen auf dasInstallationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in einVerzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt dieseAbfrage. Anschließend wird der Aktualisierungsprozess gestartet.

Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden,wird im Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programmund das Aktualisierungsprogramm (Updater.exe) schreiben ihre Prozess-ID’s in die Datei.Nach erfolgreichem Abschluss der Aktualisierung wird die Update.Lock-Datei aus demInstallationsverzeichnis gelöscht. Das Programm wird anschließend neu gestartet. Umsicherzustellen, dass nach einem unerwarteten Programmabbruch in derAktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendungerneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist beiNeustart einer Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen,auf der Arbeitsstation vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und dieAktualisierung erneut gestartet.

Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wirdeine Datei zum Austausch erkannt, so wird der Aktualisierungsprozess gestartet.



Eingreifen des Benutzers in die automatische Aktualisierung der OneIdentity Manager-Werkzeuge

Wird die Aktualisierung der One Identity Manager-Komponenten auf einer Arbeitsstationerkannt, erfolgt der Hinweis alle geöffneten Programme zu schließen. Nachdem derBenutzer alle Programme geschlossen hat, wird die Aktualisierung ausgeführt.

Ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann dieAktualisierung ihrer Arbeitsstationen erfolgt, wird über den Konfigurationsparameter"Common\AutoUpdate\AllowOutOfTimeApps" gesteuert.

l Ist der Konfigurationsparameter nicht aktiviert, hat ein Benutzer keine Möglichkeit indie Aktualisierung einzugreifen. Die Aktualisierung wird sofort ausgeführt.

l Ist der Konfigurationsparameter aktiviert, wird dem angemeldeten Benutzer einMeldungsfenster angezeigt. Der Benutzer kann entscheiden, ob die Aktualisierungder One Identity Manager-Werkzeuge auf seiner Arbeitsstation sofort oder zu einemspäteren Zeitpunkt ausgeführt wird.

Lehnt der Benutzer die sofortige Aktualisierung ab, so kann er weiterarbeiten.Die Aktualisierung kann dann mit dem nächsten Start des Programmsdurchgeführt werden.

Automatische Aktualisierung des One Identity Manager Service

Die automatische Softwareaktualisierung ist das Standardverfahren zur Aktualisierung desOne Identity Manager Service auf den Servern. Im Aktualisierungsverfahren wurde jedochberücksichtigt, dass es unter Umständen unumgänglich ist, einzelne Server von derautomatischen Aktualisierung auszuschließen und manuell zu aktualisieren.

Der One Identity Manager Service liefert bei jeder Anfrage nach Prozessschritten seinenaktuellen Stand des Semaphors "SoftwareRevision" zurück. Sollte dieser Wert von dem inder Datenbank gefundenen Wert abweichen, so wird der Jobserver in der Datenbank als "inAktualisierung befindlich" gekennzeichnet und es werden keine normalen Prozessschrittefür diesen Jobserver mehr geliefert.

Abhängig vom eingestellten Verfahren im Konfigurationsparameter"Common\Autoupdate\ServiceUpdateType" wird die Aktualisierung der Jobserverdurchgeführt.

Es wird zunächst der Startzeitpunkt der letzten Änderung aus der DateiSoftwareRevision.viv ermittelt. Es wird eine Liste aller Dateien mit der Zusatzinformation,ob es sich um eine neue Datei handelt, zusammengestellt. Diese Liste wird auf dem zuaktualisierenden Jobserver ausgewertet und eine Liste erstellt, welche der Dateien zuaktualisieren sind. Wurde mindestens eine Datei auf dem Jobserver ausgetauscht, erfolgtein Neustart des One Identity Manager Service. Nach Abschluss der Aktualisierung wird dieKennzeichnung des Jobservers in der Datenbank wieder zurückgesetzt.

Automatische Aktualisierung von Webanwendungen

Grundsätzlich unterstützen die Webanwendungen die automatische Softwareaktualisierung.Für die einzelnen Webanwendungen können jedoch eigene Konfigurationseinstellungenerforderlich sein, um an der automatischen Softwareaktualisierung teilzunehmen.



HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungenerforderlich:

l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zumSchreiben auf das Anwendungsverzeichnis.

l Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicher-heitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag".

l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalenSicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassenvon Speicherkontingenten für einen Prozess".

Die Aktualisierung einer Webanwendung erfordert einen Neustart der Webanwendung. DerNeustart der Webanwendung erfolgt durch den Webserver automatisch, wenn dieWebanwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kanneinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.Einige Webanwendungen bieten die Möglichkeit den Neustart manuell auszuführen.

Wird die Aktualisierung der Webanwendung erkannt, werden neue Dateien aus derDatenbank in vorläufige Verzeichnisse auf den Server kopiert. Die Updater.exe wirdgestartet. Es wartet bis der Webanwendungsprozess herunter gefahren wird. DieUpdater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis derWebanwendung.

Verwandte Themen

l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 105

l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 113

l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 133

l Aktualisieren der Manager Webanwendung auf Seite 142

Inbetriebnahme der automatischenSoftwareaktualisierung

WICHTIG:

l Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank gestartet wird, aktualisieren Sie mit dem Installationsassistenten.

l Den One Identity Manager Service auf dem Aktualisierungsserver aktualisierenSie mit dem Installationsassistenten.

Berechtigungen für die automatische Softwareaktualisierung

l Für die automatische Aktualisierung der One Identity Manager-Werkzeuge werdenvolle Zugriffsrechte auf das One Identity Manager-Installationsverzeichnis



empfohlen.

l Für die automatische Aktualisierung des One Identity Manager Service benötigt dasBenutzerkonto des Dienstes Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

Um die automatische Softwareaktualisierung einzusetzen

1. Stellen Sie sicher, dass ein Aktualisierungsserver eingerichtet ist. Dieser Serversorgt für die automatische Aktualisierung der weiteren Server.

a. Der Server muss als Jobserver mit der Serverfunktion "Aktualisierungsserver"in der Datenbank eingetragen sein.

b. Auf dem Server muss ein One Identity Manager Service mit direktem Zugriffauf die Datenbank installiert und konfiguriert sein.

c. Schließen Sie diesen Server von der automatische Aktualisierung aus.Aktivieren Sie im Designer für den Jobserver mit der Serverfunktion"Aktualisierungsserver " die Option kein automatisches Softwareupdate.

2. Aktivieren Sie im Designer den Konfigurationsparameter "Common\Autoupdate".

l Ist der Konfigurationsparameter aktiviert, dann werden Dateien des OneIdentity Manager, die nicht dem erforderlichen Revisionsstand entsprechen,automatisch aktualisiert.

l Ist der Konfigurationsparameter deaktiviert, erfolgt keine automatischeSoftwareaktualisierung.

3. Legen Sie über den Konfigurationsparameter"Common\AutoUpdate\AllowOutOfTimeApps" fest, ob die Benutzer der One IdentityManager-Werkzeuge entscheiden können, wann die Aktualisierung ihrerArbeitsstation erfolgt.

l Ist der Konfigurationsparameter aktiviert, wird den Benutzern der One IdentityManager-Werkzeuge ein Meldungsfenster angezeigt, mit dem sie festlegen, obdie Aktualisierung sofort oder zu einem späteren Zeitpunkt erfolgen soll.

l Ist der Konfigurationsparameter nicht aktiviert, werden die One IdentityManager-Werkzeuge sofort aktualisiert.

4. Legen Sie im Konfigurationsparameter "Common\Autoupdate\ServiceUpdateType"fest, welches Verfahren für die Aktualisierung des One Identity Manager Servicegenutzt wird.

Verfahren Bedeutung

Queue Es wird ein Prozess in die Jobqueue eingestellt, über den die Dateienverteilt werden.

DB Die Dateien werden direkt aus der Datenbank geladen. DiesesVerfahren setzen Sie ein, wenn alle Jobserver eine direkte Daten-

Tabelle 40: Verfahren laut Konfigurationsparameter"Common\Autoupdate\ServiceUpdateType"



Verfahren Bedeutung

bankverbindung haben.

Auto Alle Kopfserver werden direkt aus der Datenbank befüllt. Für alleBlattserver wird ein Prozess in die Jobqueue eingestellt. Für diesesVerfahren müssen die Kopfserver eine direkte Datenbankverbindunghaben.

5. Um einzelne Jobserver von der automatischen Aktualisierung auszuschließen,aktivieren Sie für die Jobserver im Designer die Option kein automatischesSoftwareupdate.

6. Für die Aktualisierung der Webanwendungen können eigeneKonfigurationseinstellungen notwendig sein. Prüfen Sie dieseKonfigurationseinstellungen.

Verwandte Themen

l Grundlagen zur automatischen Aktualisierung auf Seite 102

l Aktualisieren der One Identity Manager-Komponenten auf Seite 86





7

Installieren und Aktualisieren einesOne Identity ManagerAnwendungsservers

Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt dieVerarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definiertenBildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speicherneines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.

HINWEIS: Um die Volltextsuche im Web Portal oder im Manager zu nutzen, benötigenSie einen Anwendungsserver mit installiertem Suchdienst.

Stellen Sie vor der Installation sicher, dass die minimalen Hardware- undSoftwarevoraussetzungen auf dem Server erfüllt sind.





l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 113

l Deinstallieren eines One Identity Manager Anwendungsservers auf Seite 114

Installieren eines One Identity ManagerAnwendungsservers

Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zuVerfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt dieVerarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definiertenBildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speicherneines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben.


Installieren und Aktualisieren eines One Identity ManagerAnwendungsservers

108


WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server.

Um einen Anwendungsserver zu installieren


2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der Web Installerwird gestartet.

3. Auf der Startseite des Web Installer wählen Sie Anwendungsserver installierenund klicken SieWeiter.

4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur OneIdentity Manager-Datenbank an und klicken SieWeiter.

5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vorund klicken SieWeiter.


Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeiledes Browsers verwendet werden soll.

Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem dieAnwendung installiert wird.

SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installationangeboten werden. Ist die Option aktiviert, können nur Seiten,die per SSL gesichert sind, zur Installation verwendet werden.Diese Einstellung ist der Standardwert. Ist die Option nichtaktiviert, können unsichere Webseiten zur Installationverwendet werden.

URL Uniform Resource Locator (URL) der Anwendung.

DedizierterAnwendungspooleinrichten

Angabe, ob für jede Anwendung ein eigener Anwendungspoolinstalliert werden soll. Diese Option ermöglicht es,Anwendungen unabhängig voneinander einzustellen. Ist dieOption aktiviert, wird jede Anwendung in ihren eigenenAnwendungspool installiert.

Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe istnur möglich, wenn die Option Dedizierter Anwendungspooleinrichten deaktiviert ist.

Bei Verwendung des Standardwertes "DefaultAppPool" wirdder Anwendungspool nach folgender Syntax gebildet:

Tabelle 41: Einstellungen für das Installationsziel



109


<Anwendungsname>_POOL

Identität Berechtigung für die Ausführung des Anwendungspool. Es kanneine Standard-Identität oder ein benutzerdefiniertesBenutzerkonto verwendet werden.

Bei Verwendung des Standardwertes "ApplicationPoolIdentity"wird das Benutzerkonto nach folgender Syntax gebilet:

IIS APPPOOL\<Anwendungsname>_POOL

Wenn Sie einen anderen Benutzer berechtigen möchten,klicken Sie die Schaltfläche ... neben dem Eingabefeld underfassen den Benutzer und sein Kennwort.

Web-Authen-tifizierung

Angabe der Authentifizierungsart gegenüber derWebanwendung. Zur Auswahl stehen:

l Windows Authentifizierung (Single Sign-On)

Der Benutzer wird gegenüber dem Internet InformationServices mithilfe seines Windows Benutzerkontosauthentifiziert und die Webanwendung meldet die diesemBenutzerkonto zugeordnete Person rollenbasiert an.Sollte dieses Single Sign-On nicht möglich sein, wird derBenutzer auf eine Anmeldeseite umgeleitet. DieseAuthentifizierung ist nur wählbar, wenn die WindowsAuthentifizierung installiert ist.

l Anonym

Eine Anmeldung ohne Windows Authentifizierung istmöglich. Der Benutzer wird gegenüber dem InternetInformation Services und der Webanwendung anonymauthentifiziert und die Webanmeldung leitet auf eineAnmeldeseite um.

Datenbank-Authentifizierung

HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wennSie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben.

Angabe der Authentifizierungsart gegenüber der One IdentityManager-Datenbank. Zur Auswahl stehen:

l Windows Authentifizierung

Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für den



110


Anwendungspool möglich.

l SQL-Authentifizierung

Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgtmittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.

6. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest undklicken SieWeiter.

Die Maschinenrollen für den Anwendungsserver sind aktiviert. DieMaschinenrollen "Search Service" und "Search Indexing Service" werden für dieSuchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immergemeinsam zu verwenden.

HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, wird einAnwendungsserver benötigt, auf dem der Suchdienst installiert ist.

7. Auf der Seite Setze das Session-Token-Zertifikat legen Sie das Zertifikat für dieErstellung und Prüfung von Sitzungstoken fest und klicken SieWeiter.

HINWEIS: Das Zertikat muss mindestens eine Schlüssellänge von 1024 Bithaben.

a. Um ein neues Zertifikat zu erzeugen

l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Erzeuge neues Zertifikat".

l Erfassen Sie unter Zertifikatsherausgeber den Aussteller desZertifikats.

l Legen Sie unter Schlüssellänge die Schlüssellänge für dasZertifikat fest.

Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsserverseingetragen.

b. Um ein bestehendes Zertifikat zu verwenden

l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Nutze bestehendes Zertifikat".

l Wählen Sie unter Zertifikat auswählen das Zertifikat.

c. Um eine neue Zertifikatsdatei zu erzeugen

l Wählen Sie unter Zertifikat für das Session-Token den Eintrag"Erzeuge neue Zertifikatsdatei".



111

l Erfassen Sie unter Zertifikatsherausgeber den Aussteller desZertifikats.

l Legen Sie unter Schlüssellänge die Schlüssellänge für dasZertifikat fest.

8. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkontofür die automatische Aktualisierung des Anwendungsservers fest.

Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnisanzulegen oder auszutauschen.

l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführtwird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutzedie IIS-Berechtigungen für Aktualisierungen.

l Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie dieOption Nutze ein spezielles Konto für die Aktualisierungen und gebenSie die Domäne, den Benutzernamen und das Kennwort des Benutzers an.




l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt dielokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene"und "Anpassen von Speicherkontingenten für einen Prozess".

9. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.

Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien (web.config) zu jedem Verzeichnis.


HINWEIS: Bei der Installation werden Standardwerte für dieKonfigurationseinstellungen verwendet. Sie können diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen überprüfen.

Verwandte Themen








112

Aktualisieren eines One IdentityManager Anwendungsservers

HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellenWartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nichterreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführtwerden kann.

Die Aktualisierung der Anwendung erfolgt automatisch. Um eine Aktualisierungdurchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes,eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbankeingefügt und aktualisiert.

Die Prüfung wird beim Start der Anwendung und danach aller 5 Minuten durchgeführt.Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Die Dateienkönnen nicht aktualisiert werden, solange die Anwendung läuft, da diese die Dateienblockiert bzw. deren Änderung einen Neustart der Anwendung und einen Verlust alleraktiver Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bisdie Anwendung neu gestartet wird.

Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn dieAnwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann abereinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.

Um die Aktualisierung manuell zu starten, öffnen Sie die Statusseite desAnwendungsservers im Browser und verwenden Sie den Eintrag Update immediately imMenü des angemeldeten Benutzers.

Verwandte Themen



Anzeigen des Status eines One IdentityManager Anwendungsservers

Der Anwendungsserver ist über einen Browser erreichbar unter:

http://<Server>/<Anwendungsname>

https://<Server>/<Anwendungsname>

TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen.Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus undöffnen Sie auf dem TabreiterWebserver die Statusanzeige des Webservers überdas Kontextmenü Im Browser öffnen.



113

Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. DieStatusinformationen des Anwendungsservers stehen auch als Leistungsindikatoren zurVerfügung.

Zusätzlich ist hier eine API Dokumentation verfügbar.

Deinstallieren eines One IdentityManager Anwendungsservers

Um eine Webanwendung zu deinstallieren

1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.


b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den EintragWeb-basierte Komponenten und klicken Sie Installieren. Der WebInstaller wird gestartet.

- ODER -

c. Starten Sie den Web Installer über Start | One Identity | One IdentityManager | Configuration | Web Installer.

2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer OneIdentity Manager Webanwendung und klicken SieWeiter.

3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendungwerden alle installierten Webanwendungen angezeigt.

a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernenmöchten.

b. Wählen Sie im Bereich Authentifizierungsverfahren dasAuthentifizierungsmodul und authentifizieren Sie sich.

c. Um die Deinstallation zu starten, klicken SieWeiter.

d. Bestätigen Sie die Sicherheitsabfrage mit Ja.

4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallationangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.




114

8

Installieren, Konfigurieren undWarten des Web Portals

Mit Hilfe des Web Installers können Sie das Web Portal installieren, konfigurieren undaktualisieren. Nachfolgend wird auf die Schritte eingegangen, die nötig sind, um das WebPortal auf einem Windows Server zu installieren und in der Standardkonfiguration inBetrieb zu nehmen. Die Konfigurationseinstellungen werden mit ihren entsprechendmöglichen Werten erläutert.



l Deinstallieren des Web Portal auf Seite 125

l Konfigurieren des Web Portal auf Seite 125

l Warten des Web Portal auf Seite 132

Installieren des Web Portal


HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, stellen Sieeinen Anwendungsserver bereit, auf dem der Suchdienst installiert ist.

WICHTIG: Starten Sie die Installation des Web Portal lokal auf dem Server.

Um das Web Portal zu installieren




Installieren, Konfigurieren und Warten des Web Portals115

3. Auf der Startseite des Web Installer wählen SieWeb Portal installieren undklicken SieWeiter.


Abhängig davon welche Datenbankverbindung gewählt wurde, werden auf der SeiteInstallationsziel wählen unterschiedliche Einstellungen angezeigt.
























l Anonym






Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für denAnwendungspool möglich.


Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgtmittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.



Wenn Sie in Schritt 4 eine direkte Datenbankverbindung ausgewählt haben, wirdIhnen die Seite Anwendungsserver wählen angezeigt. Die Angabe einesAnwendungsservers ist erforderlich, wenn Sie die Volltextsuche verwenden möchten.Sie können den Anwendungsserver auch zu einem späteren Zeitpunkt in dieKonfigurationsdatei eintragen.

6. Erfassen Sie auf der Seite Anwendungsserver eintragen den Anwendungsserver,auf dem der Suchdienst für die Volltextsuche installiert ist.

a. Klicken Sie auf den Link Anwendungsserver eintragen.

b. Erfassen Sie im Textfeld URL: die Webadresse, bestätigen Sie Ihre Eingabe mitOK und klicken SieWeiter.

7. Auf der nächsten Seite legen Sie folgende erweiterte Einstellungen zur Installationfest und klicken SieWeiter.

a. Im Bereich Installationsquelle wählen Sie die Quelle für die Installation.

l Wenn die Dateien aus der Datenbank ermittelt werden, wählen Sie Ausder Datenbank laden.

l Wenn die Dateien vom Installationsmedium ermittelt werden, wählen SieAus lokalem Ordner installieren und geben Sie den Pfad an.

b. Wählen Sie im AuswahlfeldWebprojekt das gewünschte Webprojekt.

Sollten keine weiteren Einstellungen erforderlich sein, wird Ihnen die MeldungKeine Authentifizierungsdaten benötigt angezeigt.

Werden weitere Einstellungen benötigt, gehen Sie wie folgt vor:

l Klicken Sie neben der Meldung Authentifizierungsdaten fürSubprojekte sind nicht eingetragen auf die Schaltfläche.

l Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.

l Wählen Sie im Bereich Authentifizierungsverfahren das gewünschteAuthentifizierungsverfahren und erfassen Sie die erforderlichenAnmeldeinformationen.

l Klicken Sie OK.

Weitere Informationen finden Sie unter Webprojekt auf Seite 128.

c. Im Bereich Setze das Konto für Aktualisierung legen Sie dasBenutzerkonto für die automatische Aktualisierung des Web Portal fest.

Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnisanzulegen oder auszutauschen.

l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspoolausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie dieOption Nutze die IIS-Berechtigungen für Aktualisierungen.

l Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie dieOption Nutze ein spezielles Konto für die Aktualisierungen undgeben Sie die Domäne, den Benutzernamen und das Kennwort desBenutzers an.



HINWEIS: Für die automatische Aktualisierung sind folgendeBerechtigungen erforderlich:

l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigungzum Schreiben auf das Anwendungsverzeichnis.


l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigtdie lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozes-sebene" und "Anpassen von Speicherkontingenten für einenProzess".

8. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken SieWeiter.

Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien zu jedem Ordner. Sie sollten in der Lage sein, dieWebanwendung sofort verwenden zu können.

HINWEIS: Wenn Sie die Webanwendung mit HTTPS installieren, wird dieÜbertragungsart der Cookies in HTTPS im Web Installer eingerichtet werden.Berücksichtigen Sie, dass dieser Wert manuell eingestellt werden muss, wennSie Änderungen der SSL-Einstellungen an der Webanwendung zu einemspäteren Zeitpunkt vornehmen.

9. Auf der Seite Installation prüfen können Sie den Start der Webanwendung testen.Die Basis-URL für den Mailversand wird angezeigt. Wählen Sie gegebenenfalls imAuswahlfeld Ändern in eine andere URL und klicken SieWeiter.


Um eine Änderung vorzunehmen

l Schreiben Sie zum Beispiel den Wert <httpCookies requireSSL="true"> in dieweb.config unter dem Element <system.web>.

Der Web Installer verwendet Standardwerte für die meistenKonfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen mithilfe des Web Designer Configuration Editorüberprüfen.

Verwandte Themen



l Konfigurieren des Web Portal auf Seite 125



Installieren des Web Portal über dieKommandozeilenkonsole

Eine Alternative zur Installation über die autorun.exe ist die Installation über dieWebDesigner.InstallerCMD.exe in der Kommandozeilenkonsole. Diese Variante installiertoder deinstalliert ausschließlich das Web Portal.

HINWEIS: Bei der Installation mithilfe der Kommandozeilenkonsole ist darauf zuachten, die Installation als Administrator auszuführen.

Den Hilfetext können Sie über die Eingabe von /? aufrufen.

Aufrufsyntax "Hilfe aufrufen"

WebDesigner.InstallerCMD.exe

Aufrufsyntax "Web Portal installieren"

WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops{authentication} /appname {appname}/site {Site} [/sourcedir {dir}] [/apppool {AppPool}] [/webproject {Webproject}][/constauthproj {subproject name}/constauth {authentication}] [/searchserviceurl {url}] [/updateuser {username}[/updateuserdomain {domain}] [/updateuserpassword {password}]] [/allowhttp{true|false}] [-f] [-w] [-s]

Parameter Beschreibung

/prov Datenbankprovider.

/conn Verbindungsparameter zur Datenbank.

/authprops Authentifizierung mit Dialogauthentifizierung.

/appname Anwendungsname.

/site Webseite.

/sourcedir Quellverzeichnis bei Installation vom Dateisystem.

/apppool Anwendungspool.

/webproject Name des Webprojekts.

/constauthproj Name des Subprojekts.

/constauth Authentifizierungseinstellungen für das Subprojekt.

/searchserviceurl Anwendungsserver für die Verfügbarkeit der Suchfunktion.

Tabelle 43: Parameter des Programms




/allowhttp Zulassen von http.

/updateuser Update-Benutzer.

/updateuserdomain Active Directory-Domäne des Update-Benutzers.

/updateuserpassword Update-Benutzer Kennwort.

-w Windows Authentifizierung statt anonym am IIS.

Beispiel einer Installation mit direkter Verbindung gegen eine SQLServer-Datenbank

In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.

l SQL Server-Datenbankverbindung

l in die Default Web Site

l Anwendungsname "testqs"

l Authentifizierung mit Systembenutzer "testadmin"

l als Anwendungsserver für die Verfügbarkeit der Suchfunktionhttps://dbserver.testdomain.lan/TestAppServer

l http zulassen

WebDesigner.InstallerCMD.exe /conn "Data Source=dbserver.testdomain.lan;InitialCatalog=IdentityManager;Integrated Security=False;User ID=admin;Password=password"/site "Default Web Site" /appname testqs/authprops "Module=DialogUser;User=testadmin;Password="/searchserviceurl https://dbserver.testdomain.lan/TestAppserver /allowhttp true

Beispiel einer Installation mit direkter Verbindung gegen eineOracle-Datenbank


l Oracle Datenbankverbindung


l Anwendungsname "testoraqs"

l Authentifizierung mit Systembenutzer "testadmin"

l Authentifizierung für das Subprojekt "test_UserRegistration_Web"mit Systembenutzer "Subadmin"

WebDesigner.InstallerCMD.exe /prov "VI.DB.Oracle.ViOracleFactory, VI.DB.Oracle"/conn "User Id=IdentityManager;Password=Password;Server=testoraqs.lan;Direct=True;Service Name=test;Port=1521"/site "Default Web Site" /appname testoraqs /authprops"Module=DialogUser;User=testadmin;Password="



/constauthproj test_UserRegistration_Web/constauth "Module=DialogUser;User=Subadmin;Password="

Beispiel einer Installation mit Verbindung gegen den Anwendungsserver


l Verbindung zum Anwendungsserver


l Anwendungsname "testviaappserver"

l mit Windows Authentifizierung als Web-Authentifizierung

l mit dem Update-Benutzer "JohnDoe"

l und der Update-Anwendung "MyDomain.lan"

WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,QBM.AppServer.Client"/conn "URL=https://test.lan/IdentityManagerAppServer/" /site "Default Web Site"/appname testviaappserver/authprops "Module=DialogUser;User=testadmin;Password=" -w /updateuser JohnDoe/updateuserdomain MyDomain.lan /updateuserpassword topsecret

Aufrufsyntax "Authentifizierungseinstellungen für das Subprojektbearbeiten"

WebDesigner.ConfigFileEditor.exe -constAuth ../web.config "test_UserRegistration_Web""Module=DynamicPerson;User[test_USER]=xyz;(Password)Password[test_Password]=xyz;(Hidden)IgnoreMasterIdentities=;(Hidden)Product=Manager"


-constAuth Authentifizierungseinstellungen für das Subprojekt.



l Authentifizierung für das Subprojekt "test_UserRegistration_Web"mit dem Benutzer "test_USER"

Aufrufsyntax "Web Portal deinstallieren"

WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops{authentication}/appname {appname} [/site {Site}] -R




/prov Datenbankprovider.

/conn Verbindungsparameter zur Datenbank.

/authprops Authentifizierung mit Dialogauthentifizierung.


/site Webseite.

-R Entfernen der Anwendung.


Beispiel einer Deinstallation der Webanwendung bei Verbindung gegeneinen Anwendungsserver

WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,QBM.AppServer.Client"/conn "URL=https://test.lan/IdentityManagerAppServer/"/appname testviaappserver/authprops "Module=DialogUser;User=testadmin;Password=" -R

Aufrufsyntax "Frühere Web Portal Versionen (<=6.x) deinstallieren"

WebDesigner.InstallerCMD.exe /appname {appname} [/site {Site}] -R



/site Webseite.

-R Entfernen der Anwendung.


Kompilieren des Web Portal über dieKommandozeilenkonsole

Eine Alternative zum Kompilieren des Web Portal über den Web Designer ist dasKompilieren über die VI.WebDesigner.CompilerCmd.exe in der Kommandozeilenkonsole.




Pflichtparameter /conn{string}

Gibt die Datenbankverbindungszeichenfolge an.

/dialog{string}

Gibt die Dialogauthentifizierungszeichenfolge an.

/project{name}

Gibt den Webprojektnamen an.

OptionaleParameter

/solution{path}

Gibt die Web Designer Solution Datei zur Nutzung an.Wenn nicht angegeben, wird ein Datenbankprojektverwendet.

/mode{mode}

Läuft in einem der angegebenen Modi.

normal = Vollständige Kompilation (Standard Modus)

nostore = Speichert keine Assemblies in der Datenbank.

nocompile = C# codegen läuft, aber ohne zu kompilieren

nocodegen = Nur Web Designer Kompilierung, kein C#codegen

-E Aktiviert detaillierte Überprüfung.

Ausführliche Informationen zur detaillierten Überprüfungfinden Sie im Kapitel "Globale Einstellungen" im OneIdentity Manager Referenzhandbuch für den WebDesigner.

-D Aktiviert Debugkompilierung.

-R Aktiviert die Generierung eines stabilen C# Textes.

Diese Umstellung verhindert die Verwendung bestimmterZufallswerte.

/csharpout{folder}

Gibt das Zielverzeichnis für C# Text an.

/help Zeigt diesen Hilfetext.


Beispiel einer Release-Kompilierung des VI_StandardWeb

VI.WebDesigner.CompilerCmd.exe/conn "Data Source=meindbserver.lan;InitialCatalog=Q1IM; User ID=sa; Password=geheim" /dialog"Module=DialogUser;User=cccAdmin;Password=strenggeheim" /project VI_StandardWeb

Beispiel einer Debug-Kompilierung des VI_User_Registration_Web

VI.WebDesigner.CompilerCmd.exe /conn "Data Source=meindbserver.lan;InitialCatalog=Q1IM; User ID=sa; Password=geheim" /dialog



"Module=DialogUser;User=cccAdmin;Password=strenggeheim" /project VI_UserRegistration_Web -D

Im Gegensatz zu den Standardeinstellungen im Web Designer, werden Subprojekte nichtmitkompiliert. Das heißt, beim Kompilieren des VI_StandardWeb, wird das VI_UserRegistration_Web nicht mitkompiliert.

Deinstallieren des Web Portal





- ODER -










Konfigurieren des Web Portal

Die Konfiguration des Web Portal umfasst eine Reihe von Einstellungen. Die Konfigurationeiner Webanwendung wird in den Konfigurationsdateien web.config, NLog.config undmonitor.config der Webanwendung gespeichert, die sich im Root-Verzeichnis der



Webanwendung befindet, sowie in der Tabelle QBMWebApplication der One Identity Manager-Datenbank.

Verwenden Sie den Web Designer Configuration Editor (WebDesigner.ConfigFileEditor.exe),um die Konfigurationsdatei zu bearbeiten.

Verbindungszeichenfolgen und Anmeldeinformationen werden automatisch in denKonfigurationsdateien mit der Standard MicrosoftASP.NET Kryptographie verschlüsselt.

Um eine Webanwendung zu konfigurieren

1. Starten Sie den Web Designer Configuration EditorWebDesigner.ConfigFileEditor.exe,der sich im Setup-Ordner befindet.

Das Fenster Konfigurationsdatei öffnen wird angezeigt.

2. In der Ansicht Konfigurationsdatei öffnen wählen Sie die Konfigurationsdateiweb.config und klicken Sie Öffnen.

3. Wählen Sie das erforderlichen Authentifizierungsverfahren und melden Sie sich an.

Das Dialogfenster Web Designer Configuration Editor wird angezeigt. In den einzenenBereichen nehmen Sie die Konfigurationseinstellungen vor.


l Datenbankverbindung auf Seite 126

l Webprojekt auf Seite 128

l Log auf Seite 128

l Automatische Aktualisierung auf Seite 129

l Webeinstellungen auf Seite 130

l Cache auf Seite 131

l Debugger Service auf Seite 131

l Suchdienst auf Seite 131

Datenbankverbindung

Für gewöhnlich ist hier bereits eine Datenbankverbindung ausgewählt. Sie können aberauch eine neue Datenbankverbindung auswählen.

Um eine neue Datenbankverbindung auszuwählen

1. Klicken Sie im Bereich Datenbankverbindung den Link NeueDatenbankverbindung eintragen.

Das Dialogfenster Neue Verbindung erstellen wird angezeigt.

2. Treffen Sie eine Auswahl zwischen den zur Verfügung gestellten Systemtypen undklicken SieWeiter.

Eine Ansicht mit weiteren Einstellungsmöglichkeiten wird Ihnen angezeigt.



HINWEIS: Abhängig von Ihrer Auswahl wird Ihnen eine Ansicht mitentsprechend unterschiedlichen Einstellungsmöglichkeiten angezeigt.

3. Sie haben den Systemtyp SQL Server gewählt, werden Ihnen folgende Einstellungenzur Bearbeitung angezeigt:

a. Wählen Sie im Auswahlfeld Server den gewünschten Server.

b. Aktivieren Sie das KontrollkästchenWindows Authentifizierung, um dieseAuthentifizierung zu verwenden.

c. Schreiben Sie im Textfeld Nutzer den Benutzernamen, mit dem Sie sich an derDatenbank anmelden möchten.

d. Schreiben Sie im Textfeld Kennwort das entsprechende Kennwort zumBenutzernamen.

e. Wählen Sie im Auswahlfeld Datenbank die gewünschte Datenbank.

- ODER -

Sie haben den Systemtyp Oracle gewählt, werden Ihnen folgende Einstellungen zurBearbeitung angezeigt:

HINWEIS: An dieser Stelle sollen nur die Bearbeitungsmöglichkeiten erwähntwerden, die bei der Vorgehensweise des Systemtyps SQL Server nichterwähnt werden.

a. Aktivieren Sie bei Bedarf die Option Direktzugriff (ohne Oracle-Client).

b. Schreiben Sie in die Textfelder Server, Port, Service Name, Benutzer undKennwort die erforderlichen Informationen.

- ODER -

Sie haben den Systemtyp Anwendungsserver gewählt, wird Ihnen folgendeEinstellung zur Bearbeitung angezeigt.

a. Schreiben Sie im Textfeld URL die gewünschten Verbindungsdaten.

4. Klicken Sie Fertig.

Ihrer Einstellungen werden gespeichert und Sie befinden sich wieder im WebDesigner Configuration Editor.

HINWEIS: Wählen Sie bei Bedarf im Auswahlfeld Optionen entweder Verbindungtesten oder Erweiterte Optionen.

Verwandte Themen

l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzerauf Seite 145



Webprojekt

Um ein Webprojekt und ein Authentifizierungsmodul auszuwählen

1. Wählen Sie im AuswahlfeldWebprojekt das gewünschte Projekt, das in derWebanwendung verwendet werden soll.

HINWEIS: Im Normalfall müssen die Login-Informationen der Subprojekte desausgewählten Webprojektes separat erfasst werden. Fehlen den Subprojektendie Authentifizierungsdaten, wird eine Hinweismeldung und eine Schaltflächeangezeigt.

2. Wählen Sie im Auswahlfeld Authentifizierungsmodul das gewünschte Modul.

HINWEIS: Dieses Modul ist die hauptsächliche Authentifizierungseinheit,welches zur Authentifizierung von Personen verwendet wird. Einige Moduleunterstützen Single-Sign-On. In solchen Fällen wird unterhalb desAuswahlfeldes eine Meldung mit entsprechendem Hinweis angezeigt. Sollte dasausgewählte Authentifizierungsmodul kein Single-Sign-On unterstützen,können Sie über ein weiteres Auswahlfeld ein zusätzliches Modul für einmanuelles Login auswählen.

3. Aktivieren Sie das Kontrollkästchen Debugging, wenn Sie die Debugging-Umgebungverwenden möchten.

4. Schreiben Sie in das Textfeld Client-ID für OAuth-Authentifizierung die Client-ID, wenn Sie dieses Authentifizierungsverfahren einsetzen.

HINWEIS: Mit der OAuth-Authentifizierung wird die Webanwendungautomatisch identifiziert.

Um Authentifizierungsdaten für ein Subprojekt zu erfassen oder zu ändern

1. Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sindnicht eingetragen auf die Schaltfläche.

Das Dialogfenster Authentifizierungsdaten wird angezeigt.

2. Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.

Der Bereich Authentifizierungsverfahren wird aktiv und kann bearbeitet werden.

3. Klicken Sie gegebenenfalls Systembenutzer, um nachträglich ein anderesAuthentifizierungsverfahren zu wählen.

4. Schreiben Sie in die Textfelder Benutzer und Kennwort die Anmeldedaten.

5. Klicken Sie die Schaltfläche Login speichern.

6. Klicken Sie OK.

Log

Der Bereich Log ist weiter unterteilt in folgende Bereiche:



l Allgemein

l Applikationslog

l Event Log

l Datenbanklog

Im Bereich Allgemein stehen allgemeine Informationen zu Ihrer Webanwendung, die Siein Textfeldern bearbeiten können. Diese Informationen sind:

l Applikation: Hier steht der Name Ihrer Webanwendung

l Firmennamen: Hier steht der Name des Unternehmens, das die Webanwendungverwendet

l Produktnamen: Hier steht der Name des Softwareherstellers

l Protokollverzeichnis: Hier steht das Verzeichnis, in dem die Log-Dateien IhrerWebanwendung gespeichert werden sollen. Der Web Server Prozess mussSchreibrechte auf diesen Ordner haben.

Im Bereich Applikationslog können Sie folgende Einstellungen vornehmen:

l Schweregrad: Hier sind Einstellungen von Aus bis Trace möglich. Dieser Filtersteuert, welche Meldungen in die Protokolldatei geschrieben werden sollen.

l Archivierungsintervall: Hier können Sie einstellen, wie oft das Applikationslogarchiviert werden soll. Einstellungen von niemals bis Minute sind möglich.

l Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Applikationslogauf- oder absteigend nummeriert werden sollen.

Im Bereich Event Log stehen Ihnen folgende Einstellungen zur Verfügung:

l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein,welche Meldungen protokolliert werden sollen.

Im Bereich Datenbanklog wird nur die Abarbeitung der Datenbankstatementsprotokolliert. Folgende Einstellungen stehen zur Verfügung:

l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein,welche Meldungen protokolliert werden sollen. Es sind Einstellungen von Aus bisTrace möglich.

l Archivierungsintervall: Hier können Sie einstellen, wie oft das Datenbanklogarchiviert werden soll. Einstellungen von niemals bis Minute sind möglich.

l Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Datenbanklogauf- oder absteigend nummeriert werden sollen.

Automatische Aktualisierung

HINWEIS: Bei der automatischen Aktualisierung der Anwendung, muss neben derAktivierung der Funktion Anwendung automatisch aktualisieren außerdem derKonfigurationsparameter "Common\Autoupdate" eingeschaltet sein.



Um eine Anwendung automatisch zu aktualisieren

1. Aktivieren Sie das Kontrollkästchen Anwendung automatisch aktualisieren.

2. Wählen Sie zwischen den Optionen.

a. Nutze die IIS-Berechtigungen für Aktualisierungen.

b. Nutze ein spezielles Konto für Aktualisierungen

Wenn Sie die Option Nutze ein spezielles Konto für Aktualisierungen gewählthaben, erfassen Sie weitere Informationen in den folgenden Eingabefeldern.


Domäne Domäne des Active Directory Benutzerkontos.

TIPP: Möchten Sie ein lokales Benutzerkontoverwenden, geben Sie als Domäne entweder . oderden Rechnernamen an.

Benutzername Name des Active Directory Benutzerkontos.

Kennwort Kennwort des Active Directory Benutzerkontos.

Kennwortwiederholung Wiederholung des Kennwortes.

Tabelle 48: erforderliche Informationen bei der Nutzung eines speziellenKontos für Aktualisierungen

Webeinstellungen

Sie befinden sich im BereichWebeinstellungen des Web Designer Configuration Editors.

Um Einstellungen im Bereich "Webeinstellungen" vorzunehmen

1. Wählen Sie im Auswahlfeld Produkt das gewünschte Produkt, für das dieEinstellungen gelten sollen.

2. Schreiben Sie in das Textfeld HTML-Kopfzeilen die gewünschte Information.

3. Wählen Sie Sie im Auswahlfeld Nach der Abmeldung, welche Seite nach demAbmelden angezeigt werden soll.

4. Schreiben Sie in das Eingabefeld Schließung der Sitzung nach Inaktivität(Min.) die Zeit der Inaktivität nachdem die Sitzung abgelaufen ist.

HINWEIS: Möchten Sie das die Sitzung trotz Inaktivität bestehen bleibt,schreiben Sie in das Eingabefeld den Wert 0.

5. Aktivieren Sie das Kontrollkästchen HTTP-Übertragung komprimieren.

Mit dieser Einstellung findet die HTTP-Übertragung komprimiert statt.



Cache

In diesem Bereich können Sie nachsehen, wo sich das Cache- und das Assembly-Verzeichnis befindet. Beide Textfelder sind bearbeitbar.

Um den Ablageort für das Cache- und Assembly-Verzeichnisses zu bearbeiten

1. Klicken Sie in eines der Eingabefelder.

a. Cache-Verzeichnis

b. Assembly-Verzeichnis

2. Überschreiben Sie den eingetragenen Pfad mit dem Pfad, in dem die gecachten Datenzukünftig abgelegt werden sollen.

Debugger Service

Mithilfe dieser Einstellung konfigurieren Sie die WCF-Verbindung.

Um die WCF-Verbindung zu konfigurieren

1. Aktivieren Sie das Kontrollkästchen Portbereich einschränken.

2. Schränken Sie die Werte in den beiden Zahlenfeldern ein.

Suchdienst

Voraussetzung für die Nutzung der Volltextsuche im Web Portal ist ein Anwendungsserver,auf dem der Suchdienst installiert ist.

l Wenn Sie das Web Portal direkt über einen Anwendungsserver mit installiertemSuchdienst betreiben, können Sie die Volltextsuche sofort nutzen.

l Wenn Sie das Web Portal mit einem Anwendungsserver ohne installierten Suchdienstoder mit einer direkten Datenbankverbindung betreiben, tragen Sie in diesemKonfigurationsbereich einen Anwendungsserver mit installiertem Suchdienst ein. Erstdann ist die Volltextsuche im Web Portal verfügbar.

Um einen Anwendungsserver nachträglich einzutragen

1. Klicken Sie auf Anwendungsserver eintragen.

2. Erfassen Sie im Textfeld URL die Webadresse des Anwendungsservers.

3. Testen Sie die Verbindung über den Eintrag Verbindung testen aus demKontextmenü Optionen.

4. Bearbeiten Sie weitere optionale Einstellungen über den Eintrag Erweiterte



Optionen aus dem Kontextmenü Optionen.

5. Um die Einstellungen zu übernehmen, klicken Sie OK.

In der Standardinstallation sind bereits einige wichtige Spalten für die Volltextsucheindiziert. Bei Bedarf können Sie weitere Spalten für die Volltextsuche konfigurieren.Ausführliche Informationen zur Konfiguration von Spalten für die Volltextsuche finden Sieim One Identity Manager Konfigurationshandbuch.

Ausführliche Informationen zur Nutzung der Volltextsuche im Web Portal finden Sie im OneIdentity Manager Anwenderhandbuch für das Web Portal.

Verwandte Themen


Warten des Web Portal

Nachfolgend werden alle Wartungsmöglichkeiten aufgeführt und beschrieben, die für eineOne Identity Manager Webanwendung zur Verfügung stehen.


l Runtime Monitoring auf Seite 132

l Sicherheit auf Seite 132

l Ansehen der Protokolldateien und Exceptions auf Seite 133


l Wartungsmodus auf Seite 134

l Manuelle Aktualisierung auf Seite 134

l Überwachung mithilfe von Leistungsindikatoren auf Seite 135

Runtime Monitoring

Die One Identity Manager Webanwendung beinhaltet ein Runtime Monitoring Tool. DiesesTool kann durch Zugriff auf eine spezielle URL auf die Web-Anwendung zugreifen:

http://<server>/<application>/monitor.

Sicherheit

Der Zugriff auf diese Seite ist konfiguriert worden durch folgende Einstellungen in derKonfigurationsdatei (web.config) der Webanwendung. Die Standard-Einstellung erlaubt nur



Mitgliedern der Administrator-Rolle auf den Runtime Monitor zuzugreifen.

<?xml version="1.0"?>



<authorization>

<allow roles="BUILTIN\Administrators" />

<deny users="*" />

</authorization>

Für weitere Informationen über das Ändern dieser Einstellung, lesen Sie in der ASP.NETDokumentation.

Ansehen der Protokolldateien undExceptions

Der Tab Logdateien des Runtime Monitors ermöglicht Ihnen das Ansehen derProtokolldateien, die von den Webanwendungen generiert wurden. Sie können dieseDateien filtern und nach Begriffen suchen. Die Protokolldateien befinden sich in physischerForm im Protokollverzeichnis, das durch die Konfiguration festgelegt wurde.(typischerweise, "./Logs").

Der Tab Exceptions des Runtime Monitors ermöglicht Ihnen das Ansehen der Log-Meldungen im Bezug auf Exceptions. Diese Meldungen werden gesammelt nach Exceptionsund absteigender Frequenz sortiert. Die oberste Exception in der Liste wird die amhäufigsten vorkommende Exception sein.

HINWEIS: Der Web Installer schreibt wichtige Ereignisse in die Protokolldatei derWindows Anwendung. Sie können sich diese Protokolldatei in der WindowsEreignisanzeige (Windows Event Viewer) ansehen, wenn es Probleme oder einenFehler während der Installation des Web Portal gibt.

Anwenden automatischer Aktualisierungenfür das Web Portal

Die One Identity Manager Webanwendung ist integriert in die automatische Aktualisierungdes One Identity Manager.

Es ist wichtig zu verstehen, dass die Aktualisierung einer Software einen komplettenNeustart der Webanwendung bedeutet. Die automatische Aktualisierung derWebanwendung beinhaltet folgende Schritte:

l Die Webanwendung erkennt, dass eine neue Softwareversion in der Datenbankvorliegt.

l Neue Dateien werden aus der Datenbank in vorläufige Verzeichnisse auf denServer kopiert.

l Die Updater.exe wird gestartet. Es wartet bis der Webanwendungsprozess heruntergefahren wird. (Für weitere Informationen zum automatischen Herunterfahren, lesenSie in der IIS Dokumentation.)

l Updater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnisder Webanwendung.

Verwandte Themen

l Manuelle Aktualisierung auf Seite 134

l Automatische Aktualisierung auf Seite 129


Wartungsmodus

Eine Webanwendung kann aufWartungsmodus geschaltet werden, um Wartungsarbeitenauszuführen.

Im Wartungsmodus sind laufende Sessions nicht betroffen. Jedoch werden keine neuenSessions zugelassen. Benutzer, die sich die Webanwendung ansehen, werden die Inhalteder Datei Maintenance.html angezeigt, die sich im Wurzel-Ordner der Webanwendungbefindet. Sie können ungehindert diese Datei bearbeiten, um Details über dieWartungsarbeit für den Benutzer anzuzeigen.

Der Wartungsmodus wird durch das Anlegen der Datei Maintenance.mode im Ordner App_Datader Webanwendung eingeschaltet (und durch ihr Entfernen beendet). Der Wartungsmoduskann auch auf der Seite Runtime Monitor umgestellt werden.

Sie können den Wartungsmodus benutzen, um eine automatische Aktualisierung zu einembestimmten Zeitpunkt zu erlauben.

Manuelle Aktualisierung

Vorzugsweise sollte der oben beschriebene Aktualisierungsprozess verwendet werden. Siekönnen jedoch die Webanwendung auch manuell aktualisieren, indem Sie die aktualisiertenDateien aus der Datenbank in den bin Ordner der Webanwendung kopieren.

Beachten Sie, dass jeder Schreibvorgang auf dem bin Ordner der Webanwendung sofort zueinem Neustart der Webanwendung führt. Dies bedeutet, dass alle aktiven Sessions auf derAnwendung beendet werden und alle nicht gespeicherten Daten verloren gehen. Ausdiesem Grund sollten Sie manuelle Aktualisierungen der Webanwendung nur durchführen,wenn keine aktive Session statt findet.

Nur Dateien im bin Ordner der Webanwendung werden durch die automatischeAktualisierung gesteuert.



Verwandte Themen


Überwachung mithilfe vonLeistungsindikatoren

Bei der Installation einer Webanwendung werden grundsätzlich Leistungsindikatoren(PerformanceCounter) registriert, die Auskunft über den Zustand der Anwendung geben.

Eine nachträgliche Installation der Leistungsindikatoren ist möglich.

HINWEIS: Voraussetzungen hierfür sind, dass die Webanwendung auf einemWindows Server installiert ist und über ausreichend Rechte verfügt, umLeistungsindikatoren anzubieten. Hierfür kann es erforderlich sein, dasBenutzerkonto des Anwendungspools in die lokale GruppeLeistungsüberwachungsbenutzer aufzunehmen. Außerdem muss dieWebanwendung gestartet sein, um die Leistungsindikatoren auswählen zu können.

Um Leistungsindikatoren nachträglich zu installieren

1. Öffnen Sie den Web Designer Configuration Editor.

2. Klicken Sie auf Webeinstellungen und Windows Leistungsindikatorenanlegen.

Nach erfolgreicher Ausführung wird ein Hinweis zur Installation angezeigt.

3. Bestätigen Sie die Hinweismeldung mit OK.

Um Leistungsindikatoren einzusehen

1. Melden Sie sich an dem Server an, auf dem die Webanwendung installiert ist.

2. Starten Sie die Leistungsüberwachung von Windows.

3. Wählen Sie im Dialogfenster auf der linken Seite den EintragLeistungsüberwachung.

4. Klicken Sie im Anzeigebereich der Leistungsüberwachung auf .

5. Markieren Sie im Dialogfenster Leistungsindikatoren hinzufügen unterVerfügbare Leistungsindikatoren den Eintrag One Identity ManagerWebPortal und klappen Sie den Eintrag auf.

Die Leistungsindikatoren der Webanwendung werden angezeigt. Es stehen folgendeIndikatoren zur Verfügung.

l AJAX calls: Anzahl der asynchron bearbeiteten HTTP-Anfragen

l Objects: Anzahl der aktiven Datenbankobjekte

l Exceptions: Anzahl der aufgetretenen Ausnahmefehler

l Forms: Anzahl der aktiven Formulare



l HTML requests: Anzahl der HTML-Seitenanfragen

l PID: Anzahl der Prozess-IDs

l Contexts: Anzahl der aktiven Modulobjekte

l Sessions: Anzahl der aktiven Sitzungen

l Sessions total: Gesamtanzahl der Sitzungen seit Anwendungsstart

6. Fügen Sie die gewünschten Leistungsindikatoren hinzu und wählen Sie unterInstanzen des ausgewählten Objekts: Ihre gewünschte Webanwendung aus.

TIPP: Es werden nur die Webanwendungen zur Auswahl angezeigt, die gestartetsind. Bei der Installation einer neuen Webanwendung, ist es möglich, dass diezur Auswahl stehenden Webanwendungen inklusive der neu installierten Weban-wendung erst nach einigen Minuten zur Verfügung stehen.



9

Installieren des Web Portal fürBetriebsunterstützung


HINWEIS: Das Web Portal für Betriebsunterstützung ist eine Erweiterung desStandard Web Portal und verwendet dessen CSS Dateien. Zur Nutzung ist einlauffähiges Web Portal ist Voraussetzung.

Um das Web Portal für Betriebsunterstützung zu installieren

1. Installieren Sie das Web Portal.

2. Kopieren Sie den Inhalt des Ordners "Modules\QER\dvd\AddOn\Operations SupportWeb Portal" unterhalb des Web Portal Ordners. Sie können den Ordner umbenennen,zum Beispiel in "OperationSupport".

3. Kopieren Sie folgende Dateien in den Ordner "bin" des Web Portal.

a. Modules\QER\install\bin\QER.WebRuntime.WebApi.dll

b. Modules\QBM\install\bin\QBM.CompositionApi.Web.dll

4. Stellen Sie sicher, dass im IIS der MIME Type für JSON konfiguriert ist.

a. .json = application/json

Für weitere Informationen besuchen Sie https://technet.microsoft.com/en-us/library/2761b1cf-cb53-40b2-80a1-f0c97030d7d6.

Die Installation ist abgeschlossen und Sie können das Web Portal für Betriebsunterstützungunter https://ihr.server.domain/IdentityManager/OperationSupport/ aufrufen.


Installieren des Web Portal für Betriebsunterstützung137

10

Installieren und Aktualisieren derManager Webanwendung

Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Stellen Sievor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungenauf dem Server erfüllt sind.



l Installieren der Manager Webanwendung auf Seite 138


l Deinstallieren der Manager Webanwendung auf Seite 143

l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 202

Installieren der ManagerWebanwendung

Der One Identity Manager erfordert, dass jede Webanwendung auf genau eine Sprachefestgelegt wird. Wenn Sie die Anwendung in zwei Sprachen veröffentlichen möchten, dannmüssen Sie mindestens zwei separate Anwendungen installieren. Standardmäßig installiertder Web Installer eine Anwendung pro Sprache.

Wenn mehrere Anwendungen gleichzeitig laufen, können Sie einen Sprachen-Pool für dieseAnwendungen definieren. Wenn der Benutzer eine Webanwendung des Sprachen-Poolsaufruft, wird er automatisch auf die gemäß seiner Sprache passende Webanwendung desSprachen-Pools umgeleitet. Es ist also nicht nötig, die URLs aller Webanwendungen imSprachen-Pool bekannt zu machen.

Über diesen Mechanismus lässt sich auch ein einfaches Load-Balancing realisieren.

WICHTIG: Starten Sie die Installation der Manager Webanwendung lokal auf demServer.


Installieren und Aktualisieren der Manager Webanwendung138

Um die Manager Webanwendung zu installieren



3. Auf der Startseite des Web Installer wählen Sie Manager Webanwendunginstallieren und klicken SieWeiter.

























l Anonym






Die Webanwendung authentifiziert sich gegenüber derOne Identity Manager-Datenbank mit dem WindowsBenutzerkonto, unter dem ihr Anwendungspool läuft. EineAnmeldung ist über ein benutzerdefiniertesBenutzerkonto oder einer Standard-Identität für denAnwendungspool möglich.


Eine Anmeldung ist nur über ein benutzerdefiniertesBenutzerkonto möglich. Die Authentifizierung erfolgt




mittels Benutzername und Kennwort. DieseZugangsdaten werden maschinenspezifisch verschlüsseltin der Konfiguration der Webanwendung gespeichert.

6. Auf der Seite Konfiguration legen Sie weitere anwendungsspezifischeEinstellungen fest.

a. Wählen Sie in der Auswahlliste Kultur die Sprachkultur der Anwendung. DieSprachkultur hat unter anderem Einfluss auf die Darstellung von Datumswertenund sowie Zahlen.

b. Die Webanwendung benötigt Zugriffsberechtigungen auf sich selbst. Wenn Sieals Authentifizierungsart "Windows-Authentifizierung (Single Sign-On)" für dieWeb-Authentifizierung gewählt haben, geben Sie Domäne, Benutzerkonto undKennwort des Benutzers. Bei anomymer Web-Authentifizierung sind keineweiteren Angaben erforderlich.


7. Auf der Seite Installation läuft werden die einzelnen Installationsschritteangezeigt. Nachdem der Installationsvorgang abgeschlossen wurde, klicken SieWeiter.

Der Web Installer generiert die Webanwendung und die entsprechendenKonfigurationsdateien (web.config) zu jedem Verzeichnis.


HINWEIS: Der Web Installer verwendet Standardwerte für dieKonfigurationseinstellungen. Sie können diese Werte beibehalten. Es wird empfohlen,dass Sie die Einstellungen mithilfe des Manager Web Configuration Editor überprüfen.

Die Manager Webanwendung ist über einen Browser erreichbar unter:

http://<Server>/<Anwendungsname>

https://<Server>/<Anwendungsname>

TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen.Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus undöffnen Sie auf dem TabreiterWebserver die Statusanzeige des Webservers überdas Kontextmenü Im Browser öffnen.

Verwandte Themen





Aktualisieren der ManagerWebanwendung

HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellenWartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nichterreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführtwerden kann.

Die Aktualisierung der Anwendung erfolgt automatisch, wenn das Plugin "AutomatischeAktualisierung" für die Webanwendung aktiviert wurde.




l Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalenSicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassenvon Speicherkontingenten für einen Prozess".

Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in dieOne Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beimEinspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die OneIdentity Manager-Datenbank eingefügt und aktualisiert.

Das Plugin "Automatische Aktualisierung" führt eine Prüfung beim Start der Anwendungund danach etwa alle 5 Minuten durch. Werden neue Dateien erkannt, so werden diese ausder Datenbank geladen. Das Plugin "Automatische Aktualisierung" kann die Dateien nichtaktualisieren, solange die Anwendung läuft, da diese die Dateien blockiert bzw. derenÄnderung einen Neustart der Anwendung und einen Verlust aller aktivenBenutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis dieAnwendung neu gestartet wird.

Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn dieAnwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann abereinige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden.

Verwandte Themen





Deinstallieren der ManagerWebanwendung





- ODER -












11

Anmelden an den One IdentityManager-Werkzeugen

Bei Start eines One Identity Manager-Werkzeugs wird der Standardverbindungsdialoggeöffnet.

Abbildung 5: Standardverbindungsdialog

Bei der Anmeldung wird zwischen dem Benutzer der Datenbank und dem Benutzer dereinzelnen One Identity Manager-Werkzeuge (Systembenutzer) unterschieden. Es könnenmehrere Systembenutzer mit einem Datenbankkonto arbeiten.

Die Anmeldung erfolgt in zwei Schritten:


Anmelden an den One Identity Manager-Werkzeugen144

l Auswählen der Datenbankverbindung zur Anmeldung an der Datenbank

l Auswählen des Authentifizierungsverfahrens und Ermittlung des Systembenutzers fürdie Anmeldung

Die zulässigen Systembenutzerkennungen werden über das eingesetzteAuthentifizierungsmodul ermittelt. Der One Identity Manager stellt dafürverschiedene Authentifizierungsmodule zur Verfügung.

TIPP: Bei Programmstart wird versucht die zuletzt verwendete Verbindungwiederherzustellen. Dies kann bei häufig wechselnden Verbindungen zu anderenDatenbankservern, zu langen Wartezeiten mit anschließenden Fehlermeldungenführen.

Um die Wiederherstellung der letzten Verbindung zu unterdrücken, erzeugen Siefolgenden Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\One Identity\One Identity Manager\Global\Settings\[RestoreLastConnection]="false"



l Anmelden an den One Identity Manager-Werkzeugen mit einerSystembenutzerkennung auf Seite 150

l Aktivieren weiterer Authentifizierungsmodule auf Seite 152

l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 169

l Aktivieren weiterer Anmeldesprachen auf Seite 153

l Überprüfung der Authentifizierung auf Seite 154

l Ablauf von Kennwörtern auf Seite 153

Anmelden an der One IdentityManager-Datenbank mit einemDatenbankbenutzer

Um eine vorhandene Verbindung auszuwählen

l Wählen Sie im Verbindungsdialog die Verbindung unter "Datenbankverbindungauswählen".

HINWEIS: Neu erstellte Verbindungen werden erst nach erneutem Start desProgramms im Verbindungsdialog angezeigt.



Um eine neue Verbindung zur One Identity Manager-Datenbank unter SQLServer zu erstellen

1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie den Systemtyp SQL Server.

2. Klicken SieWeiter.

3. Erfassen Sie die Verbindungsdaten zum Datenbankserver.




Angabe, ob integrierte Windows Authentifizierung verwendetwird.

Die Verwendung dieser Authentifizierung wird nicht empfohlen.Sollten Sie dieses Verfahren dennoch einsetzen, stellen Siesicher, dass Ihre Umgebung Windows Authentifizierungunterstützt.





4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.

Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdatenaufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen.

HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sieweitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen.




Abbildung 6: Eingabemaske mit Verbindungsdaten unter SQL Server

Um eine neue Verbindung zur One Identity Manager-Datenbank unter Oraclezu erstellen

1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie das Systemtyp Oracle.


3. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.




Für den Zugriff über Oracle Clients deaktivieren Sie dieOption.

Die erforderlichen Verbindungsdaten sind abhängig vonder Einstellung dieser Option.














Abbildung 7: Eingabemasken mit Verbindungsdaten unter Oracle



Um eine neue Verbindung zum Anwendungsserver herzustellen

1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindungerstellen und wählen Sie den Systemtyp Anwendungsserver.


3. Erfassen Sie die Adresse (URL) zum Anwendungsserver.

4. Wenn Sie auf einen per SSL/TLS gesicherten Anwendungsserver zugreifen,konfigurieren Sie zusätzliche Einstellungen zum Zertifikat.

l Stimmen Servername des Zertifikats und die Adresse (URL) zumAnwendungsserver überein und konnte das Serverzertifikat erfolgreich geprüftwerden, wird der Servername neben dem Eingabefeld für die URL grünhinterlegt. Per Klick auf den Servernamen neben dem Eingabefeld für die URLkönnen Sie Informationen zum Zertifikat anzeigen. Sie können unterServerzertifikat festlegen ein Zertifikat auswählen, was bei der Anmeldungvorhanden sein muss.

l Stimmen Servername des Zertifikats und die Adresse (URL) zumAnwendungsserver nicht überein oder konnte das Serverzertifikat erfolgreichgeprüft werden, wird der Servername neben dem Eingabefeld für die URL rothinterlegt. Legen Sie fest, ob Sie dem Zertifikat vertrauen.

l Wird laut SSL Einstellungen ein Client-Zertifikat erwartet, wählen Sie unterClientzertifikat festlegen, das Zertifikat aus und legen Sie fest, wie dasZertifikat geprüft werden soll. Zur Auswahl stehen "Nach Antragstellersuchen", "Nach Herausgeber suchen" und "Nach Fingerabdruck suchen".

l Wenn Sie mit einem selbstsignierten Zertifikat zugreifen wollen, aktivieren Siedie Option Akzeptiere selbstsigniertes Zertifikat.







Abbildung 8: Eingabemaske für Verbindung zum Anwendungsserver

Um eine Verbindung zu löschen

1. Wählen Sie unter "Datenbankverbindung auswählen "die Verbindung.

2. Drücken Sie Entf.

3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Die ausgewählte Datenbankverbindung wird nun nicht mehr imVerbindungsdialog angezeigt.

Verwandte Themen

l Anmelden an den One Identity Manager-Werkzeugen mit einerSystembenutzerkennung auf Seite 150

Anmelden an den One IdentityManager-Werkzeugen mit einerSystembenutzerkennung

Im Anschluss an die Datenbankanmeldung meldet sich der Benutzer mit einerSystembenutzerkennung am gestarteten Programm an. Die zulässigenSystembenutzerkennungen werden über das eingesetzte Authentifizierungsmodulermittelt.



Um sich an den One Identity Manager Werkzeugen mit einerSystembenutzerkennung anzumelden

1. Wählen Sie im Verbindungsdialog unter "Authentifizierungsverfahren" dasAuthentifizierungsmodul.

Es wird eine Auswahlliste eingeblendet, die alle freigeschaltetenAuthentifizierungsmodule enthält.

2. Erfassen Sie die Anmeldedaten für die Systembenutzerkennung.

Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.

3. Klicken Sie Anmelden.

Die Verbindungsdaten werden gespeichert und stehen bei der nächsten Anmeldungzur Verfügung.

Abbildung 9: Anmeldefenster mit Anmeldung an denAdministrationswerkzeugen

Haben Sie eine Systembenutzerkennung eingegeben, die durch das gewählteAuthentifizierungsmodul nicht unterstützt wird, erscheint folgende Fehlermeldung.

[810284] Der Benutzer konnte nicht authentifiziert werden.

[810015] Die Anmeldung des Benutzers xyz ist gescheitert.

[810017] Falscher Benutzername oder falsches Kennwort.

Wiederholen Sie die Anmeldung, indem Sie ein anderes Authentifizierungsmodul oder eineandere Systembenutzerkennung wählen.



HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nurdie Authentifizierungsmodule "Systembenutzer" und "ComponentAuthenticator" sowiedie rollenbasierten Authentifizierungsmodule aktiviert.

Verwandte Themen



Aktivieren weitererAuthentifizierungsmodule

Zur Anmeldung an den Administrationswerkzeugen verwendet der One IdentityManager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmoduleermitteln den anzuwendenden Systembenutzer und laden abhängig von dessenMitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechteauf Ressourcen der Datenbank.

HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur dieAuthentifizierungsmodule "Systembenutzer" und "Component Authenticator" sowiedie rollenbasierten Authentifizierungsmodule aktiviert.

HINWEIS: An One Identity Manager-Werkzeugen ist die Anmeldung mit allenAuthentifizierungsmodulen möglich, die im Verbindungsdialog wählbar sind.Gegebenenfalls müssen Sie sicherstellen, dass der Benutzer, der durch dasAuthentifizierungsmodul ermittelt wird, die benötigten Berechtigungen besitzt, dieAnwendung zu nutzen.

Um weitere Authentifizierungsmodule zu aktivieren

1. Wählen Sie im Designer die Kategorie Basisdaten | Sicherheitseinstellungen |Authentifizierungsmodule.

2. Wählen Sie das Authentifizierungsmodul und setzen Sie die Option Aktiviert auf denWert "True".

3. Übernehmen Sie die Änderungen über Datenbank | Übertragung in dieDatenbank....

4. Klicken Sie Speichern.

Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenenAnwendungen möglich. Stellen Sie sicherstellen, dass die Benutzer, die durch dasAuthentifizierungsmodul ermittelt werden, auch die benötigten Berechtigungenbesitzen, die Anwendung zu benutzen.



Verwandte Themen


Aktivieren weiterer Anmeldesprachen

Die Darstellung der Anzeigetexte in der Benutzeroberfläche erfolgt abhängig von derSprache, mit der sich ein Benutzer an den Administrationswerkzeugen anmeldet. Bei dererstmaligen Anmeldung an den Werkzeugen wird die Systemsprache zur Anzeige derBenutzeroberfläche verwendet. Der Benutzer kann seine Anmeldesprache in jedemAdministrationswerkzeug ändern. Dabei wird die Anmeldesprache global für alleWerkzeuge, mit denen der Benutzer arbeitet, festgelegt. Somit muss die Einstellung derAnmeldesprache nicht in jedem Werkzeug erneut erfolgen. Die Änderung derAnmeldesprache wird erst mit dem Neustart der Werkzeuge wirksam.

Als Anmeldesprachen werden alle Sprachkulturen angeboten, die mit der OptionWählbarim Frontend gekennzeichnet sind.

Um weitere Anmeldesprachen zur Verfügung zu stellen

1. Wählen Sie im Designer die Kategorie Basisdaten | Lokalisierung |Sprachkulturen.

2. Wählen Sie die Sprachkultur.

3. Setzen Sie die OptionWählbar im Frontend.

Ablauf von Kennwörtern

Um eine Person darüber zu informieren, dass ihr Kennwort abläuft, werden verschiedeneFunktionen eingesetzt:

l Bei der Anmeldung am One Identity Manager wird der Benutzer auf ein ablaufendesKennwort hingewiesen und kann sein Kennwort gegebenenfalls ändern.

l Das System verschickt für Personen-basierte AuthentifizierungsmoduleErinnerungsmails zu ablaufenden Kennwörtern ab 7 Tage vor dem Ablauf desKennwortes.

l Die Zeit in Tagen können Sie im Konfigurationsparameter"Common\Authentication\DialogUserPasswordReminder" anpassen. Um denKonfigurationsparameter zu bearbeiten, verwenden Sie den Designer.

l Die Benachrichtigungen werden nach dem Zeitplan "Erinnerung Ablauf desSystembenutzerkennwortes" ausgelöst und verwenden die Mailvorlage"Person- Systembenutzerkennwort läuft ab". Den Zeitplan und die Mailvorlagekönnen die bei Bedarf im Designer anpassen.



TIPP: Um zu verhindern, dass Kennwörter beispielsweise für Dienstkonten ablaufen,aktivieren Sie im Designer für die verwendeten Systembenutzer die OptionKennwort läuft nie ab (DialogUser.PasswordNeverExpires).

Weitere Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Überprüfung der Authentifizierung

Um zu verhindern, dass Benutzer mit ihren bestehenden Verbindungen arbeiten, wenn sieseit ihrer Anmeldung deaktiviert wurden, führt das System Gültigkeitsprüfungen aus.

Die Prüfung erfolgt bei der nächsten rechtebasierten Aktion auf der Verbindung nach einemfestgelegten Intervall von 20 Minuten.

TIPP: Das Intervall können Sie über den Konfigurationsparameter"Common\Authentication\CheckInterval" anpassen. Bearbeiten Sie denKonfigurationsparameter im Designer. Weitere Informationen finden Sie im OneIdentity Manager Konfigurationshandbuch.



12

Fehlerbehebung

Anzeigen der Transporthistorie undPrüfen der One Identity ManagerVersion

Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatumund der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet.


Um die Transporthistorie anzuzeigen

l Starten Sie den Designer und wählen Sie den Menüeintrag Hilfe |Transporthistorie.

Um einen Überblick über die Systemkonfiguration zu erhalten

l Starten Sie den Designer oder den Manager und wählen Sie den MenüeintragHilfe | Info.

Auf dem Tabreiter Systeminformationen erhalten Sie einen Überblick über IhreSystemkonfiguration. Stellen Sie diese Informationen bereit, wenn Sie den Supportkontaktieren.

HINWEIS: Wenn Sie die Lieferantenbenachrichtigung aktiviert haben, wirddieser Bericht einmal im Monat an One Identity gesendet.

Verwandte Themen



Fehlerbehebung155

Behandlung von Fehlern undWarnungen während derSystemkompilierung

HINWEIS: Alle Kompilierungsfehler und Warnungen werden während derKompilierung aufgezeichnet. Nach Abschluss der Kompilierung können Sie Fehler undWarnungen einsehen.

l Speichern Sie das Protokoll der Kompilierung über das Kontextmenü Protokollals Datei speichern....

l Korrigieren Sie die Fehler nach Beendigung der Kompilierung.

l Nach der Fehlerkorrektur kompilieren Sie die Datenbank erneut. Starten Siedazu den Kompilierungsvorgang im Designer über den MenüeintragDatenbank | Datenbank kompilieren....

Um Meldungen während der Kompilierung anzuzeigen und zu speichern

l Um eine Meldung anzuzeigen, wählen Sie die Schaltfläche Anzeigen. Es wird dasFehlermeldungsfenster geöffnet.

Zusätzlich zur Fehlermeldung wird eine umfangreichere Fehlerbeschreibungangezeigt. Den Umfang der dargestellten Informationen konfigurieren Sie über dieOptionen im Fehlermeldungsfenster. Öffnen Sie die Konfiguration über dieSchaltfläche und aktivieren oder deaktivieren Sie die gewünschten Optionen.

Option Bedeutung

VorhergehendeFehler anzeigen

Festlegung , ob alle vorhergehenden Fehler, die zumaktuellen Fehler führen, ebenfalls mit angezeigt werden.

One IdentityFehlernummernanzeigen

Festlegung, ob die interne Fehlernummer angezeigt wird.

Fehlerpositionanzeigen

Festlegung, ob die Fehlerposition im Programmcode mitangezeigt wird.

Lange Zeilenumbrechen

Festlegung, ob lange Fehlermeldungstexte mitZeilenumbruch angezeigt werden.

Nuranwenderrelevanteanzeigen

Festlegung, ob alle Fehlermeldungen oder nur als"anwenderrelevant" klassifizierte Fehler angezeigt werden.

Asynchrone Aufrufe Festlegung, ob Fehlermeldungen in asynchronen Metho-

Tabelle 52: Optionen zur Anzeige von Fehlermeldung


Fehlerbehebung156

Option Bedeutung

anzeigen denaufrufen angezeigt werden sollen.

Crashberichtanzeigen

Festlegung, ob Fehlermeldungen aus dem Crashrecorderangezeigt werden sollen.

HINWEIS: Über die Schaltfläche Sende als Mail wird eine neue E-Mail-Nachricht im Standardmailprogramm erstellt und der Fehlermeldungstext indie Nachricht übernommen.

l Um alle Meldungen in eine Datei zu speichern, wählen Sie einen Eintrag undverwenden Sie das Kontextmenü Protokoll in Datei speichern....

l Um eine Meldung in die Zwischenablage einzufügen, wählen Sie den Eintrag undverwenden Sie Strg + C.

Treten Fehler auf, werden diese sofort während des Kompilierungsvorgangs in einemseparaten Protokollfenster angezeigt.

l Durch Maus-Doppelklick auf die Fehlermeldung im unteren Teil des Protokollfensterswird zur entsprechenden Zeile in der Quellcodeansicht (oberer Teil desDialogfensters) gesprungen. Die Quellcodeansicht dient lediglich zur Darstellung,eine Bearbeitung des Eintrages ist nicht möglich.

l Über die Schaltfläche Speichern speichern Sie die Fehlermeldungen in eine Datei.

l Über die Schaltfläche Schließen, schließen Sie das Fehlerprotokoll. Anschließendwird die Kompilierung fortgesetzt.

Abbildung 10: Ausgabe von Fehlermeldungen


Fehlerbehebung157

Prüfen der Datenkonsistenz

Mit der Konsistenzprüfung werden verschiedene Tests zur Verfügung gestellt, um dieDatenbankobjekte hinsichtlich ihrer Datenbeschaffenheit zu analysieren. Nebenvordefinierten Tests können eigene Tests angewendet werden und bei Bedarf eineDatenreparatur ausgeführt werden.

HINWEIS: Eine Konsistenzprüfung sollten Sie in regelmäßigen Abständen sowie nachumfangreichen Änderungen an der Systemkonfiguration ausführen.

Die Konsistenzprüfung können Sie im Manager und im Designer ausführen. Datenbanktestwerden im Manager und im Designer vollständig durchgeführt. Bei Tabellentests undObjekttests im Manager werden die Daten des Anwendungsmodells geprüft und imDesigner die Daten des Systemdatenmodells geprüft.

HINWEIS: Es wird empfohlen Konsistenzprüfungen mit einem administrativenSystembenutzer auszuführen.

Konsistenzprüfungen vom Typ "Objekttest" werden immer im Kontext desangemeldeten Benutzers ausgeführt. Wenn der Benutzer keine Berechtigungen aufbestimmte Objekte hat, dann werden unter Umständen Fehler nicht erkannt oderFehlerreparaturen schlagen fehl.

Um eine Konsistenzprüfung auszuführen

1. Starten Sie den Konsistenzeditor im Designer oder im Manager über den MenüeintragDatenbank | Datenkonsistenz überprüfen....

Während des Starts werden die Tabellendefinitionen des One Identity ManagerSchemas geladen und die Datenbankobjekte zum Test bereitgestellt.

2. Legen Sie die Testoptionen fest.

3. Starten Sie die Konsistenzprüfung. Hierfür stehen im Konsistenzeditor folgendePrüfverfahren zur Verfügung:

l Prüfen aller Testobjekte

HINWEIS: Um einzelne Testobjekte von der Prüfung auszuschließen,wählen Sie diese vor Start der Prüfung in der Listenansicht desKonsistenzeditors aus und kennzeichnen diese über das KontextmenüDeaktivieren.

l Prüfen einzelner Testobjekte

Wählen Sie in der Listenansicht die gewünschten Testobjekte und starten Sieden Test über den Kontextmenüeintrag Überprüfen.

TIPP: Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrereTestobjekte für die Prüfung auswählen.

4. Prüfen Sie die Fehlerausgabe.

5. Führen Sie bei Bedarf eine Fehlerreparatur aus.


Fehlerbehebung158

DBQueue Prozessor verarbeitet keineAufträge

Nach dem Wiederherstellen einer One Identity Manager-Datenbank aus einerDatenbanksicherung werden keine DBQueue Prozessor Aufträge verarbeitet.

Wenn der SQL Server in einer virtuellen Maschine läuft und die virtuelle Maschine wirdangehalten (suspend), werden nach dem Starten der virtuellen Maschine eventuell keineDBQueue Prozessor Aufträge verarbeitet.

Bei der Aktualisierung des One Identity Manager Schemas erhalten Sie im ConfigurationWizard die Meldung:

Cannot enable broker because of other users are active.

Wahrscheinliche Ursache

Der SQL Server Service Broker kann bei Initialisierung des DBQueue Prozessor kann nichtreaktiviert werden. Der Service Broker wird zur Kommunikation des DBQueue Prozessoreingesetzt.

Lösung

Führen Sie die folgenden Schritte mit einem geeigneten Query-Tool in der Datenbank aus.

1. Stoppen aller DBQueue Prozessor Komponenten.

exec QBM_PWatchDogPrepare 1

go

exec QBM_PDBQueuePrepare 1

go

2. Prüfen, ob noch weitere Sitzungen auf der Datenbank aktiv sind.

select *

from sys.sysprocesses p

where dbid = DB_ID()

and spid <> @@SPID

Sind noch weitere Sitzungen aktiv, müssen diese zunächst beendet werden.

3. Erstellen einer neuen Service Broker ID und Aktivieren der Nachrichtenauslieferung.

alter database <database name> set NEW_BROKER

go

alter database <database name> set enable_broker

go


Fehlerbehebung159

4. Initialisieren des DBQueue Prozessor.

exec QBM_PDBQueuePrepare 0,1

go

exec QBM_PWatchDogPrepare

go

HINWEIS: Wenn Sie eine Test- oder Entwicklungsdatenbank aus einer Sicherungeiner anderen One Identity Manager-Datenbank erstellen, werden diese Schrittedurch den Database Compiler ausgeführt. Eine manuelle Ausführung der Schritte istin diesem Fall nicht notwendig. Weitere Informationen finden Sie unter Anhang:Erstellen einer One Identity Manager-Datenbank für eine Test- oderEntwicklungsumgebung aus einer Datenbanksicherung auf Seite 200.

Meldung: Enter email address inconfiguration parameter

Die Parameter SenderAddress oder Address in einem Prozess zum Versenden von E-MailBenachrichtigungen enthalten den Wert <Enter email address in configuration parameter"...">. Die Parameter eines Prozesses prüfen Sie im Job Queue Info.

Ist für den One Identity Manager Service die erweiterte Fehlerausgabe im Debugmoduseingerichtet, wird die Meldung zusätzlich in der Protokolldatei des One Identity ManagerService ausgegeben.

Wahrscheinliches Problem

Der One Identity Manager versendet bei verschiedenen Aktionen im System E-Mail-Benachrichtigungen. Das E-Mail Benachrichtigungssystem des One Identity Manager istnicht vollständig konfiguriert.

Lösung

l Prüfen Sie im Designer in der Kategorie Basisdaten | Allgemein |Konfigurationsparameter die Konfigurationsparameter für das E-MailBenachrichtigungssystem und passen Sie die Werte unternehmensspezifisch an.

HINWEIS: Zusätzlich zu den nachfolgend aufgeführtenKonfigurationsparametern können für die verschiedenenBenachrichtigungsprozesse weitere Konfigurationsparameter erforderlich sein.Einige Konfigurationsparameter stehen erst zur Verfügung wenn die Modulevorhanden sind.


Fehlerbehebung160


Common\InternationalEMail Der Parameter gibt an, ob internationaleDomänennamen beziehungsweiseUnicode-Zeichen in E-Mail-Adressenunterstützt werden.

WICHTIG: Der Mailserver mussdiese Funktion ebenfalls unter-stützen. Gegebenenfalls müssen Siedas Skript VID_IsSMTPAddressüberschreiben.

Common\MailNotification Angaben zur Benachrichtigung.

Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger)zum Versenden von Benachrichtigungen.

Common\MailNotification\DefaultCulture Standardsprachkultur, in der E-MailBenachrichtigungen versendet werden,wenn für einen Empfänger keineSprachkultur ermittelt werden kann.

Common\MailNotification\DefaultLanguage Standardsprache zum Versenden vonBenachrichtigungen.

Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zumVersenden von Benachrichtigungen.

Common\MailNotification\Encrypt Angabe, ob E-Mails verschlüsselt werdensollen.

Common\MailNo-tification\Encrypt\ConnectDC

Domänencontroller der Domäne, derverwendet werden soll.

Common\MailNo-tification\Encrypt\ConnectPassword

Benutzerkennwort. Die Angabe istoptional.

Common\MailNo-tification\Encrypt\ConnectUser

Benutzerkonto, mit dem das ActiveDirectory abgefragt wird. Die Angabe istoptional.

Common\MailNotification\Encrypt\DomainDN Distinguished Name der zudurchsuchenden Domäne.

Common\MailNo-tification\Encrypt\EncryptionCertificateScript

Skript, welches eine Liste vonVerschlüsselungszertifikaten liefert(Standard: QBM_GetCertificates).

Common\MailNo-tification\NotifyAboutWaitingJobs

Angabe, ob eine Benachrichtigunggesendet werden soll, wenn

Tabelle 53: Allgemeine Konfigurationsparameter für die Mailbenachrichtigung


Fehlerbehebung161


Prozessschritte eines bestimmtenAusführungszustandes in der Jobqueuesind.

Common\MailNo-tification\SignCertificateThumbprint

SHA1-Thumbprint des zur Signierung zuverwendenden Zertifikats. Dieses kann imMy-Store der Maschine oder desBenutzers liegen.

Common\MailNotification\SMTPAccount Name des Benutzerkontos zurAuthentifizierung am SMTP Server.

Common\MailNotification\SMTPDomain Domäne des Benutzerkontos zurAuthentifizierung am SMTP Server.

Common\MailNotification\SMTPPassword Kennwort des Benutzerkontos zurAuthentifizierung am SMTP Server.

Common\MailNotification\SMTPPort Port des SMTP-Dienstes auf dem SMTPServer (Standard: 25).

Common\MailNotification\SMTPRelay SMTP Server zum Versenden vonBenachrichtigungen.

Common\MailNo-tification\SMTPUseDefaultCredentials

Ist der Konfigurationsparameter aktiviert,werden zur Authentifizierung am SMTPServer die Anmeldeinformationen desOne Identity Manager Service verwendet.Ist der Konfigurationsparameter nichtaktiviert, werden die in denKonfigurationsparametern"Common\MailNotification\SMTPDomain"und"Common\MailNotification\SMTPAccount"bzw."Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationenverwendet.

Common\MailNotification\TransportSecurity Der Konfigurationsparameter definiertdas Verschlüsselungsverfahren beimVersenden vom E-MailBenachrichtigungen. Wird keine derfolgenden Optionen angegeben, so richtetsich das Verhalten nach dem Port (Port:25 = ohne Verschlüsselung, Port: 465 =mit SSL/TLS Verschlüsselung).


Fehlerbehebung162


HINWEIS: In den Prozessen zumVersenden von E-Mail Benach-richtigungen sind die Parameter fürdas zu nutzende Verschlüs-selungsverfahren deaktiviert. WennSie den Konfigurationsparameternutzen, passen Sie die Prozesseentsprechend an.

Wert Bedeutung

Auto AutomatischeErkennung desVerschlüsselungsverfahrens.

SSL Verschlüsseln dergesamten Sitzungmit SSL/TLS.

STARTTLS Verwenden derSTARTTLSMailserverErweiterung.

Schaltet die TLS-Verschlüsselungnach dem Greetingund dem Lesen derCapabilities desServers an. DieVerbindungscheitert, wenn derServer dieSTARTTLS-Erweiterung nichtunterstützt.

STARTTLSWhenAvailable

Verwenden derSTARTTLSMailserverErweiterung, wennverfügbar.

Tabelle 54: Zulässige Werte


Fehlerbehebung163


Wert Bedeutung

Schaltet die TLS-Verschlüsselungnach dem Greetingund dem Lesen derCapabilities desServers an, jedochnur, wenn dieser dieSTARTTLS-Erweiterungunterstützt.

Common\MailNotification\VendorNotification Aktivierung der E-Mail Adresse derKontaktperson ihres Unternehmens. DieE-Mail-Adresse wird als Antwortadressefür die Lieferantenbenachrichtigungverwendet.

Ist der Konfigurationsparameter aktiviert,erzeugt der One Identity Manager einmalim Monat eine Liste derSystemeinstellungen und sendet die Listean One Identity. Diese Liste enthält keinepersonenbezogenen Daten. Sie könnendie aktuellsten Systeminformationenjederzeit aus dem Menü Hilfe | Info...überprüfen. Die Liste wird von unseremKunden-Support-Team proaktiv überprüft,welches nach wesentlichen Änderungenschaut um mögliche Probleme zuidentifizieren bevor sie sich auf IhremSystem verwirklichen. Die Listen könnenvon unseren F&E-Mitarbeitern für dieAnalyse, Diagnose und Replikation zuTestzwecken verwendet werden. DieseInformationen behalten Gültigkeit,solange Ihr Unternehmen weiterhinPflegeleistungen für dieses Produktbezieht.

Konfigurationsparameter Beschreibung

QER\Attestation\DefaultSenderAddress Der Konfi-gurationsparameter

Tabelle 55: Zusätzliche Konfigurationsparameter für E-Mail-Adressen für dieMailbenachrichtigung


Fehlerbehebung164


enthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen für dieAttestierung.

QER\Com-plianceCheck\EmailNotification\DefaultSenderAddress

Der Konfi-gurationsparameterenthält die Absender-E-Mail-Adresse für automa-tisch generierteNachrichten innerhalbder Regelprüfung.

QER\ITShop\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen innerhalbdes IT Shop.

QER\Policy\EmailNotification\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierteNachrichten innerhalbder Überprüfung vonUnter-nehmensrichtlinien.

QER\RPS\DefaultSenderAddress Der Konfi-gurationsparameterenthält die Absender E-Mail Adresse für automa-tisch generierte Benach-richtigungen.

TargetSystem\ADS\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemActive Directory.


Fehlerbehebung165


TargetSystem\ADS\Exchange2000\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemMicrosoft Exchange.

TargetSystem\ADS\MemberShipRestriction\MailNotification Der Konfi-gurationsparameterenthält die Standard-Mailadresse zumVersenden vonWarnmails.

TargetSystem\AzureAD\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemAzure Active Directory.

TargetSystem\AzureAD\ExchangeOnline\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemExchange Online.

TargetSystem\CSM\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im Cloud -Zielsystem.

TargetSystem\LDAP\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-


Fehlerbehebung166


richtigungen überAktionen im ZielsystemLDAP.

TargetSystem\NDO\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemIBM Notes.

TargetSystem\SAPR3\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemSAP R/3.

TargetSystem\SharePoint\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im ZielsystemSharePoint.

TargetSystem\Unix\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im Unix-basierten Zielsystem.

TargetSystem\UNS\DefaultAddress Der Konfi-gurationsparameterenthält die Standard-E-Mail-Adresse desEmpfängers für Benach-richtigungen überAktionen im kunden-definierten Zielsystem.


Fehlerbehebung167

Datenbankfehler 50000: Jobqueue isnot empty. This may cause in deadlockswhile compiling database.

Problem

In der Jobqueue befinden sich Prozesse, deren Verarbeitung vor der Aktualisierung derDatenbank abgeschlossen sein muss. Die Aktualisierung der Datenbank startet nicht.

Lösung

l Stellen Sie sicher, dass die Prozesse in der Jobqueue und die Aufträge in derDBQueue vor dem Start der Aktualisierung verarbeitet wurden. Zum Zeitpunkt derAktualisierung der Datenbank sollten sich keine Einträge in der Jobqueue und derDBQueue befinden.

Datenbankfehler bei der Migration einerDatenbank in SQL Server AlwaysOn-Verfügbarkeitsgruppen

Während der Aktualisierung des One Identity Manager Schemas tritt folgendeFehlermeldung auf:

Database error 1468: The operation cannot be performed on database "<database name>"because it is involved in a database mirroring session or an availability group. Someoperations are not allowed on a database that is participating in a database mirroringsession or in an availability group. ALTER DATABASE statement failed.

Problem

Die Datenbank ist Bestandteil einer AlwaysOn-Verfügbarkeitsgruppe und der SQL ServerService Broker ist nicht mehr vorhanden. Während der Aktualisierung des One IdentityManager Schemas wird versucht den SQL Server Service Broker wieder anzulegen.

Lösung

1. Entfernen Sie die Datenbank aus der AlwaysOn-Verfügbarkeitsgruppe.

2. Aktualisieren Sie das One Identity Manager Schema. Dabei wird auch wieder der SQLServer Service Broker erzeugt.

3. Nehmen Sie die Datenbank wieder in die AlwaysOn-Verfügbarkeitsgruppe auf.


Fehlerbehebung168

A

Anhang: One Identity ManagerAuthentifizierungsmodule

HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulendefiniert und stehen erst zur Verfügung, wenn die Module installiert sind.

Folgende Authentifizierungsmodule sind verfügbar.

Systembenutzer

Anmeldeinformationen Bezeichnung und Kennwort des Systembenutzers.

Voraussetzungen Der Systembenutzer mit Berechtigungen ist in der One IdentityManager-Datenbank vorhanden.

Aktiviert im Standard ja

Single Sign-on nein

Anmeldung amFrontend möglich

ja

Anmeldung am WebPortal möglich

nein

Bemerkungen Die Benutzeroberfläche und Bearbeitungsrechte werden überden Systembenutzer geladen.

Datenänderungen werden dem Systembenutzer zugeordnet.

WICHTIG: Standardmäßig ist der Systembenutzer "viadmin" vorhanden. Der System-benutzer "viadmin" hat die vordefinierte Benutzeroberfläche und die Zugriffsrechteauf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur fürden "viadmin" sollten Sie nicht produktiv nutzen beziehungsweise verändern, dadieser Systembenutzer als Mustersystembenutzer bei jeder Schemaaktualisierungüberschrieben wird.


Anhang: One Identity Manager Authentifizierungsmodule169

TIPP: Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechendenBerechtigungen. Dies kann bereits bei der initialen Installation der One IdentityManager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompiliereneiner initialen One Identity Manager-Datenbank und zur ersten Anmeldung an denAdministrationswerkzeugen nutzen.

Person

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das IdentityManagement Basismodul vorhanden ist.

Anmeldeinformationen Zentrales Benutzerkonto und Kennwort der Person.


Die Person ist in der One Identity Manager-Datenbankvorhanden.

l In den Personenstammdaten ist das zentrale Benut-zerkonto eingetragen.

l In den Personenstammdaten ist der Systembenutzer einge-tragen.

l In den Personenstammdaten ist das Kennwort einge-tragen.


Single Sign-on nein


ja


ja

Bemerkungen Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.

l Ist der Konfigurationsparameter aktiviert, wird die Haupti-dentität der Person für die Authentifizierung genutzt.

l Ist der Parameter deaktiviert, wird die Subidentität derPerson für die Authentifizierung genutzt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der angemeldeten Persondirekt zugeordnet ist.

Datenänderungen werden der angemeldeten Person zugeordnet.



Single Sign-on generisch (rollenbasiert)


Anmeldeinformationen Das Authentifizierungsmodul verwendet die Active DirectoryAnmeldeinformationen des aktuell an der Arbeitsstationangemeldeten Benutzer.

Voraussetzungen Die Person ist in der One Identity Manager-Datenbankvorhanden.

Die Person ist mindestens einer Anwendungsrolle zugewiesen.

Das Benutzerkonto ist in der One Identity Manager-Datenbankvorhanden und in den Stammdaten des Benutzerkontos ist diePerson eingetragen.

Aktiviert im Standard nein

Single Sign-on ja


ja


ja

Bemerkungen Der One Identity Manager sucht laut Konfiguration dasBenutzerkonto und ermittelt die Person, die dem Benutzerkontozugeordnet ist.

Besitzt eine Person mehrere Identitäten, wird über denKonfigurationsparameter"QER\Person\MasterIdentity\UseMasterForAuthentication"gesteuert, welche Person zur Authentifizierung verwendet wird.



Es wird ein dynamischer Systembenutzer aus denAnwendungsrollen der Person ermittelt. Die Benutzeroberflächeund die Bearbeitungsrechte werden über diesen Systembenutzergeladen.


Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgendenKonfigurationsparameter an.




QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Single Sign-on unterstützt wird.

QER\Person\GenericAuthenticator\SearchTable

Der Konfigurationsparameter enthält die Tabelle imOne Identity Manager Schema in der dieBenutzerinformationen hinterlegt werden. DieTabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt.

Beispiel: ADSAccount

QER\Person\GenericAuthenticator\SearchColumn

Der Konfigurationsparameter enthält die Spalte ausder One Identity Manager-Tabelle (SearchTable), diezur Suche des Benutzernamens des angemeldetenBenutzers verwendet wird.

Beispiel: CN

QER\Person\GenericAuthenticator\EnabledBy

Der Konfigurationsparameter enthält eine durch Pipe(|) getrennte Liste von Boolean-Spalten aus der OneIdentity Manager-Tabelle (SearchTable), die dasBenutzerkonto für die Anmeldung aktiviert.

QER\Person\GenericAuthenticator\DisabledBy

Der Konfigurationsparameter enthält eine durch Pipe(|) getrennte Liste von Boolean-Spalten aus der OneIdentity Manager-Tabelle (SearchTable), die dasBenutzerkonto für die Anmeldung deaktiviert.

Beispiel: AccountDisabled

Tabelle 56: Konfigurationsparameter für das Authentifizierungsmodul

Person (rollenbasiert)


Anmeldeinformationen Zentrales Benutzerkonto und Kennwort der Person.








Single Sign-on nein


ja


ja






Person (dynamisch)


Anmeldeinformationen Zentrales Benutzerkonto der Person und Kennwort der Person.




Die Konfigurationsdaten zur dynamischen Ermittlung desSystembenutzers sind an der Anwendung definiert. Somit kannbeispielsweise einer Person, in Abhängigkeit ihrerAbteilungszugehörigkeit, dynamisch ein Systembenutzerzugeordnet werden.


Single Sign-on nein


ja




ja




Über die Konfigurationsdaten der Anwendung wird einSystembenutzer ermittelt und der Person dynamischzugeordnet. Die Benutzeroberfläche und die Bearbeitungsrechtewerden über den Systembenutzer geladen, der derangemeldeten Person dynamisch zugeordnet ist.


Benutzerkonto





l In den Personenstammdaten sind die zulässigen Anmel-dungen eingetragen. Die Anmeldungen werden in derForm: Domäne\Benutzer erwartet.



Single Sign-on ja


ja


ja



Bemerkungen Es werden die, in der One Identity Manager-Datenbankhinterlegten, Anmeldungen aller Personen ermittelt. ZurAnmeldung wird die Person verwendet, deren eingetrageneAnmeldung mit den Anmeldeinformationen des angemeldetenBenutzers übereinstimmt.




Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet.

Benutzerkonto (rollenbasiert)




l In den Personenstammdaten sind die zulässigen Anmel-dungen eingetragen. Die Anmeldungen werden in derForm: Domäne\Benutzer erwartet.



Single Sign-on ja


ja


ja

Bemerkungen Es werden die, in der One Identity Manager-Datenbank



hinterlegten, Anmeldungen aller Personen ermittelt. ZurAnmeldung wird die Person verwendet, deren eingetrageneAnmeldung mit den Anmeldeinformationen des angemeldetenBenutzers übereinstimmt.






Kontenbasierter Systembenutzer



l In den Stammdaten des Systembenutzers sind die zuläs-sigen Anmeldungen eingetragen. Die Anmeldungen werdenin der Form: Domäne\Benutzer erwartet.


Single Sign-on ja


ja


nein

Bemerkungen Es werden die, in der One Identity Manager-Datenbankhinterlegten, Anmeldungen aller Systembenutzer ermittelt. ZurAnmeldung wird der Systembenutzer verwendet, dereneingetragene Anmeldung mit den Anmeldeinformationen desangemeldeten Benutzers übereinstimmt.

Die Benutzeroberfläche und die Bearbeitungsrechte werden über



den Systembenutzer geladen.


Active Directory Benutzerkonto

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ActiveDirectory Modul vorhanden ist.



Die Person ist in der One Identity Manager-Datenbankvorhanden und in den Personenstammdaten ist derSystembenutzer eingetragen.

Das Active Directory Benutzerkonto ist in der One IdentityManager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.


Single Sign-on ja


ja


ja

Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und dieDomäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.




Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist. Ist der Person kein Systembenutzer zugeordnet,



wird der Systembenutzer aus dem Konfigurationsparameter"SysConfig\Logon\DefaultUser" ermittelt.


HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Optionautomatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneuteAuthentifizierung notwendig.

Active Directory Benutzerkonto (rollenbasiert)







Single Sign-on ja


ja


ja

Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und dieDomäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.









Active Directory Benutzerkonto (manuelle Eingabe/rollenbasiert)


Anmeldeinformationen Anmeldename und Kennwort zur Anmeldung am ActiveDirectory. Die Angabe der Domäne ist nicht erforderlich.




Die zulässigen Domänen für die Anmeldung sind imKonfigurationsparameter"TargetSystem\ADS\AuthenticationDomains" eingetragen.


Single Sign-on nein


ja


ja

Bemerkungen Anhand einer vordefinierten Liste von zulässigen ActiveDirectory Domänen wird die Identität des Benutzers ermittelt. Eswerden in der One Identity Manager-Datenbank dasentsprechende Benutzerkonto und die Person ermittelt, die demBenutzerkonto zugeordnet ist.








Active Directory Benutzerkonto (manuelle Eingabe)


Anmeldeinformationen Anmeldename und Kennwort zur Anmeldung am ActiveDirectory. Die Angabe der Domäne ist nicht erforderlich.



Die zulässigen Domänen für die Anmeldung sind imKonfigurationsparameter"TargetSystem\ADS\AuthenticationDomains" eingetragen.



Single Sign-on nein


ja


ja

Bemerkungen Anhand einer vordefinierten Liste von zulässigen ActiveDirectory Domänen wird die Identität des Benutzers ermittelt. Eswerden in der One Identity Manager-Datenbank dasentsprechende Benutzerkonto und die Person ermittelt, die demBenutzerkonto zugeordnet ist.








Active Directory Benutzerkonto (dynamisch)







Single Sign-on ja


ja


ja

Bemerkungen Bei der Anmeldung wird über die SID des Benutzers und die



Domäne das entsprechende Benutzerkonto in der One IdentityManager-Datenbank ermittelt. Der One Identity Managerermittelt die Person, die dem Benutzerkonto zugeordnet ist.







LDAP Benutzerkonto (dynamisch)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modulvorhanden ist.

Anmeldeinformationen Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.


Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.





Single Sign-on nein


ja


ja

Bemerkungen Bei der Anmeldung über den Anmeldenamen, die Bezeichnungoder die Benutzer-ID wird über die Domäne des Containers dasentsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definiertenNamen, wird dieser direkt verwendet. Der One Identity Managerermittelt die Person, die dem LDAP Benutzerkonto zugeordnetist.








TargetSystem\LDAP\Authentication Der Konfigurationsparameter erlaubtdie Konfiguration der LDAPAuthentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication Der Konfigurationsparameter legtden Authentifizierungsmechanismusfest. Gültige Werte sind "Secure","Encryption", "SecureSocketsLayer","ReadonlyServer", "Anonymous","FastBind", "Signing", "Sealing",





"Delegation" und "ServerBind". DieWerte können mit Komma (,)kombiniert werden. AusführlicheInformationen zu denAuthentifizierungsarten finden Sie inder MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port Port des LDAP Servers. Standard istPort 389.

TargetSystem\LDAP\Authentication\RootDN Der Konfigurationsparameter enthältden Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server Der Konfigurationsparameter enthältden Namen des LDAP Servers.

LDAP Benutzerkonto (rollenbasiert)

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modulvorhanden ist.

Anmeldeinformationen Anmeldenamen, Bezeichnung, definierter Name oder Benutzer-ID eines LDAP Benutzerkontos.

Kennwort des LDAP Benutzerkontos.



Das LDAP Benutzerkonto ist in der One Identity Manager-Datenbank vorhanden und in den Stammdaten desBenutzerkontos ist die Person eingetragen.



Single Sign-on nein

Anmeldung am ja



http://msdn.microsoft.com/en-us/library/system.directoryservices.authenticationtypes(v=vs.110).aspx

Frontend möglich


ja

Bemerkungen Bei der Anmeldung über den Anmeldenamen, die Bezeichnungoder die Benutzer-ID wird über die Domäne des Containers dasentsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definiertenNamen, wird dieser direkt verwendet. Der One Identity Managerermittelt die Person, die dem LDAP Benutzerkonto zugeordnetist.








TargetSystem\LDAP\Authentication Der Konfigurationsparameter erlaubtdie Konfiguration der LDAPAuthentifizierungsmodule.

TargetSystem\LDAP\Authentication\Authentication Der Konfigurationsparameter legtden Authentifizierungsmechanismusfest. Gültige Werte sind "Secure","Encryption", "SecureSocketsLayer","ReadonlyServer", "Anonymous","FastBind", "Signing", "Sealing","Delegation" und "ServerBind". DieWerte können mit Komma (,)kombiniert werden. AusführlicheInformationen zu den





Authentifizierungsarten finden Sie inder MSDN Library.

Standard ist ServerBind.

TargetSystem\LDAP\Authentication\Port Port des LDAP Servers. Standard istPort 389.

TargetSystem\LDAP\Authentication\RootDN Der Konfigurationsparameter enthältden Distinguished Name der Root-Domäne.

Syntax:

dc=MyDomain

TargetSystem\LDAP\Authentication\Server Der Konfigurationsparameter enthältden Namen des LDAP Servers.

HTTP Header (rollenbasiert)

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-OnLösungen, die mit einer Proxy basierten Architektur arbeiten.

Anmeldeinformationen Zentrales Benutzerkonto oder Personalnummer der Person.


l In den Personenstammdaten ist das zentrale Benut-zerkonto oder die Personalnummer eingetragen.



Single Sign-on ja


nein


ja

Bemerkungen Im HTTP Header muss der Benutzername (in der Form: username= <Benutzername des authentifizierten Benutzers>) übergebenwerden. In der One Identity Manager-Datenbank wird die Personermittelt, deren zentrales Benutzerkonto oder Personalnummermit dem übergebenen Benutzernamen übereinstimmt.




http://msdn.microsoft.com/en-us/library/system.directoryservices.authenticationtypes(v=vs.110).aspx





HTTP Header

Das Authentifizierungsmodul unterstützt die Authentifizierung über Web Single Sign-OnLösungen, die mit einer Proxy-basierten Architektur arbeiten.

Anmeldeinformationen Zentrales Benutzerkonto oder Personalnummer der Person.



l In den Personenstammdaten ist das zentrale Benut-zerkonto oder die Personalnummer eingetragen.



Single Sign-on ja


nein


ja

Bemerkungen Im HTTP Header muss der Benutzername (in der Form: username= <Benutzername des authentifizierten Benutzers>) übergebenwerden. In der One Identity Manager-Datenbank wird die Personermittelt, deren zentrales Benutzerkonto oder Personalnummermit dem übergebenen Benutzernamen übereinstimmt.






Die Benutzeroberfläche und die Bearbeitungsrechte werden überden Systembenutzer geladen, der der angemeldeten Persondirekt zugeordnet ist. Ist der Person kein Systembenutzerzugeordnet, wird der Systembenutzer aus demKonfigurationsparameter "SysConfig\Logon\DefaultUser"ermittelt.


OAuth 2.0/OpenID Connect


Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 undOpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Siebeispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure TokenService) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendiensteingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen Abhängig vom Authentifizierungsverfahren desSicherheitstokendienstes.






Single Sign-on nein


ja


ja

Bemerkungen Der One Identity Manager ermittelt die Person, die demBenutzerkonto zugeordnet ist.



https://tools.ietf.org/html/rfc6749

http://openid.net/specs/openid-connect-core-1_0.html




Die Benutzeroberfläche und Bearbeitungsrechte werden überden Systembenutzer geladen, der der ermittelten Person direktzugeordnet ist.

Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet. Dafür muss der Claim-Typ bekannt sein,dessen Wert zur Kennzeichnung der Datenänderungenverwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an.Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wirdein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermitteltwird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an.Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wirdzunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zuermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Umdas Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher infolgender Reihenfolge abgefragt:

1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)

a. Zertifikatstext (QBMWebApplication.CertificateText) .

b. Subject oder Fingerabdruck aus dem lokalen Speicher(QBMWebApplication.OAuthCertificateSubject undQBMWebApplication.OAuthCertificateThumbPrint).

c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal existieren.

2. Konfigurationsparameter

a. Zertifikatstext (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateText").

b. Subject oder Fingerabdruck aus dem lokalen Speicher(Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateSubject" und"QER\Person\OAuthAuthenticator\CertificateThumbPrint").

c. Zertifikatsendpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateEndpoint").



Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal exisitieren.

d. JSON-Web-Key-Endpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem dieBenutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationendes One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID ConnectAuthentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einemID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenIDConnect sind weitere Konfigurationseinstellungen erforderlich. Ist imKonfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid"enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".


Konfi-gurationsparameter

Bedeutung

QER\Per-son\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Sicherheitstoken unterstützt wird.

QER\Per-son\OAuthAuthenticator\CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Zertifikatsendpunkts auf dem Autori-sierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Per-son\OAuthAuthenticator\CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zerti-fikats, das zur Überprüfung verwendet wird. Subject oderFingerabdruck müssen gesetzt sein.

QER\Per-son\OAuthAuthenticator\CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck deszu verwendenden Zertifikates zur Prüfung des Sicher-heitstokens.

QER\Per-son\OAuthAuthenticator\ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwen-dungen die Authentifizierung unterstützen.

QER\Per-son\OAuthAuthenticator\ClientID\Web

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der Web Anwendung, welche die Authen-tifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Per-son\OAuthAuthenticator\

Der Konfigurationsparameter enthält Uniform ResourceName (URN) der nativen Anwendung, welche die Authen-





Bedeutung

ClientID\Windows tifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Per-son\OAuthAuthenticator\DisabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung deaktiviert.


QER\Per-son\OAuthAuthenticator\EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung aktiviert.

QER\Per-son\OAuthAuthenticator\IssuerName

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) des Aussteller des Zertifikates zur Prüfung desSicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Per-son\OAuthAuthenticator\LoginEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) der erweiterten Anmeldeseite des Sicher-heitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Per-son\OAuthAuthenticator\Resource

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der abzufragenden Ressource, zum Beispiel fürADFS.

QER\Per-son\OAuthAuthenticator\SearchClaim

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs aus dem die Anmeld-einformationen ermittelt werden.

Beispiel: Name einer Entität

http://-schemas.xml-soap.org/ws/2005/05/identity/claims/nameidentifier

QER\Per-son\OAuthAuthenticator\SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der OneIdentity Manager-Tabelle (SearchTable), die zur Suche derBenutzerinformationen verwendet wird. Entsprechung desClaim-Typs (SearchClaim) im One Identity ManagerSchema.

Beispiel: ObjectGUID

QER\Per-son\OAuthAuthenticator\

Der Konfigurationsparameter enthält die Tabelle im OneIdentity Manager Schema in der die Benutzerinformationen




Bedeutung

SearchTable hinterlegt werden. Die Tabelle muss einen Fremdschlüsselnamens UID_Person enthalten, der auf die Tabelle Personzeigt.


QER\Per-son\OAuthAuthenticator\TokenEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Tokenendpunktes des Autori-sierungsservers für die Rückgabe des Zugriffstokens an denClient für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Per-son\OAuthAuthenticator\UserNameClaim

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs, der verwendet wird, umDatenänderungen zu kennzeichnen (XUserInserted, XUserUp-dated).

Beispiel: User Principal Name (UPN)

http://-schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Per-son\OAuthAuthenticator\InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) zur Weiterleitung für installierte Appli-kationen.

Beispiel: urn:InstalledApplication

QER\Per-son\OAuthAuthenticator\AllowSel-fSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung vonselbstsignierten Zertifikaten bei der Verbindung zum Token-und User Info Endpunkt erlaubt ist.

QER\Per-son\OAuthAuthenticator\CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zerti-fikats als Base64-kodierte Zeichenkette. Es wird nurbenutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Per-son\OAuthAuthenticator\JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert.Derzeit werden nur JWK-Dateien unterstützt, die die Zerti-fikate im x5c-Feld (Certificate Chain) enthalten.

QER\Per-son\OAuthAuthenticator\LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Per-son\OAuthAuthenticator\SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunktgenutzt wird.




QER\Person\OAuthAuthenticator\Scope

Der Konfigurationsparameter legt das Protokolls fürdie Authentifizierung fest. Besitzt der Konfi-gurationsparameter einen Wert "openid", wird OpenIDConnect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\UserInfoEndpoint

Der Konfigurationsparameter enthält den UniformResource Locator (URL) des OpenID Connect User InfoEndpunktes.

Tabelle 60: Zusätzliche Konfigurationsparameter für OpenID Connect

OAuth 2.0/OpenID Connect (rollenbasiert)


Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 undOpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Siebeispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation.

Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure TokenService) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendiensteingesetzt werden, der OAuth 2.0 Token zurückgeben kann.

Anmeldeinformationen Abhängig vom Authentifizierungsverfahren desSicherheitstokendienstes.





Single Sign-on nein


ja


ja

Bemerkungen Der One Identity Manager ermittelt die Person, die demBenutzerkonto zugeordnet ist.




https://tools.ietf.org/html/rfc6749

http://openid.net/specs/openid-connect-core-1_0.html




Datenänderungen werden dem angemeldeten Benutzerkontozugeordnet. Dafür muss der Claim-Typ bekannt sein,dessen Wert zur Kennzeichnung der Datenänderungenverwendet wird.

Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an.Über den Konfigurationsparameter "QER\Person\OAuthAuthenticator\LoginEndpoint" wirdein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermitteltwird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an.Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wirdzunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zuermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Umdas Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher infolgender Reihenfolge abgefragt:

1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)

a. Zertifikatstext (QBMWebApplication.CertificateText) .

b. Subject oder Fingerabdruck aus dem lokalen Speicher(QBMWebApplication.OAuthCertificateSubject undQBMWebApplication.OAuthCertificateThumbPrint).

c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).

Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal existieren.

2. Konfigurationsparameter

a. Zertifikatstext (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateText").

b. Subject oder Fingerabdruck aus dem lokalen Speicher(Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateSubject" und"QER\Person\OAuthAuthenticator\CertificateThumbPrint").

c. Zertifikatsendpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\CertificateEndpoint").

Zusätzlich werden das Subject oder der Fingerabdruck verwendet, umZertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf demServer lokal exisitieren.



d. JSON-Web-Key-Endpunkt (Konfigurationsparameter"QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").

Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem dieBenutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationendes One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden.

Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID ConnectAuthentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einemID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenIDConnect sind weitere Konfigurationseinstellungen erforderlich. Ist imKonfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid"enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".



Bedeutung

QER\Per-son\OAuthAuthenticator

Der Konfigurationsparameter legt fest, ob die Authen-tifizierung über Sicherheitstoken unterstützt wird.

QER\Per-son\OAuthAuthenticator\CertificateEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Zertifikatsendpunkts auf dem Autori-sierungsserver.

Beispiel: https://localhost/RSTS/SigningCertificate

QER\Per-son\OAuthAuthenticator\CertificateSubject

Der Konfigurationsparameter enthält das Subject des Zerti-fikats, das zur Überprüfung verwendet wird. Subject oderFingerabdruck müssen gesetzt sein.

QER\Per-son\OAuthAuthenticator\CertificateThumbPrint

Der Konfigurationsparameter enthält den Fingerabdruck deszu verwendenden Zertifikates zur Prüfung des Sicher-heitstokens.

QER\Per-son\OAuthAuthenticator\ClientID

Der Konfigurationsparameter legt fest, ob Client-Anwen-dungen die Authentifizierung unterstützen.

QER\Per-son\OAuthAuthenticator\ClientID\Web

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der Web Anwendung, welche die Authen-tifizierung unterstützt.

Beispiel: urn:OneIdentityManager/Web

QER\Per-son\OAuthAuthenticator\ClientID\Windows

Der Konfigurationsparameter enthält Uniform ResourceName (URN) der nativen Anwendung, welche die Authen-tifizierung unterstützt.

Beispiel: urn:OneIdentityManager/WinClient

QER\Per- Der Konfigurationsparameter enthält eine durch Pipe (|)





Bedeutung

son\OAuthAuthenticator\DisabledByColumns

getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung deaktiviert.


QER\Per-son\OAuthAuthenticator\EnabledByColumns

Der Konfigurationsparameter enthält eine durch Pipe (|)getrennte Liste von Boolean-Spalten aus der One IdentityManager-Tabelle (SearchTable), die das Benutzerkonto fürdie Anmeldung aktiviert.

QER\Per-son\OAuthAuthenticator\IssuerName

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) des Aussteller des Zertifikates zur Prüfung desSicherheitstokens.

Beispiel: urn:RSTS/identity

QER\Per-son\OAuthAuthenticator\LoginEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) der erweiterten Anmeldeseite des Sicher-heitstokendienstes.

Beispiel: http://localhost/rsts/login

QER\Per-son\OAuthAuthenticator\Resource

Der Konfigurationsparameter enthält den Uniform ResourceName (URN) der abzufragenden Ressource, zum Beispiel fürADFS.

QER\Per-son\OAuthAuthenticator\SearchClaim

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs aus dem die Anmeld-einformationen ermittelt werden.

Beispiel: Name einer Entität

http://-schemas.xml-soap.org/ws/2005/05/identity/claims/nameidentifier

QER\Per-son\OAuthAuthenticator\SearchColumn

Der Konfigurationsparameter enthält die Spalte aus der OneIdentity Manager-Tabelle (SearchTable), die zur Suche derBenutzerinformationen verwendet wird. Entsprechung desClaim-Typs (SearchClaim) im One Identity ManagerSchema.

Beispiel: ObjectGUID

QER\Per-son\OAuthAuthenticator\SearchTable

Der Konfigurationsparameter enthält die Tabelle im OneIdentity Manager Schema in der die Benutzerinformationenhinterlegt werden. Die Tabelle muss einen Fremdschlüsselnamens UID_Person enthalten, der auf die Tabelle Personzeigt.





Bedeutung

QER\Per-son\OAuthAuthenticator\TokenEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Tokenendpunktes des Autori-sierungsservers für die Rückgabe des Zugriffstokens an denClient für die Anmeldung.

Beispiel: https://localhost/rsts/oauth2/token

QER\Per-son\OAuthAuthenticator\UserNameClaim

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) des Claim-Typs, der verwendet wird, umDatenänderungen zu kennzeichnen (XUserInserted, XUserUp-dated).

Beispiel: User Principal Name (UPN)

http://-schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

QER\Per-son\OAuthAuthenticator\InstalledRedirectUri

Der Konfigurationsparameter enthält den Uniform ResourceIdentifier (URI) zur Weiterleitung für installierte Appli-kationen.

Beispiel: urn:InstalledApplication

QER\Per-son\OAuthAuthenticator\AllowSel-fSignedCertsForTLS

Der Konfigurationsparameter legt fest, ob die Nutzung vonselbstsignierten Zertifikaten bei der Verbindung zum Token-und User Info Endpunkt erlaubt ist.

QER\Per-son\OAuthAuthenticator\CertificateText

Der Konfigurationsparameter enthält den Inhalt des Zerti-fikats als Base64-kodierte Zeichenkette. Es wird nurbenutzt, wenn kein Zertifikatsendpunkt konfiguriert ist.

QER\Per-son\OAuthAuthenticator\JsonWebKeyEndpoint

Der Konfigurationsparameter enthält den URL des JSON-Web-Key-Endpunktes, der die Signierungsschlüssel liefert.Derzeit werden nur JWK-Dateien unterstützt, die die Zerti-fikate im x5c-Feld (Certificate Chain) enthalten.

QER\Per-son\OAuthAuthenticator\LogoutEndpoint

Der Konfigurationsparameter enthält den Uniform ResourceLocator (URL) des Abmelde-Endpunktes.

Beispiel: http://localhost/rsts/login?wa=wsignout1.0

QER\Per-son\OAuthAuthenticator\SharedSecret

Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunktgenutzt wird.


QER\Person\OAuthAuthenticator\Scope

Der Konfigurationsparameter legt das Protokolls fürdie Authentifizierung fest. Besitzt der Konfi-

Tabelle 62: Zusätzliche Konfigurationsparameter für OpenID Connect




gurationsparameter einen Wert "openid", wird OpenIDConnect verwendet, ansonsten OAuth2.

QER\Person\OAuthAuthenticator\UserInfoEndpoint

Der Konfigurationsparameter enthält den UniformResource Locator (URL) des OpenID Connect User InfoEndpunktes.

Synchronisationsauthenticator

HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das ModulZielsystemsynchronisation vorhanden ist.

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung desSynchronization Editor.

Anmeldeinformationen Die Anmeldung erfolgt über den Systembenutzer "sa".

Voraussetzungen


Single Sign-on nein


nein


nein

Bemerkungen Den Systembenutzer "sa" sollten Sie nicht verändern, da dieserbei jeder Schemaaktualisierung überschrieben wird.

Web Agent Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des WebDesigner, um vor der ersten Benutzeranmeldung auf die Datenbank zuzugreifen.


Voraussetzungen


Single Sign-on nein


nein


nein




Component Authenticator

Das Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung derProzesskomponenten.


Voraussetzungen


Single Sign-on nein


nein


nein


Crawler

Das Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes fürdie Volltextsuche über die Datenbank verwendet.


Voraussetzungen


Single Sign-on nein


nein


nein


Verwandte Themen

l Aktivieren weiterer Authentifizierungsmodule auf Seite 152



B

Anhang: Erstellen einer One IdentityManager-Datenbank für eine Test-oder Entwicklungsumgebung aus

einer Datenbanksicherung

Um eine Testdatenbank oder eine Entwicklungsdatenbank aus einerDatenbanksicherung von einem anderen System zu erstellen

1. Erstellen Sie eine neue Datenbank auf dem Datenbankserver in derReferenzumgebung.

2. Erstellen Sie eine Datenbanksicherung der Originaldatenbank.

3. Spielen Sie die Datenbanksicherung in die Referenzdatenbank ein.

4. Stellen Sie die Berechtigungen für die Datenbankbenutzer auf dem Datenbankserverwieder her.

5. Kompilieren Sie die Datenbank mit dem Database Compiler.

Mit dem Database Compiler passen Sie die Verbindungsdaten zur Datenbank an undkompilieren alle Skripte und Prozesse der Datenbank.

a. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbankkompilieren. Der Database Compiler wird gestartet.

b. Auf der Startseite des Database Compiler klicken SieWeiter.

c. Auf der Seite Verbindung zur Datenbank herstellen erfassen Sie dieVerbindungsdaten zur One Identity Manager-Datenbank und klicken SieWeiter.

d. Es wird die Überprüfung der Datenbank-ID ausgeführt. Wird während derPrüfung festgestellt, dass die Datenbank-ID nicht korrekt ist, werden Sieaufgefordert, eine neue Datenbank-ID erzeugen zu lassen. Bestätigen Sie dieAufforderung mit Ja. Die Datenbank-ID wird geändert.

e. Auf der Seite Datenbankverbindungsinformationen unvollständig prüfenSie die Verbindungsdaten zur Datenbank und ändern Sie diese gegebenenfalls.Klicken SieWeiter.


Anhang: Erstellen einer One Identity Manager-Datenbank für eineTest- oder Entwicklungsumgebung aus einer Datenbanksicherung

200

l Prüfen Sie die Verbindungsparameter (Connection-String)

Die Eingabe ändern Sie über die Schaltfläche [...] neben demEingabefeld. Wählen Sie die Verbindungsdaten Ihrer Datenbank.

l Prüfen Sie den vollständiger Kundennamen.

f. Es erfolgt ein Test der Datenbankverbindung. Bestätigen Sie die Meldungmit OK.

g. Geben Sie erneut die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken SieWeiter.

h. Auf der Seite Verbindung zur Datenbank herstellen geben Sie dieVerbindungsdaten zur One Identity Manager-Datenbank an und klicken SieWeiter.

i. Auf der Seite Kompiliervorgaben werden die zu kompilierenden Bestandteileangezeigt. Um den Kompiliervorgang zu starten, klicken SieWeiter.

Die Kompilierung wird gestartet. Der Vorgang kann einige Zeit inAnspruch nehmen.

j. Auf der Seite Kompilierung werden die Ergebnisse des Kompiliervorgangsangezeigt. Nach Beenden der Kompilierung, klicken SieWeiter.

k. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.

6. Passen Sie im Designer die Staging Ebene der Datenbank an.

a. Wählen Sie im Designer die Kategorie Basisdaten | Allgemein |Datenbanken.

b. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft StagingEbene auf "Testumgebung" oder "Entwicklungssystem".

c. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung inDatenbank… und klicken Sie Speichern.

7. Passen Sie im Synchronization Editor die Verbindungsdaten derSynchronisationsprojekte an.

Verwandte Themen

l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs-oder Produktivumgebung auf Seite 62


Anhang: Erstellen einer One Identity Manager-Datenbank für eineTest- oder Entwicklungsumgebung aus einer Datenbanksicherung

201

C

Anhang: Erweiterte Konfigurationder Manager Webanwendung

HINWEIS: Der Web Installer verwendet Standardwerte für die meistenKonfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wirdempfohlen, dass Sie die Einstellungen mithilfe des Manager Web Configuration Editorüberprüfen.

Die Konfiguration der Manager Webanwendung erfolgt mit Hilfe des Manager WebConfiguration Editor. Der Manager Web Configuration Editor ist Teil der Webanwendung undbefindet sich im Installationsverzeichnis im Unterverzeichnis WebConfigEditor.

Um die Konfiguration durchzuführen

1. Starten Sie die Datei WebConfigEditor.exe.

Der Manager Web Configuration Editor öffnet automatisch die Datei web.config derWebanwendung.

2. Passen Sie die Konfigurationseinstellungen an.

3. Speichern Sie die Änderungen.


l Allgemein auf Seite 203

l Datenbankverbindung auf Seite 203

l Sicherheit auf Seite 204

l Debugging auf Seite 205

l Leistung auf Seite 206

l Dateidownload auf Seite 207

l ASP.Net Basiseinstellungen auf Seite 208

l Applikationspool auf Seite 209

l Plugins auf Seite 210

l Load Balancing auf Seite 210

l Single Sign-On auf Seite 212


Anhang: Erweiterte Konfiguration der Manager Webanwendung202

Allgemein

Hier konfigurieren Sie das Erscheinungsbild der Webanwendung.


Kultur Sprachkultur. Die Sprachkultur hat unter anderem Einfluss auf dieDarstellung von Datumswerten und Zahlen.

Sitzungs-Timeout

Zeit der Inaktivität eines Benutzers in Minuten, nachdem der Benutzerautomatisch abgemeldet werden soll. Dieser Wert ist abhängig vomTimeout-Modus und hat direkten Einfluss auf den Speicherverbrauch undsomit auf die Anwendungsperformance.

HINWEIS: Dieser Wert sollte so lang wie nötig und so kurz wiemöglich gewählt werden, da verwaiste Sitzungen Speicherverbrauchen und die Anwendungsperformance negativbeeinflussen.

Timeout-Modus

Verfahren zur Timeout-Bestimmung.

l TimeOut

Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeoutdefinierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist.

l HeartBeat

Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeoutdefinierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist.Das offene Browserfenster des Benutzers meldet sichautomatisch. So dass der Timeout erst mit dem Schließen desBrowserfensters beginnt.

Visualisierung Visualisierung der Anwendung

DynamischeDesignauswahl

Wird momentan nicht verwendet.

Portalmodusaktivieren

Erlaubt der Anwendung in einem Frame einer anderen Anwendungverlinkt zu werden.

Tabelle 63: Bedeutung der allgemeinen Konfigurationseinstellungen

Datenbankverbindung

Hier legen Sie alle Datenbankparameter fest.




Datenbank Datenbankverbindung. Sie können zwischen einer SQL ServerDatenbankverbindung, einer Oracle Datenbankverbindung und einemAnwendungsserver wählen.

Anwendung Anwendung, die den Inhalt der Webanwendung festlegt. In der Regelsollten Sie "Manager" wählen.

Anzeigename Name, der als Anwendungsname zum Beispiel in der Titelzeile desBrowsers verwendet werden soll.

Authentifizierung Verfahren, mit dem die Benutzer bei der Anmeldung an derAnwendung authentifiziert werden sollen.

SchnelleAnmeldung(Single-Sign-On)

Angabe, ob Single Sign-On zur Anmeldung verwendet werden soll.Aktivieren Sie diese Option, wenn Sie Single Sign-On benutzen. DieAnwendung zeigt dadurch keine Anmeldeseite dem Benutzer undversucht dessen Identität automatisch zu ermitteln.

Tabelle 64: Bedeutung der Konfigurationseinstellungen für dieDatenbankverbindung

Verwandte Themen


Sicherheit

Hier legen Sie einige wichtige, die Sicherheit der Anwendung beeinflussende,Einstellungen fest.


Installationsumgebung Standardkonfigurationen der Installationsumgebung. DieseEinstellung wirkt sich auf andere Konfigurationsgruppen aus.

Wert Beschreibung

Production Empfohlene Einstellung für alle produktivenInstallationen.

Test Einstellung, wenn die Anwendung zu Testzwe-

Tabelle 66: Zulässige Werte

Tabelle 65: Bedeutung der Konfigurationseinstellungen für die Sicherheit




Wert Beschreibung

cken installiert wurde.

Development Einstellungen, wenn die Anwendung in einemEntwicklungsumfeld installiert wurde.

Custom Einstellungen, wenn Sie alle Einstellungenmanuell vornehmen möchten.

Antwortverzögerungbei ungültiger Sitzung

Zeit in Sekunden, die eine clientseitige Anfrage mit falschenSitzungsinformationen blockiert werden soll. Diese Einstellungsoll eventuelle "Brute Force" Angriffe verhindern.

Anmeldung ohneCookies erlauben

Die Anwendung nutzt Sitzungs-Cookies zur Sicherung der Client-Server Kommunikation. Aktivieren Sie diese Einstellung, umBenutzeranmeldungen ohne Cookies zu erlauben. Dies wäre derFall, falls beispielsweise Cookies im Firmennetzwerk verbotenwurden.

HINWEIS: Es ist empfohlen diese Einstellung nicht zuaktivieren.

Browserfenster nachdem Abmeldenschließen

Angabe, ob das Browserfenster nach Abmeldung geschlossenwerden soll. Ist diese Einstellung aktiviert, versucht dieAnwendung das Browserfenster des Benutzers zu schließen,nachdem sich dieser abgemeldet hat. Diese Funktion wird nichtvon jedem Browser unterstützt oder erfolgt nur nach Nachfragedes Browsers.

Debugging

Hier befinden sich nützliche Einstellungen zur Fehlersuche. Im Normalfall müssen Sie hiernichts konfigurieren.


Protokollumfang Menge an Informationen, die protokolliert werden sollen.

HINWEIS: Im produktiven Betrieb der Anwendung sollte"Normal" eingestellt werden.

Dokumentationsmodusaktivieren

Angabe, ob in der Anwendungsoberfläche einige zusätzlicheInformationen angezeigt werden, beispielsweise der Name desaktiven Formulars. Die Wirkung ist abhängig von der

Tabelle 67: Bedeutung der Konfigurationseinstellungen für das Debugging




ausgewählten Visualisierung.

HINWEIS: Diese Einstellung sollte im produktiven Betriebnicht aktiviert werden.

SQL Protokollaktivieren

Angabe, ob alle Datenbankanweisungen protokolliert werdensollen. Das Protokoll wird in das SQL Protokollverzeichnisgeschrieben.


ASP.NetFehlermeldungenanzeigen

Angabe, ob ASP.Net eigene Fehlermeldungen angezeigt werdensollen.


Testmodus aktivieren Angabe, ob automatische Tests unterstützt werden sollen.


Verwandte Themen

l Verzeichnisse auf Seite 208

Leistung

Hier legen Sie einige wichtige Einstellungen fest, die die Leistung der Anwendungbeeinflussen.


Lastverteilung Modus des integrierten Load-Balancings. In den meisten Fällen sollte"DistributeEqually" gewählt werden.

MaximaleAuslastung

Maximale Anzahl von Benutzersitzungen, die die Anwendung akzeptierensoll. Soll eine große Anzahl von Sitzungen ermöglicht werden, so solltedie Anwendung eventuell mehrfach installiert werden, da dieSystemressourcen für jeden Anwendungsprozess limitiert sind.

Maximumerzwingen

Wird diese Einstellung deaktiviert, so wird der Wert unter MaximaleAuslastung unwirksam. Er wird jedoch als Schwellwert für das Load-

Tabelle 68: Bedeutung der Konfigurationseinstellungen für die Leistung




Balancing-Verfahren "DistributeSuccessively" verwendet.

HTTP-Übertragungkomprimieren

Angabe, ob die Nutzung der Kompression der HTTP Kommunikationaktiviert werden soll.

HINWEIS: Die Kompression der HTTP Kommunikation muss auchfür den Internet Information Services konfiguriert worden sein.Weitere Informationen finden Sie in der Dokumentation desWebservers.

HostSegmentation

Angabe von Host Segmenten. Die Einstellung ermöglicht die Verteilungder clientseitigen Anfragen auf mehrere Serveradressen die alle Aliasefür das Webfrontend darstellen. Damit lassen sich einige Limitierungendes Browsers umgehen und so bei schlechten Netzverbindungen dieLadezeiten verkürzen.

Verwandte Themen


Dateidownload

Um den Download größerer Dateien zu ermöglichen, benötigt die Anwendung einVerzeichnis in dem der Download dem Benutzer zur Verfügung gestellt werden kann. Diesbetrifft zum Beispiel Berichte die von der Anwendung generiert und dann vom Benutzer alsPDF gespeichert werden.


Dateidownloadaktivieren

Angabe, ob Dateidownload aktiviert werden soll. Aktivieren Siediese Einstellung, um den Download von größeren Dateien, wieBerichten, zu ermöglichen. Ist der Dateidownload deaktiviert,stehen einige Funktionen nicht zur Verfügung.

Downloadverzeichnis Verzeichnis, das die Anwendung nutzen soll, um die Downloadszur Verfügung zu stellen. Die Anwendung benötigt vollständigeRechte in diesem Verzeichnis.

Säuberungsintervall Zeitdauer in Minuten, in der nicht benötigten Datei gesucht undentfernt werden.

Bereitstellungsdauer Zeitdauer in Minuten, in der ein Download dem Benutzer zurVerfügung gestellt werden soll. Nach der Initiierung eines

Tabelle 69: Bedeutung der Konfigurationseinstellungen für den Download vonDateien




Downloads kann die Anwendung nicht mehr feststellen, wann undob der Download vom Benutzer durchgeführt wurde, sodass derDownload nach einer bestimmten Zeit abgebrochen werden muss.

ASP.Net Basiseinstellungen

Hier sehen Sie einige Einstellungen des ASP.Net, die vom Manager Web ConfigurationEditor editiert werden können.


MaximaleAnfragelänge

Maximale Größe einer Benutzeranfrage in Kilobyte (kByte). Dieselimitiert unter anderem die maximale Größe der Dateien, diehochgeladen werden können.

MaximaleAusführungszeit

Maximale Zeit in Sekunden, die eine Benutzerabfrage bearbeitetwerden darf. Das Überschreiten dieser Zeit hat einen harten Abbruchder Benutzeranfrage zur Folge.

HINWEIS: Diese Zeit sollte nicht zu kurz festgelegt werden, dadas Überschreiten dieser Zeit einen Sitzungsverlust desBenutzers zur Folge haben kann.

Tabelle 70: Bedeutung der Konfigurationseinstellungen für ASP.Net

Verzeichnisse

Hier konfigurieren Sie alle Verzeichnisse, die die Anwendung benötigt.


Applikationsverzeichnis Vollständiger Pfad zum Installationsverzeichnis der Anwendung.Dies ist das Verzeichnis indem sich die Datei web.configbefindet.

HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.

Protokollverzeichnis Verzeichnis, in welches das Anwendungsprotokoll geschriebenwerden soll. Dieses Verzeichnis kann relativ zumApplikationsverzeichnis angegeben werden.

Tabelle 71: Bedeutung der Konfigurationseinstellungen für Verzeichnisse




Datenbank Cache Vollständiger Pfad zum Verzeichnis, in das häufig verwendeteDatenbankinhalte zwischengespeichert werden sollen.

Skriptassembly Cache Vollständiger Pfad zum Verzeichnis, in das die Assemblieszwischengespeichert werden sollen.

SQLProtokollverzeichnis

Vollständiger Pfad zum Verzeichnis, in das dieDatenbankzugriffe protokolliert werden sollen. Das SQLProtokoll ist nur zur Fehlersuche zu verwenden und muss unterDebugging | SQL Protokoll aktivieren aktiviert werden.

Verwandte Themen

l Debugging auf Seite 205

Applikationspool

Hier definieren Sie alle Anwendungen die zusammenarbeiten, um die Anwendung demBenutzer in mehreren Sprachen zur Verfügung zu stellen.

l Klicken Sie auf Applikation hinzufügen, um eine weitere Anwendung zu definieren.

l Klicken Sie auf Applikation entfernen, um die selektierte Anwendung zuentfernen.

l Mit den beiden Pfeilen auf der rechten Seite können Sie die Reihenfolge ändern.

HINWEIS: Es muss mindestens die aktuell konfigurierte Anwendung definiert werden.Die Reihenfolge hat direkten Einfluss auf die Anmeldeperformance, da der Status derkonfigurierten Anwendungen in der definierten Reihenfolge abgefragt wird.


URL fürWeiterleitung

Vollständige Adresse zur Anwendung. Diese Adresse muss auchclientseitig durch die Browser der Benutzer auflösbar sein.

HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.

Authentifizierung Die Anwendungen kommunizieren über die definierte URLuntereinander. Dafür werden Berechtigungen benötigt, wenn deranonyme Zugriff nicht erlaubt ist. Die Anwendung benötigt dafür diegleichen Rechte, die auch benötigt werden, wenn die URL per Browserauf dem Server aufgerufen werden soll.

Tabelle 72: Bedeutung der Konfigurationseinstellungen für den Applikationspool



Verwandte Themen


Plugins

Plugins erweitern die Funktionalität der Anwendung. Sie können ein Plugin aktivieren,indem Sie die Option vor dem Namen des Plugins aktivieren. Unterhalb eines Plugins findenSie eventuell einige pluginspezifische Einstellungen.

Plugin "Automatische Aktualisierung"

Dieses Plugin führt die automatische Aktualisierung durch.

Einstellung Bedeutung

AutomatischeAktualisierung

Die automatische Aktualisierung wird aktiviert.

Schweregrad Schweregrad einer Änderung, damit die automatischeAktualisierung gestartet wird.

Tabelle 73: Bedeutung der Konfigurationseinstellungen

Verwandte Themen



Load Balancing

Die Anwendung stellt ein einfaches Load Balancing zur Verfügung, um dieBenutzersitzungen und damit auch die entstehende Last auf mehrere Prozesse oder garServer zu verteilen. Dazu muss die Anwendung mehrfach auf demselben oder auf weiterenServern installiert werden.

Alle zusammenarbeitenden Anwendungen werden im Applikationspool der Anwendungenbekanntgegeben, auf denen eine Anmeldung möglich sein soll. Der ausgewählte LoadBalancing Algorithmus verteilt Benutzeranmeldungen auf die definierten Anwendungen.

HINWEIS: Auch wenn nur eine Anwendung installiert wird, muss diese in ihremeigenen Applikationspool definiert werden, da sonst keine Anmeldung möglich ist.



Algorithmus Beschreibung

DistributeEqually Dieser Algorithmus verteilt die Benutzeranmeldungen so, dassjede Anwendung einer Sprache möglichst die gleiche Anzahl vonaktiven Benutzern besitzt. Dieser Algorithmus ist der Standardund wird in 99% der Fälle benötigt.

DistributeSuccessively Dieser Algorithmus verteilt die Benutzeranmeldungen nach derDefinitionsreihenfolge der Anwendungen im Applikationspool.Zuerst werden alle Benutzeranmeldungen auf die ersteAnwendung der gewünschten Sprache weitergeleitet. Erst wenndiese ihre maximale Auslastung erreicht hat, werden dieAnmeldungen auf die nächste Anwendung weitergeleitet.

Tabelle 74: Unterstützte Algorithmen für das Load Balancing

Das Load Balancing löst folgende Probleme:

l Mehrsprachigkeit

Die Sprache wird pro Anwendung festgelegt, so dass eine Anwendung immer nurBenutzersitzungen in einer Sprache zur Verfügung stellen kann. Sollen Benutzer sichmit mehreren Sprachen anmelden können, so muss für jede Sprache mindestenseine Anwendung installiert werden.

l Umgehung von Ressourcenlimitierungen

Werden mehrere Anwendungen installiert und diese unterschiedlichen InternetInformation Services Anwendungspools zugewiesen, so werden diese in separatenProzessen gestartet. Unter 32 Bit Windows Betriebssystemen kann zum Beispieljeder Prozess 4 GByte Speicher adressieren, aber nur 2 GByte Speicher nutzen.Davon werden weitere 40% von ASP.Net reserviert, sodass lediglich 1,2 GByteSpeicher der Anwendung zur Verfügung steht. Durch eine mehrfache Installationlassen sich diese 1,2 GByte Speicher mehrfach nutzen und so der physikalischverfügbare Hauptspeicher überhaupt ausnutzen.

l Performancesteigerung

Durch die Installation auf mehreren Servern lässt sich die Performanceerheblich steigern.

l Redundanz

Durch die mehrfache Installation bedeutet der Ausfall einer installierten Anwendungnicht zwingend den Ausfall des gesamten Verbundes.

Verwandte Themen




Single Sign-On

Die Anwendung unterstützt einen Single Sign-On Mechanismus, der es ermöglicht einenBenutzer zu authentifizieren, ohne dass dieser sich erneut per Benutzername und Kennwortauthentifizieren muss.

Notwendige Voraussetzungen sind:

l Deaktivierung des anonymen Zugriffs.

l Die Konfiguration eines Single Sign-on fähigen Authentifizierungsmoduls.

l Berechtigung in dem anwendungseigenen Anwendungspool.

Die Deaktivierung des anonymen Zugriffs erfolgt auf dem Webserver. Dadurch wird derBrowser des Benutzers gezwungen die für die Authentifizierung benötigten Informationenzu übermitteln.

1. Öffnen Sie dazu die Konfiguration der Anwendung in den Internet InformationServices und aktivieren Sie die Konfiguration zur "Authentication".

2. Ändern Sie den Wert für Status bei "Anonymous Authentication" auf "disabled".

Verwandte Themen





D

Anhang: Maschinenrollen undInstallationspakete

Maschinenrolle Beschreibung zum Installationspaket

Workstation Enthält alle Basiskomponenten zur Installation derWerkzeuge auf einer administrativenArbeitsstation.

Administration Enthält die One Identity ManagerAdministrationswerkzeuge, die einStandardbenutzer zur Erfüllung seiner Aufgaben mitdem One Identity Manager benötigt. Neben denWerkzeugen, welche die Grundfunktionalität für dieArbeit mit One Identity Manager sicherstellen, zähltdazu auch der Manager als zentralesAdministrationswerkzeug.

Configuration Enthält alle One Identity Manager Werkzeuge desStandardbenutzers und zusätzliche Programme,welche zur Konfiguration des Systems erforderlichsind. Dazu gehören beispielsweise ConfigurationWizard, Database Compiler, Database Transporter,Crypto Configuration, Designer, Web Designersowie Konfigurationswerkzeuge für den OneIdentity Manager Service.

Development &Testing

Enthält die One Identity Manager Werkzeuge zurEntwicklung und zum Testen kundenspezifischerSkripte und Formulare, wie beispielsweise SystemDebugger.

Monitoring Enthält One Identity Manager Programme zurÜberwachung des Systemstatus, wie beispielsweiseJob Queue Info.

Documentation Enthält die One Identity Manager Dokumentation in

Tabelle 75: Mögliche Maschinenrollen und zugehörige Installationspakete


Anhang: Maschinenrollen und Installationspakete213

Maschinenrolle Beschreibung zum Installationspaket

verschiedenen Sprachen.

Server Enthält alle Basiskomponenten zur Einrichtungeines Servers.

Jobserver Enthält den One Identity Manager Service und dieBasisprozesskomponenten. ZusätzlicheMaschinenrollen enthalten die Konnektoren zurSynchronisation der einzelnen Zielsysteme.


Anhang: Maschinenrollen und Installationspakete214

E

Anhang: Einstellungen für eine neueSQL Server Datenbank

Der Configuration Wizard erstellt eine neue SQL Server Datenbank mit den folgendenEinstellungen.

Eigenschaft Wert

Name der Datenbank <Datenbankname>

Verzeichnis der Datendatei <Daten Verzeichnis>

Name der Datendatei <Datenbankname>.mdb

Initiale Größe der Datendatei <Initiale Größe>

Maximale Größe der Datendatei unbegrenzt

Automatische Dateivergrößerung der Datendatei 10 %

Verzeichnis der Transaktionsprotokolldatei <Log Verzeichnis>

Name der Transaktionsprotokolldatei <Datenbankname>.ldb

Initiale Größe der Transaktionsprotokolldatei 1/2 <Initiale Größe>

Maximale Größe der Transaktionsprotokolldatei unbegrenzt

Automatische Dateivergrößerung der Trans-aktionsprotokolldatei

10 %

Sortierung der Datenbank SQL_Latin1_General_CP1_CI_AS

Kompatibilitätsgrad 130

Wiederherstellungsmodell Einfach

Statistiken automatisch asynchron aktualisieren False

Statistiken automatisch aktualisieren True

Tabelle 76: Eigenschaften zur Erstellung der Datenbank


Anhang: Einstellungen für eine neue SQL Server Datenbank215

Eigenschaft Wert

Automatisch verkleinern False

Statistiken automatisch erstellen True

Verwandte Themen



Anhang: Einstellungen für eine neue SQL Server Datenbank216

Über uns

Über uns

Kontaktieren Sie uns

Bei Fragen zum Kauf oder anderen Anfragen besuchen Siehttps://www.oneidentity.com/company/contact-us.aspx oder rufen Sie + 1-800-306-9329 an.

Technische Supportressourcen

Technische Unterstützung steht für One Identity Kunden mit einem gültigenWartungsvertrag und Kunden mit Testversionen zur Verfügung. Sie können auf das SupportPortal unter https://support.oneidentity.com/ zugreifen.

Das Support Portal bietet Selbsthilfetools, die Sie verwenden können, um Probleme schnellund unabhängig zu lösen, 24 Stunden am Tag, 365 Tage im Jahr. Das Support Portalermöglicht Ihnen:

l Senden und Verwalten von Serviceanfragen

l Anzeigen von Knowledge Base Artikeln

l Anmeldung für Produktbenachrichtigungen

l Herunterladen von Software und technischer Dokumentation

l Anzeigen von Videos unter www.YouTube.com/OneIdentity

l Engagement in der One Identity Community

l Chat mit Support-Ingenieuren

l Anzeigen von Diensten, die Sie bei Ihrem Produkt unterstützen


Über uns217

https://www.oneidentity.com/company/contact-us.aspx

https://support.oneidentity.com/

http://www.youtube.com/OneIdentity

I ndex

A

Aktualisierungsserver 41, 105

One Identity Manager Service 60

Analyzer 14

Anmeldung 144-145, 150

Datenbankbenutzer 145

Standardverbindungsdialog 144

Systembenutzerkennung 150

Anwendungsserver 11

aktualisieren 113

deinstallieren 114

installieren 108

One Identity Manager-Werkzeuge 19


Search Indexing Service 108

Search Service 108

Statusanzeige 113

Systemanforderungen 32

Arbeitsstation

aktualisieren 86

installieren 43


Authentifizierungsmodul 150, 169

Active Directory Benutzerkonto 169

Active Directory Benutzerkonto(dynamisch) 169

Active Directory Benutzerkonto(manuell) 169

Active Directory Benutzerkonto(manuelle Einga-be/rollenbasiert) 169

Active Directory Benutzerkonto(rollenbasiert) 169

aktivieren 169

Benutzerkonto 169

Benutzerkonto (rollenbasiert) 169

Component Authenticator 169

Crawler 169

freischalten 169

HTTP Header 169

HTTP Header (rollenbasiert) 169

Kontobasierter Systembenutzer 169

LDAP Benutzerkonto(dynamisch) 169

LDAP Benutzerkonto(rollenbasiert) 169

OAuth 2.0/OpenID Connect 169

OAuth 2.0/OpenID Connect (rollen-basiert) 169

Single Sign-on (rollenbasiert) 169

Synchronisationsauthenticator 169

Systembenutzer 169

Web Agent Authenticator 169

B

Benachrichtigungssystem 160

Berechtigungen 34-35, 37, 39

C

Clusterressource


Protokolldatei 82


Index218

Index

Configuration Wizard 14, 47, 49, 52, 56-58, 60, 89-90, 92, 95, 215

starten 49

Crypto Configuration 14, 64

D

Database Compiler 14

Database Transporter 14, 97-98

Datenbank

aktualisieren 87, 89-90, 92, 95-96

anmelden 145

entschlüsseln 68

Entwicklungsumgebung 62, 200

Hotfixpaket 87, 96

installieren 47

konfigurieren 47, 62

Konsistenzprüfung 158

Kundenkonfigurationspaket 87

Migrationspaket 87

Migrationsprotokoll 57, 95

Modulübersicht 155

Oracle 54, 56, 92

Produktivumgebung 62

Referenzdatenbank 200

SQL Server 49, 52, 90, 215

Staging Ebene 62, 200

Systemanforderungen 24-25

Testumgebung 62, 200

Transporthistorie 57, 95-96, 155

Transportpaket 87

verschlüsseln 64-67

Versionsstand 57, 95, 155

Datenbankanmeldung

Oracle 145

SQL Server 145

Datenbankbenutzer

Berechtigungen 35, 37

Oracle 37

SQL Server 35

Datenbankserver


Designer 14

Dienstserver


E

E-Mail Benachrichtigung 160

F

Fehlerbehebung 155-156

Firewall Konfiguration 40

H

HistoryDB Manager 14

Hotfixpaket 87

Datei

importieren 99

Sicherheitskopie 99

importieren 98

Inhalt anzeigen 97

installieren 96

I

Installationsvoraussetzungen 22-25, 27-28, 30, 32, 34-35, 37, 39-40

InstallState.config 102


Index219

J

Job Queue Info 14

Job Service Configuration 14

Jobserver

aktualisieren 86, 102

einrichten 74

installieren 43, 74

kein automatischesSoftwareupdate 102, 105

K

Konsistenzprüfung 158

Kundenkonfigurationspaket 87

importieren 98

Inhalt anzeigen 97

L

Launchpad 14

License Meter 14

Lieferantenbenachrichtigung 70

aktivieren 71

deaktivieren 72

prüfen 72

M

Manager 14

Manager Web Configuration Editor 202

Manager Webanwendung 14

aktualisieren 142

deinstallieren 143

installieren 138

konfigurieren 202

Load Balancing 210

Single Sign-on 212

Maschinenrolle 213

Migrationspaket 87

O

One Identity Manager

aktualisieren 84

Anwendungsserver 11

Architekturübersicht 11

Benutzer 34

Berechtigungen 34

Datenbank 11

Frontends 11

Hotfix 84

installieren 41

Serverdienst 11

Service Pack 84

Systemkonfiguration

E-Mail Benachrichtigung 160

Versionsänderung 84

Webserver 11

One Identity Manager-Komponenten


installieren 43, 46


aktualisieren 102

Analyzer 14

anmelden 144, 150

Configuration Wizard 14

Crypto Configuration 14

Database Compiler 14

Database Transporter 14

Designer 14

HistoryDB Manager 14

Installationsvoraussetzungen 27


Index220

installieren 43, 46

Job Queue Info 14

Job Service Configuration 14

Launchpad 14

License Meter 14

Manager 14

One Identity Manager Web 14

Report Editor 14

Schema Extension 14

Software Loader 14

Synchronization Editor 14

System Debugger 14

Web Designer 14

Web Installer 14

Web Portal 14

One Identity Manager Schema

installieren 47



Aktualisierungsserver 60

Benutzerkonto 60, 79

Berechtigungen 34

Clusterressource 80, 82

Datenbankschlüssel 69

Installationsvoraussetzungen 28, 39

installieren 60, 74

private.key 69

Protokolldatei 78

Schlüsseldatei 69

SQL Ausführungsserver 60

Startart 79

starten 79

P

Ports 40

R

Report Editor 14

S

Schema Extension 14

Server


installieren 43, 74

Software Loader 14, 99

Softwareaktualisierung 102

aktivieren 57, 95, 102

Datei

importieren 99

Sicherheitskopie 99

Version 99

Inbetriebnahme 105

InstallState.config 102

Jobserver 102



Server 102

Softwarerevision.viv 102

update.lock 102

update.log 102

Updater.exe 102

Webanwendung 102

Softwarerevision.viv 102

Sprache 153

Sprachkultur 153

SQL Ausführungsserver 41


Standardverbindungsdialog 144


Index221

Synchronization Editor 14

System Debugger 14

Systemanforderungen

Anwendungsserver 32

Arbeitsstation 27

Benutzer 34

Berechtigungen 34

Datenbank

Oracle 25

SQL Server 24

Datenbankbenutzer

Oracle 37

SQL Server 35

Datenbankserver 23

Dienstserver 28


One Identity Manager Werkzeuge 27

Webserver 30

Systembenutzer

administrativer 58

Kennwort 58

kundenspezifisch 58

Systembenutzerkennung

anmelden 150

T

Transporthistorie 155

Transportpaket 87

importieren 98

Inhalt anzeigen 97

U

update.lock 102

update.log 102

Updater.exe 102

V

Verschlüsselung 64-69

privater Schlüssel 64

Schlüssel

ändern 66

erzeugen 65

generieren 64

Schlüsseldatei 64

Schlüsselinformation 64

Volltextsuche

Anwendungsserver 108, 131

Suchdienst 108, 131

Web Portal 131

W

Web Designer 14

Web Installer 14, 108, 114-115, 125,138, 143

Web Portal 14

deinstallieren 125

installieren 115

konfigurieren 125

Suchdienst 131

warten 132

Webserver 11



Index222

One Identity Manager Installationshandbuch · 2017. 11. 17. · l...

Documents

Transcript of One Identity Manager Installationshandbuch · 2017. 11. 17. · l...