Dell™ One Identity Manager 7.1.2 Installationshandbuch © 2016 Dell Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch US-amerikanische und internationale Urheberschutzgesetze und Gesetze zum Schutz geistigen Eigentums geschützt. Dell™, das Dell-Logo und Dell™ One Identity Manager, Active Roles, Dell™ One Identity Password Manager und Dell™ One Identity Cloud Access Manager sind Marken von Dell Inc. in den USA und/oder anderen Gerichtsbarkeiten. Microsoft, Outlook, Active Directory, Azure, SharePoint, SQL Server, Forefront, Internet Explorer, Visual Studio, Windows Server, Windows PowerShell, Windows Vista and Windows are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. SAP, SAP R/3, SAP NetWeaver Application Server, SAP HANA und BAPI sind Marken oder eingetragene Marken der SAP AG in Deutschland und vielen anderen Ländern. IBM, DB2, RACF, Notes, Domino and LotusScript are registered trademarks of International Business Machines Corporation. Linux is the registered trademark of Linus Torvalds in the U.S. and other countries. Oracle, MySQL and Java are trademarks or registered trademarks of Oracle and/or its affiliates. UNIX is a registered trademark of The Open Group. Mono ist eine eingetragene Marke von Novell, Inc. in den USA und anderen Ländern. Apache and Apache HTTP Server are trademarks of The Apache Software Foundation. Firefox is a registered trademark of the Mozilla Foundation. Safari is a registered trademark of Apple Inc. Chrome und Google sind eingetragene Marken von Google Inc., Verwendung mit Genehmigung. CA ACF2 and CA Top Secret are trademarks or registered trademarks of CA Technologies Inc. Alle anderen in diesem Dokument erwähnten Marken und Namen können Marken der jeweiligen Rechtsinhaber sein. Legende VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den möglichen Verlust von Daten hin, wenn die Anweisungen nicht befolgt werden. WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schaden mit Todesfolge hin. WICHTIG, HINWEIS, TIPP, MOBIL, oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen hin. One Identity Manager Installationshandbuch Aktualisiert: Juni 2017 Version: 7.1.2 Inhalt Über dieses Handbuch 7 Überblick über den One Identity Manager 8 Editionen des One Identity Manager 8 Architektur des One Identity Manager 9 Werkzeuge des One Identity Manager 11 Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? 16 Installationsvoraussetzungen 18 Minimale Systemanforderungen für den Datenbankserver 19 Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank 20 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank 21 Minimale Systemanforderungen für die administrative Arbeitsstation 23 Minimale Systemanforderungen für den Dienstserver 24 Minimale Systemanforderungen für den Webserver 26 Minimale Systemanforderungen für den Anwendungsserver 28 Benutzer und Berechtigungen für den One Identity Manager 29 Berechtigungen für SQL Server® Datenbankbenutzer 31 Berechtigungen für Oracle Datenbankbenutzer 33 Einrichten der Berechtigung zum Erstellen eines HTTP Server 34 Kommunikationsports und Firewall Konfiguration 35 Installieren des One Identity Manager 36 Bevor Sie die Installation des One Identity Manager starten 37 Installieren der One Identity Manager-Komponenten 37 Installieren der One Identity Manager-Komponenten auf einem Windows® Terminalserver 40 Installieren und Konfigurieren einer One Identity Manager-Datenbank 41 Starten des Configuration Wizard 42 Erstellen einer neuen SQL Server® Datenbank 43 Verwenden einer bestehenden leeren SQL Server® Datenbank 45 Erstellen eines neuen Oracle Datenbankbenutzers 46 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers 48 Verarbeiten der Datenbank 49 Erfassen der Systeminformationen 50 Installieren des One Identity Manager Service für die Datenbank 51 Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung 54 Verschlüsseln von Datenbankinformationen 55 One Identity Manager 7.1.2 Installationshandbuch 3 Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen 56 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen 57 Erneutes Verschlüsseln der Datenbankinformationen 58 Entschlüsseln der Datenbankinformationen 59 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank 60 Lieferantenbenachrichtigung im One Identity Manager 61 Aktivieren der Lieferantenbenachrichtigung 61 Prüfen der Lieferantenbenachrichtigung 62 Deaktivieren der Lieferantenbenachrichtigung 62 Installieren und Konfigurieren des One Identity Manager Service für weitere Server 63 Anzeigen der Protokolldatei des One Identity Manager Service 66 Ändern des Benutzerkontos oder der Startart des One Identity Manager Service 67 Der One Identity Manager Service im Cluster 67 Registrieren des One Identity Manager Service im Cluster 68 Installieren und Konfigurieren des One Identity Manager Service im Cluster 69 Aktualisieren des One Identity Manager 71 Aktualisieren der One Identity Manager-Komponenten 72 Aktualisieren der One Identity Manager-Datenbank 73 Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard 74 Aktualisieren einer SQL Server® Datenbank 75 Aktualisieren eines Oracle Datenbankbenutzers 77 Verarbeiten der Datenbank während der Aktualisierung 79 Einspielen eines Hotfixes in die One Identity Manager-Datenbank 80 Inhalt eines Transportpaketes mit dem Database Transporter anzeigen 81 Importieren eines Transportpaketes mit dem Database Transporter 81 Importieren von Dateien mit dem Software Loader 82 Automatisches Aktualisieren des One Identity Manager 84 Grundlagen zur automatischen Aktualisierung 85 Inbetriebnahme der automatischen Softwareaktualisierung 87 Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 89 Installieren eines One Identity Manager Anwendungsservers 89 Aktualisieren eines One Identity Manager Anwendungsservers 93 Anzeigen des Status eines One Identity Manager Anwendungsservers 93 Deinstallieren eines One Identity Manager Anwendungsservers 94 Installieren, Konfigurieren und Warten des Web Portal 95 Installieren des Web Portal 95 Installieren des Web Portal über die Kommandozeilenkonsole 99 Deinstallieren des Web Portal 102 One Identity Manager 7.1.2 Installationshandbuch 4 Konfigurieren des Web Portal 103 Datenbankverbindung 103 Webprojekt 104 Log 105 Automatische Aktualisierung 106 Webeinstellungen 107 Cache 107 Debugger Service 107 Suchdienst 107 Warten des Web Portal 108 Runtime Monitoring 108 Sicherheit 109 Ansehen der Protokolldateien und Exceptions 109 Anwenden automatischer Aktualisierungen für das Web Portal 109 Wartungsmodus 110 Manuelle Aktualisierung 110 Überwachung mithilfe von Leistungsindikatoren 110 Installieren und Aktualisieren der Manager Webanwendung 112 Installieren der Manager Webanwendung 112 Aktualisieren der Manager Webanwendung 115 Deinstallieren der Manager Webanwendung 116 Anmelden an den One Identity Manager-Werkzeugen 117 Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer 118 Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung 122 Aktivieren weiterer One Identity Manager Authentifizierungsmodule 124 Aktivieren weiterer Anmeldesprachen 124 Fehlerbehebung 126 Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version 126 Behandlung von Fehlern und Warnungen während der Systemkompilierung 127 Prüfen der Datenkonsistenz 128 DBQueue Prozessor verarbeitet keine Aufträge 129 Meldung: Enter email address in configuration parameter 130 Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks while compiling database. 135 Anhang: One Identity Manager Authentifizierungsmodule 136 Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung 147 Anhang: Erweiterte Konfiguration der Manager Webanwendung 149 One Identity Manager 7.1.2 Installationshandbuch 5 Allgemein 149 Datenbankverbindung 150 Sicherheit 151 Debugging 152 Leistung 152 Dateidownload 153 ASP.Net Basiseinstellungen 154 Verzeichnisse 154 Applikationspool 154 Plugins 155 Load Balancing 156 Single Sign-On 157 Anhang: One Identity Manager Maschinenrollen und Installationspakete 158 Anhang: Einstellungen für eine neue SQL Server® Datenbank 160 Informationen zu Dell 161 Kontaktaufnahme zu Dell 161 Technische Supportressourcen 161 Index 162 One Identity Manager 7.1.2 Installationshandbuch 6 1 Über dieses Handbuch Dieses Handbuch beschreibt die Installation und erste Inbetriebnahme des One Identity Manager. Sie erhalten einen Überblick die Architektur des One Identity Manager und über die Funktionen der verschiedenen One Identity Manager-Werkzeuge. Sei erhalten Informationen darüber, welche Voraussetzungen Sie zur Installation des One Identity Manager benötigen, wie Sie die Komponenten des One Identity Manager einrichten, installieren und aktualisieren. Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren, Berater, Analysten und andere IT-Fachleute entwickelt. HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, die für den Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen stehen Ihnen eventuell nicht alle Funktionen zur Verfügung. One Identity Manager 7.1.2 Installationshandbuch Über dieses Handbuch 7 2 Überblick über den One Identity Manager One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können. Mit diesen Produkten können Sie: l l l Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directory® mit der Dell™ One Identity ManagerActive Directory® Edition umsetzen, Zugriffsentscheidungen für unstrukturierte Daten mit der Dell™ One Identity Manager Data Governance Edition vereinfachen, Access Governance Anforderungen in Ihrem gesamten Konzern plattformübergreifend mit dem Dell™ One Identity Manager verwirklichen. Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten. Editionen des One Identity Manager Der One Identity Manager ist in folgenden Editionen verfügbar. Tabelle 1: One Identity Manager Editionen Edition Beschreibung Dell™ One Identity Manager Die Edition enthält alle Management Module (IT Shop & Workflow, Delegation, Verwaltung von Systemrollen und Geschäftsrollen, Role Mining, Risikobewertung, Attestierung, Compliance, Unternehmensrichtlinien, Abonnements von Berichten) sowie den Unified Namespace und Konnektoren für Active Directory® . Dell™ One Identity Manager Active Directory® Edition Die Edition enthält alle erforderlichen Funktionen für die Active Directory® Unterstützung inklusive Konnektoren für Active Directory® , Attestierung, IT Shop & Workflow und Berichtsfunktionen. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 8 Edition Beschreibung Dell™ One Identity Manager Data Governance Edition Die Edition enthält alle erforderlichen Funktionen für die Data Governance Unterstützung inklusive Konnektoren für Active Directory® und SharePoint® , Risikobewertung, Attestierung, Compliance, Unternehmensrichtlinien, Delegierung, Abonnements von Berichten und den Data Governance Dienst. Architektur des One Identity Manager Abbildung 1: Überblick über die Komponenten des One Identity Manager Der One Identity Manager besteht aus folgenden Komponenten. Datenbank Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgaben der Datenhaltung und der Berechnung von Vererbungen. Vererbt werden können Eigenschaften von Objekten entlang von hierarchischen Strukturen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Bei der Datenhaltung bildet die Datenbank die zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur Compliance und Zugriffsberechtigungen ab. Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. Die Nutzdaten enthalten alle für die Datenpflege nötigen Informationen wie beispielsweise Informationen über Personen, Benutzerkonten, Gruppen, Mitgliedschaften und Betriebsdaten, Genehmigungsworkflows, Attestierungen, Rezertifizierungen und Complianceregeln. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 9 Die Metadaten enthalten die Beschreibung des Nutzdatenmodells sowie Skripte für Format- und Bildungsvorschriften oder bedingte Wechselwirkungen. Die komplette Systemkonfiguration des One Identity Managers, die gesamten Einstellungen zur Steuerung der Frontends und die Queues für asynchrone Verarbeitung der Daten und Prozesse sind ebenfalls Teil der Metadaten. Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst. Die Trigger stellen dazu Verarbeitungsaufträge in eine als "DBQueue" bezeichnete Auftragsliste ein. Der DBQueue Prozessor verarbeitet diese Aufträge und berechnet die Vererbungen der jeweiligen Datenbankobjekte neu. Eine als "JobQueue" bezeichnete Tabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschicht auszuführen sind. Als Datenbanksysteme kommen SQL Server® oder Oracle® Database zum Einsatz. Serverdienst Der One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannte Prozesse. Ein Prozess besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellen und über Vorgänger-NachfolgerBeziehungen miteinander verbunden sind. Dieses Funktionsprinzip erlaubt es, flexibel Aktionen und Abläufe an die Ereignisse von Objekten zu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess in der JobQueue übernimmt der Jobgenerator. Der Serverdienst „One Identity Manager Service“ sorgt für die Verbreitung der in der One Identity ManagerDatenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbank- und Dateiebene. Der One Identity Manager Service holt die Prozessschritte aus der JobQueue ab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One Identity Manager Service erzeugt dazu eine Instanz der benötigten Prozesskomponente und übergibt die Parameter des Prozessschrittes. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity Manager Service ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrere Instanzen von Prozesskomponenten erzeugen kann. Der One Identity Manager Service ist die einzige Komponente des One Identity Manager, die berechtigt ist, Änderungen in den Zielsystemen auszuführen. Anwendungsserver Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zur Verfügung und sorgt für eine sichere Verbindung zur Datenbank. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben. Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst die Objektschicht halten und direkt auf die Datenbankschicht zugreifen. In den Clients kommt in diesem Fall nur der Teil der Objektschicht zum Einsatz, der die Erfassungsprozesse abbildet. Webserver Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Applikation betrieben, die aus einer Renderengine für Webseiten besteht. Der Benutzer greift mittels eines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. Der Austausch zwischen Datenbank und Webserver kann über den Anwendungsserver oder direkt erfolgen. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 10 Frontends Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweise wird zur Konfiguration des One Identity Manager ein anderes Frontend verwendet als zur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschicht bestimmt. Als Frontends stehen sowohl Clients als auch eine browserbasierte Lösung zur Verfügung. Abbildung 2: Überblick über die Komponenten des One Identity Manager ohne Anwendungsserver Verwandte Themen l Werkzeuge des One Identity Manager auf Seite 11 l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? auf Seite 16 Werkzeuge des One Identity Manager Für unterschiedliche Aufgabenstellungen gibt es verschiedene Werkzeuge. Beispielsweise wird zur Konfiguration des One Identity Manager ein anderes Werkzeuge verwendet als zur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschicht bestimmt. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 11 Tabelle 2: Übersicht der One Identity Manager Werkzeuge Werkzeug Kurzbeschreibung Launchpad Das Launchpad ist das zentrale Werkzeug zum Starten der Administrationswerkzeuge und Konfigurationswerkzeuge des One Identity Manager. Mit dem Launchpad können Sie die vorhandene One Identity Manager Installation prüfen und die Werkzeuge des One Identity Manager zur Ausführung einzelner Aufgaben starten. Das Launchpad ist kundenspezifisch erweiterbar. Sie können im Designer eigene Menüeinträge und Aktionen für das Launchpad definieren. Web Portal Das Web Portal ist eine webbasierte Applikation für alle One Identity Manager Benutzer. Das Web Portal stellt die stringente Arbeitsabläufe in folgenden Bereichen bereit: l l Eigene Personenstammdaten und eigenes Kennwort ändern. Personenstammdaten für untergeordnete Mitarbeiter bearbeiten oder neu erfassen. l Produkte im IT Shop suchen, bestellen, abbestellen oder verlängern. l Eigene Rollen delegieren. l Zugewiesene Entscheidungen, Attestierungsvorgänge und Regelverletzungen bearbeiten. Im Infosystem erhalten Sie verschiedene Auswertungen, zum Beispiel über eigene Bestellvorgänge oder Attestierungsvorgänge, Mitarbeiterzahlen, Genehmigungen, Regelverletzungen oder den Unified Namespace. Das Web Portal benötigt einen Webserver. Der Benutzer greift mittels eines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. Nach der Konfiguration des Webservers und der Freigabe eines Webprojekts im Web Designer starten Sie das Web Portal in einem Webbrowser. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 12 Werkzeug Kurzbeschreibung Manager Der Manager ist das zentrale Administrationswerkzeug zur Einrichtung aller Informationen über Personen und ihre Identitäten. Es werden alle Informationen abgebildet und bearbeitet, die zur Verwaltung von Personen mit ihren Benutzerkonten, Berechtigungen und unternehmensspezifischen Rollen in einem One Identity Manager-Netzwerk erforderlich sind. Unternehmensressourcen, die die Mitarbeiter für ihre Arbeit benötigen, können erfasst und den Personen zugewiesen werden. Nutzen Sie den Manager außerdem, um l l l l unternehmensspezifische IT-Richtlinien zu definieren, einen IT Shop einzurichten, über den Unternehmensressourcen und Zuweisungen bestellt werden, spezielle Genehmigungsverfahren einzurichten, mit denen Bestellungen autorisiert und die Einhaltung der IT-Richtlinien überprüft werden, Attestierungsverfahren einzurichten, mit denen die Korrektheit der Informationen über Personen oder Rollen und ihre Zuweisungen regelmäßig attestiert werden. Durch den Einsatz von One Identity Manager Anwendungsrollen erhält jeder One Identity Manager Benutzer nur die Bearbeitungsrechte, die er zur Erfüllung seiner administrativen Aufgaben benötigt. Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Synchronization Editor Die Anbindung verschiedener Zielsysteme an den One Identity Manager wird mit dem Synchronization Editor realisiert. Mit diesem Werkzeug konfigurieren Sie die Synchronisation von Daten beliebiger Zielsysteme und legen fest, welche Daten der Zielsysteme in der One Identity Manager-Datenbank abgebildet werden. Dazu definieren Sie das Mapping der Objekteigenschaften und den Ablauf der Synchronisation als Workflow. Analyzer Mit dem Analyzer können Sie Datenkorrelationen in der Datenbank automatisch analysieren und erkennen. Diese Informationen können genutzt werden, um zum Beispiel direkte Berechtigungszuordnungen durch indirekte Zuordnungen zu ersetzen, und somit den Verwaltungsaufwand zu reduzieren. Job Queue Info Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der in einem One Identity Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der Aufträge in der JobQueue und stellt verschiedene Abfragen des One Identity Manager Service auf den Servern zur Verfügung. Das Werkzeug liefert Zustandsinformationen im laufenden Betrieb und ermöglicht eine schnelle Fehlererkennung und Fehlersuche. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 13 Werkzeug Kurzbeschreibung Configuration Wizard Der Configuration Wizard ist das Werkzeug mit dem die Datenbank auf einem SQL Server® bzw. einem Oracle® Database Datenbanksystem für die Verwendung in einem One Identity Manager-Netzwerk eingerichtet wird. Mit dem Configuration Wizard werden die benötigten Tabellen, Datentypen, Datenbankprozeduren des One Identity Manager Schemas in die Datenbank eingespielt. Die Datenbankrollen mit den Berechtigungen auf das One Identity Manager Schema werden angelegt. Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einen konsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zur Datenbank sichert. Werden Erweiterungen implementiert, die die Struktur verändern (zum Beispiel Tabellenerweiterungen), ist eine Migration der Datenbank erforderlich. Der Configuration Wizard führt diese Schemainstallation in Abhängigkeit vom aktuellen Stand des Schemas durch. Designer Der Designer ist das zentrale Werkzeug zur Konfiguration des One Identity Manager. Das Programm bietet einen Überblick über das gesamte Datenmodell des One Identity Manager. Es ermöglicht die Konfiguration globaler Systemeinstellungen, wie beispielsweise Sprachen oder Konfigurationsparametern sowie die Anpassung der Benutzeroberfläche der unterschiedlichen Administrationswerkzeuge. Mit dem Designer können Sie die Rechtestruktur für die verschiedenen administrativen Aufgaben der einzelnen Anwender und Anwendergruppen festlegen. Eine weitere zentrale Aufgabe ist die Definition von Arbeitsabläufen zur technischen Abbildung der Administrationsprozesse in einem Unternehmen. Der Designer stellt für die Systemkonfiguration des One Identity Manager verschiedene Editoren zur Verfügung. Funktionsumfang und Arbeitsweise der Editoren sind abgestimmt auf die unterschiedlichen Konfigurationsanforderungen. Web Designer Der Web Designer ist das Werkzeug zur Konfiguration und Erweiterung des Web Portals. Er stellt Funktionen zur Verfügung, mit denen die Arbeitsabläufe des Web Portals angepasst und neue Arbeitsabläufe entwickelt werden. Data Import Mit dem Programm „Data Import“ bietet der One Identity Manager einen einfache Möglichkeit für den Datenimport aus anderen Systemen. Nutzen Sie das Programm, um Daten betrieblicher Ressourcen aus externen Quellen in Ihre Datenbank zu importieren. Das Programm unterstützt Importe aus Dateien und direkte Importe aus anderen Datenbanksystemen. Datenimporte können sofort ausgeführt werden. Zusätzlich werden Importskripte erzeugt, mit denen Datenimporte über kundenspezifische Prozesse ausführbar sind. Die Importdefinition wird gespeichert und kann bei weiteren Datenimporten genutzt werden. Crypto Configuration Unter Umständen ist es notwendig, Informationen verschlüsselt in der Datenbank abzulegen. Die Verschlüsselung erfolgt mit dem Programm „Crypto Configuration“. Das Programm erzeugt eine Schlüsseldatei und konvertiert die Inhalte der betroffenen Datenbankspalten. Die Schlüsselinformationen werden in der Datenbank abgelegt. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 14 Werkzeug Kurzbeschreibung Database Compiler Nach Änderungen von Konfigurationsdaten müssen Sie die One Identity ManagerDatenbank kompilieren. Nach dem Import eines Migrationspaketes oder eines kompletten Kundenkonfigurationspaketes wird die Kompilierung der Datenbank aus dem Configuration Wizard oder dem Database Transporter heraus sofort gestartet. Nach dem Import von Hotfixpaketen oder eingeschränkten Kundenkonfigurationspaketen sowie nach Änderungen von Prozessen, Skripten, Bildungsvorschriften, Objektdefinitionen, Methodendefinitionen und präprozessorrelevanten Konfigurationsparametern wird der Database Compiler zur Kompilierung der One Identity Manager-Datenbank eingesetzt. Report Editor Mit dem Report Editor können Sie Informationen über die One Identity Manager-Objekte in Reporten zusammenzustellen. Sie können diese Daten gruppieren, aggregieren und grafisch darstellen. Bei der Migration werden bereits von uns definierte Reporte mitgeliefert. Mit dem Report Editor können Sie aber auch eigene Reporte erstellen. Schema Extension Schema Extension wird zur Erweiterung des bestehenden Anwendungsdatenmodells einer One Identity Manager-Datenbank um kundenspezifische Tabellen und Spalten eingesetzt. Mit der im One Identity Manager verwendeten Objekttechnologie ist es möglich, das Anwendungsdatenmodell kundenspezifisch um Spalten und Tabellen auf Datenbankebene zu erweitern, sodass diese Erweiterungen auf der Objektebene mit allen Funktionen verfügbar sind. System Debugger Mit dem System Debugger können Sie Skripte erstellen, starten und debuggen. Die in Ihrer One Identity Manager-Datenbank vorhandenen Skripte werden in eine Visual Studio® Skriptbibliothek importiert. Dort können Sie die Skripte lokal bearbeiten und testen. Anschließend entscheiden Sie, ob Ihre Änderungen in die One Identity Manager-Datenbank übernommen werden sollen. Database Transporter Der Database Transporter wird eingesetzt, um Objekte und kundenspezifische Anpassungen sowie kundenspezifische Datenbankprozeduren, Trigger, Funktionen und Views aus einer One Identity Manager-Datenbank (Quellsystem) in eine andere One Identity Manager-Datenbank (Zielsystem) zu transportieren. HistoryDB Manager Historische Daten der One Identity Manager-Datenbank werden in zyklischen Abständen in eine History-Datenbank übertragen. Diese History-Datenbank stellt somit das Veränderungsarchiv dar. Der HistoryDB Manager ist das Werkzeug zur Anzeige der Daten der History-Datenbank. Nutzen Sie den HistoryDB Manager um den Zugriff auf die Quelldatenbanken einzurichten. Job Service Configuration Job Service Configuration ist das Werkzeug mit dem die Konfigurationsdatei für den One Identity Manager Service erstellt und angepasst wird. Mit dieser Datei werden der One Identity Manager Service selbst und seine Plugins konfiguriert. Die Konfigurationsdatei ist sowohl für den One Identity Manager Service auf einem Windows® Betriebssystem als auch für den Linux®-Deamon notwendig. License Meter Mit dem Assistenten „License Meter“ führen Sie eine Lizenzvermessung Ihrer One Identity Manager-Datenbank durch. Der Assistent erstellt einen Bericht mit den Lizenz-relevanten Informationen. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 15 Werkzeug Kurzbeschreibung Software Loader Mit dem Software Loader werden neue oder geänderte Dateien, beispielsweise kundenspezifische Formulararchive, in die One Identity Manager-Datenbank geladen um diese über die Mechanismen der automatischen Softwareaktualisierung an die Arbeitsstationen und Jobserver eines One Identity Manager-Netzwerkes zu verteilen. Server Installer Mit dem Server Installer können Sie den One Identity Manager Service installieren und konfigurieren. Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Verwandte Themen l Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? auf Seite 16 Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? Der nachfolgenden Liste entnehmen Sie, welche der Komponenten des One Identity Manager gegen einen Anwendungsserver arbeiten können. Einige Frontends arbeiten nur mit eingeschränkter Funktionalität gegen einen Anwendungsserver. Tabelle 3: One Identity Manager Komponenten und Anwendungsserver Komponente Verbindung über Anwendungsserver möglich? Einschränkungen Launchpad Ja Einige der Anwendungen, die aus dem Launchpad gestartet werden, benötigen eine direkte Verbindung zur Datenbank. Web Portal Ja Manager Ja Die Konsistenzprüfung wird nicht unterstützt. Die Simulation der Complianceregeln wird nicht unterstützt. Einige Formulare werden nicht unterstützt. Manager Ja Webanwendung Synchronization Editor Ja Analyzer Ja Job Queue Info Nein Configuration Wizard Nein Einige Formulare werden nicht unterstützt. One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 16 Komponente Verbindung über Anwendungsserver möglich? Einschränkungen Designer Ja Die Konsistenzprüfung wird nicht unterstützt. Die Simulation von Prozessen wird nicht unterstützt. Das Kompilieren der Datenbank wird nicht unterstützt. Web Designer Ja Data Import Ja Crypto Configuration Nein Database Compiler Nein Report Editor Ja Schema Extension Nein System Debugger Ja Database Transporter Nein HistoryDB Manager Ja License Meter Ja Software Loader Ja Testen von SQL Abfragen wird nicht unterstützt. SPML Nein Webanwendung SOAP Web Service Nein One Identity Manager Service Nein Server Installer Ja One Identity Manager 7.1.2 Installationshandbuch Überblick über den One Identity Manager 17 3 Installationsvoraussetzungen Die nachfolgend beschriebenen Installationsvoraussetzungen stellen lediglich Mindestanforderungen zur Inbetriebnahme und uneingeschränkten Nutzung des One Identity Manager dar. Abhängig von der Projektgröße und den unterstützten Geschäftsprozessen und Geschäftsvorfällen können diese Voraussetzungen als Ansatzpunkt für weitere Planungen verwendet werden. Die Ermittlung und gegebenenfalls Weiterentwicklung von Hardwarekapazitäten ist Bestandteil der Projektplanung und abhängig von der Spezifikation des Identity Management Projektes. Besonderes Augenmerk muss auf I/O Performance (in Durchsatz und Latenz) gelegt werden, insbesondere in SAN Umgebungen empfiehlt sich eine gezielte Leistungsanalyse der konkreten Infrastruktur vor dem Einsatz. Jede One Identity Manager Installation kann virtualisiert werden. Stellen Sie sicher, dass der jeweiligen One Identity Manager-Komponente die laut Systemanforderung spezifizierte Leistung und Ressourcen zur Verfügung stehen. Idealerweise sollten Ressourcenzuordnungen für den Datenbankserver statisch festgesetzt werden. Die Virtualisierung einer One Identity Manager Installation sollte von Experten mit einem fundierten Wissen über Virtualisierungstechniken vorgenommen werden. Weitere Informationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für den Produkt-Support. HINWEIS: Sollten für den Einsatz einzelner One Identity Manager-Module zusätzliche Systemanforderungen und Berechtigungen erforderlich sein, so werden diese in den entsprechenden Handbüchern aufgeführt. Detaillierte Informationen zum Thema l Minimale Systemanforderungen für den Datenbankserver auf Seite 19 l Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank auf Seite 20 l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 21 l Minimale Systemanforderungen für die administrative Arbeitsstation auf Seite 23 l Minimale Systemanforderungen für den Dienstserver auf Seite 24 l Minimale Systemanforderungen für den Webserver auf Seite 26 l Minimale Systemanforderungen für den Anwendungsserver auf Seite 28 l Benutzer und Berechtigungen für den One Identity Manager auf Seite 29 l Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31 l Berechtigungen für Oracle Datenbankbenutzer auf Seite 33 l Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 34 l Kommunikationsports und Firewall Konfiguration auf Seite 35 One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 18 Minimale Systemanforderungen für den Datenbankserver One Identity Manager unterstützt folgende Datenbanksysteme: l SQL Server® l Oracle® Database Für die Installation der Datenbank sind auf einem Server folgende Systemvoraussetzungen zu gewährleisten. Tabelle 4: Minimale Systemanforderungen - Datenbankserver Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung HINWEIS: Aus Performancegründen wird der Einsatz von 16 physischen Kernen empfohlen. Arbeitsspeicher 16 GB+ RAM Freier Festplattenspeicher 100 GB Betriebssystem Windows® Betriebssysteme Unterstützt werden die Versionen: l Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2 l Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1 l Windows Server® 2012 l Windows Server® 2012 R2 l Windows Server® 2016 UNIX® und Linux® Betriebssysteme l Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für Oracle Datenbanken. HINWEIS: In virtuellen Umgebungen muss gesichert sein, dass der VM-Host dem Datenbankserver die laut Systemanforderung spezifizierte Leistung und Ressourcen zur Verfügung stellt. Idealerweise sollten Ressourcenzuordnungen für den Datenbankserver statisch festgesetzt werden. Des Weiteren ist eine optimale I/O Performance insbesondere für den Datenbankserver zwingend erforderlich. Weitere Informationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für den Produkt-Support. Verwandte Themen l Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank auf Seite 20 l Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 21 l Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31 l Berechtigungen für Oracle Datenbankbenutzer auf Seite 33 One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 19 Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank Wenn Sie eine SQL Server® Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit, der die folgenden Mindestanforderungen erfüllt. Tabelle 5: Systemanforderungen bei Einsatz einer SQL Server® Datenbank Software l SQL Server® Unterstützt werden die Versionen: l SQL Server® 2012 Standard Edition, Service Pack 1 oder höher l SQL Server® 2014 Standard Edition, Service Pack 1 oder höher l SQL Server® 2016 Standard Edition, Service Pack 1 oder höher HINWEIS: Aus Performancegründen wird dringend der Einsatz von SQL Server® 2016 in der Enterprise Edition empfohlen. l Kompatibilitätsgrad für Datenbanken StandardSortierschema SQL Server® Management Studio (empfohlen) SQL Server 2012 (110) l Case-Insensitiv l Empfehlung: SQL_Latin1_General_CP1_CI_AS HINWEIS: Das Sortierschema "SQL_Latin1_General_CP1_CI_AS" wird bei der Installation des One Identity Manager Schemas erwartet und gegebenenfalls für die Datenbank eingestellt. Standardsprache für Benutzer des Datenbankservers English Sprache für Datenbankbenutzer English Zusätzliche Anforderungen Starten Sie den SQL Server Agent in der Dienstverwaltung des SQL Server®. Sie können sich am SQL Server Agent sowohl mit einem Domänen-Benutzerkonto (Domain User) mit Windows® Authentifizierung anmelden als auch mit einem lokalen Systemkonto. HINWEIS: Es kann zu einer schlechten Performance bei der Verwendung von Tabellenvariablen kommen. Hierzu gibt es einen Fix von Microsoft. Dazu muss zusätzlich das Ablaufverfolgungsflag 2453 gesetzt werden. Sie können dazu in den Serverstartoptionen den Startparameter -T2453 setzen. Weitere Informationen finden Sie unter https://support.microsoft.com/en-us/kb/2952444 und https://msdn.microsoft.com/en-us/library/ms345416%28v=sql.110%29.aspx. Verwandte Themen l Minimale Systemanforderungen für den Datenbankserver auf Seite 19 l Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31 One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 20 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank Wenn Sie eine Oracle Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit, der folgende Mindestanforderungen erfüllt. HINWEIS: Um die einwandfreie Funktion des One Identity Manager sicherzustellen, wird ein Datenbankserver erwartet, dessen Konfigurationseinstellungen einer Standardinstallation entsprechen. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 21 Tabelle 6: Systemanforderungen bei Einsatz einer Oracle Datenbank Software l Oracle® Database Unterstützt werden die Versionen: l Oracle® Database 12c Standard Edition oder Enterprise Edition ab Version 12.1.0.2 HINWEIS: Ersetzen Sie diesen Text durch die Beschreibung einer Eigenschaft, die hervorgehoben werden soll. HINWEIS: Oracle® Database Version 12.2 oder neuer wird nicht unterstützt. Das Patch Level unterscheidet sich je nach Systemplattform. HINWEIS: Es wird dringend empfohlen die Patches für die Oracle Bugs 18097476 (Doc ID 1683819.1) und 19497286 (Doc ID 19497286.8) anzuwenden. l Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32Bit-Version benötigt. HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity Manager nur unter Windows® Betriebssystemen unterstützt. HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen Oracle Datenbankkonfigurationen, die entweder l eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_ name“ in der clientseitige tnsnames.ora oder l zusätzliche Einträge in der clientseitigen sqlnet.ora erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. Zeichensatz Unicode (AL32UTF8) und Option „Oracle Text“ Parameter NLS_LENGHT_SEMANTICS mit dem Wert "CHAR" Tablespace Es muss ein initialer Tablespace eingerichtet sein. Der Tablespace muss mindestens eine Block-Size von 8 kByte haben. HINWEIS: Bei Einsatz vom Systemen mit mehreren Knoten (beispielsweise Clustern) müssen alle Knoten den gleichen Versionsstand (Patch Level) haben. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 22 Verwandte Themen l Minimale Systemanforderungen für den Datenbankserver auf Seite 19 l Berechtigungen für Oracle Datenbankbenutzer auf Seite 33 Minimale Systemanforderungen für die administrative Arbeitsstation Zur Darstellung und Bearbeitung von Daten werden die Administrationswerkzeuge und Konfigurationswerkzeuge des One Identity Manager auf einer administrativen Arbeitsstation installiert. Zur Installation der Werkzeuge sind auf der administrativen Arbeitsstation die folgenden Systemvoraussetzungen zu gewährleisten. Tabelle 7: Minimale Systemanforderungen - Administrative Arbeitsstation Prozessor 4 physische Kerne mit 2 GHz+ Taktung Arbeitsspeicher 4 GB+ RAM Freier Festplattenspeicher 1 GB Betriebssystem Windows® Betriebssysteme Unterstützt werden die Versionen: l l Zusätzliche Software Unterstützte Browserversionen Windows® Vista mit dem aktuellen Service Pack Windows® 7 (32 bit oder nicht-Itanium 64 bit) mit dem aktuellen Service Pack l Windows® 8 (32 bit oder 64 bit) mit dem aktuellen Service Pack l Windows® 8.1 (32 bit oder 64 bit) mit dem aktuellen Service Pack l Windows® 10 (32 bit oder 64 bit) mindestens Version 1511 l Microsoft® .NET Framework Version 4.5.2 oder 4.6.1 l Windows® Installer l Internet Explorer 10.0 oder höher l Firefox® (Release Channel) l Chrome™ (Release Channel) l Microsoft® Edge (Release Channel) One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 23 Tabelle 8: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank Zusätzliche Software Windows® Betriebssysteme l Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32Bit-Version benötigt. HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity Manager nur unter Windows® Betriebssystemen unterstützt. HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen Oracle Datenbankkonfigurationen, die entweder l eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_ name“ in der clientseitige tnsnames.ora oder l zusätzliche Einträge in der clientseitigen sqlnet.ora erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. Minimale Systemanforderungen für den Dienstserver Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der One Identity ManagerDatenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbankebene und Dateiebene. Zur Installation des One Identity Manager Service sind auf einem Server folgende Systemvoraussetzungen zu gewährleisten. Tabelle 9: Minimale Systemanforderungen - Dienstserver Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung Arbeitsspeicher 16 GB RAM Freier Festplattenspeicher 40 GB One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 24 Betriebssystem Windows® Betriebssysteme Unterstützt werden die Versionen: l Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2 l Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1 l Windows Server® 2012 l Windows Server® 2012 R2 l Windows Server® 2016 Linux® Betriebssysteme l Zusätzliche Software Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird oder Docker Images, die vom Mono® Projekt bereitgestellt werden. Windows® Betriebssysteme l Microsoft® .NET Framework Version 4.5.2 oder 4.6.1 l Windows® Installer Linux® Betriebssysteme l Mono® 4.6 oder höher One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 25 Tabelle 10: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank Zusätzliche Software Windows® Betriebssysteme l Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt. HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity Manager nur unter Windows® Betriebssystemen unterstützt. HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen Oracle Datenbankkonfigurationen, die entweder l eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_ name“ in der clientseitige tnsnames.ora oder l zusätzliche Einträge in der clientseitigen sqlnet.ora erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. Linux® Betriebssysteme l Bei Verwendung eines Oracle Datenbanksystem ist der direkte Zugriff auf die Datenbank per TCP/IP erforderlich. Eine Verbindung zu Oracle® Real Application Clusters wird unter Linux® Betriebssystemen nicht unterstützt. Verwandte Themen l Benutzer und Berechtigungen für den One Identity Manager auf Seite 29 Minimale Systemanforderungen für den Webserver Zur Installation des Web Portals sind auf einem Webserver folgende Systemvoraussetzungen zu gewährleisten. Tabelle 11: Systemanforderungen - Webserver Prozessor 4 physische Kerne mit 1.65 GHz+Taktung Arbeitsspeicher 4 GB RAM One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 26 Freier Festplattenspeicher 40 GB Betriebssystem Windows® Betriebssysteme Unterstützt werden die Versionen: l Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2 l Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1 l Windows Server® 2012 l Windows Server® 2012 R2 l Windows Server® 2016 Linux® Betriebssysteme l Zusätzliche Software Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird oder Docker Images, die vom Mono® Projekt bereitgestellt werden. Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für Apache HTTP Server™. Windows® Betriebssystem l Microsoft® .NET Framework Version 4.5.2 oder 4.6.1 l Windows® Installer l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2 und den Role Services: l Web Server > Common HTTP Features > Static Content l Web Server > Common HTTP Features > Default Document l Web Server > Application Development > ASP.NET l Web Server > Application Development > .NET Extensibility l Web Server > Application Development > ISAPI Extensions l Web Server > Application Development > ISAPI Filters l Web Server > Security > Basic Authentication l Web Server > Security > Windows Authentication l Web Server > Performance > Static Content Compression l Web Server > Performance > Dynamic Content Compression Linux® Betriebssysteme l NTP - Client l Mono® 4.6 oder höher l Apache HTTP Server™ 2.0 oder 2.2 mit folgenden Modulen: l mod_mono l rewrite l ssl (optional) One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 27 Minimale Systemanforderungen für den Anwendungsserver Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung und hält die Geschäftslogik. Zur Installation des One Identity Manager auf einem Anwendungsserver sind die folgenden Systemvoraussetzungen zu gewährleisten. Tabelle 12: Systemanforderungen - Anwendungsserver Prozessor 8 physische Kerne mit 2.5 GHz+ Taktung Arbeitsspeicher 8 GB RAM Freier Festplattenspeicher 40 GB Betriebssystem Windows® Betriebssysteme Unterstützt werden die Versionen: l Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2 l Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1 l Windows Server® 2012 l Windows Server® 2012 R2 l Windows Server® 2016 Linux® Betriebssysteme l Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird oder Docker Images, die vom Mono® Projekt bereitgestellt werden. Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für Apache HTTP Server™. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 28 Zusätzliche Software Windows® Betriebssystem l Microsoft® .NET Framework Version 4.5.2 oder 4.6.1 l Windows® Installer l Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2 und den Role Services: l Web Server > Common HTTP Features > Static Content l Web Server > Common HTTP Features > Default Document l Web Server > Application Development > ASP.NET l Web Server > Application Development > .NET Extensibility l Web Server > Application Development > ISAPI Extensions l Web Server > Application Development > ISAPI Filters l Web Server > Security > Basic Authentication l Web Server > Security > Windows Authentication l Web Server > Performance > Static Content Compression l Web Server > Performance > Dynamic Content Compression Linux® Betriebssysteme l NTP - Client l Mono® 4.6 oder höher l Apache HTTP Server™ 2.0 oder 2.2 mit folgenden Modulen: l mod_mono l rewrite l ssl (optional) Benutzer und Berechtigungen für den One Identity Manager Tabelle 13: Benutzer für den One Identity Manager Benutzer Berechtigungen Datenbankbenutzer zur Installation des One Identity Manager SQL Server®: Weitere Informationen finden Sie unter Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 33. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 29 Benutzer Berechtigungen Datenbankbenutzer für den laufenden Betrieb des One Identity Manager SQL Server®: Weitere Informationen finden Sie unter Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 33. Datenbankbenutzer für Endbenutzer SQL Server®: Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der Datenbankrolle „basegroup“ sein. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 33. Benutzer zur Anmeldung am One Identity Manager Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechte auf Ressourcen der Datenbank. Weitere Informationen finden Sie unter Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 30 Benutzer Berechtigungen Benutzerkonto für den One Identity Manager Service Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und Dateien anlegen und bearbeiten). Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören. Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log on as a service). Das Benutzerkonto benötigt Rechte für den internen Webservice. HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben: netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE" Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis. In der Standardinstallation wird der One Identity Manager installiert unter: l %ProgramFiles(x86)%\Dell (auf 32-Bit Betriebssystemen) l %ProgramFiles%\Dell (auf 64-Bit Betriebssystemen) HINWEIS: Für die Synchronisation des One Identity Manager mit den einzelnen Zielsystemen können weitere zielsystemspezifische Berechtigungen erforderlich sein. Diese Berechtigungen werden in den entsprechenden Handbüchern erläutert. Weitere Informationen finden Sie unter Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 34. Berechtigungen für SQL Server® Datenbankbenutzer HINWEIS: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen. Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypen unterschieden werden: l Endbenutzer Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der Datenbankrolle „basegroup“ sein. l Administrative Benutzer Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen. Hierbei kann zwischen Berechtigungen für die Installation und Berechtigungen für den laufenden Betrieb unterschieden werden. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 31 Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden folgende Berechtigungen benötigt. Tabelle 14: Berechtigungen für Datenbankbenutzer unter SQL Server® Berechtigung Für Datenbank Benötigt für Installation Benötigt für laufenden Betrieb Benötigt für Serverrolle „dbcreator“* x - Erzeugen der Datenbank. Serverrolle „processadmin“ - x Aktivität von Verbindungen prüfen und gegebenenfalls schließen der Verbindung. Datenbankrolle „db_ owner“ One Identity Manager x x Erzeugen der Datenbank. Betreiben der Datenbank. Datenbankrolle „basegroup“** One Identity Manager - x Interne Berechtigungsrolle für Datenbankobjekte. Berechtigung „Execute“ Master x x Starten des SQL Server Agent. Datenbankrolle „SQLAgentUserRole“ msdb - x Ausführen von Datenbankschedules. Datenbankrolle „db_ Datareader“ msdb - x Lesen und Ändern von Datenbankschedules. Datenbankrolle msdb „SQLAgentOperatorRole“ x x Definieren von Datenbankschedules. Berechtigung „Connect“ x x Prüfen, ob Einzelbenutzermodus während der Verbindung erforderlich ist. tempdb *) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den Configuration Wizard erstellt wird. **) Die Datenbankrolle „basegroup“ wird während der initialen Schemainstallation der One Identity ManagerDatenbank standardmäßig angelegt. HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migration der Datenbank gewechselt, dann muss der neue Datenbankbenutzer nachträglich als Eigentümer der Datenbankschedules eingetragen werden. Ansonsten kommt es zu Fehlermeldungen bei der Ausführung der Datenbankschedules. Hinweise zur Nutzung der integrierten Windows® Authentifizierung Die integrierte Windows® Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows® Gruppen zur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server® Anmeldung empfohlen. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 32 Um die integrierte Windows® Authentifizierung einzusetzen l Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server® Anmeldung ein. l Tragen Sie als Standardschema „dbo“ ein. l Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. Weitere Informationen finden Sie unter Tabelle 14 auf Seite 32. Berechtigungen für Oracle Datenbankbenutzer Für die Nutzung der Datenbank sollte ein eigener Datenbankbenutzer eingerichtet werden. Den Datenbankbenutzer können Sie über den Configuration Wizard erzeugen oder manuell erstellen. HINWEIS: Die verwendeten Datenbankbenutzer müssen die Berechtigungen direkt erhalten. Bei der Zuweisung von Berechtigungen über Datenbankrollen kann es bei der Ausführung von Datenbankabfragen, aufgrund von Berechtigungseinschränkungen, zu Oracle Fehlermeldungen kommen. Berechtigungen für Oracle® Database Installationen Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden für Oracle® Database Installationen die folgenden Berechtigungen benötigt. Tabelle 15: Berechtigungen für Datenbankbenutzer Berechtigung Benötigt Für GRANT ALTER SESSION TO <user> Einstellungen der eigenen Benutzersitzung ändern. GRANT ANALYZE ANY TO <user> Die Berechtigung wird zum Ausführen der Prozedur DBMS_STATS.FLUSH_DATABASE_ MONITORING_INFO während der Statistikberechnungen verwendet. Sollen keine Statistiken ermittelt werden, kann auf diese Berechtigung verzichtet werden. GRANT CONNECT TO <user> Datenbank verbinden. GRANT CREATE JOB TO <user> Datenbankschedules erzeugen. GRANT CREATE PROCEDURE TO <user> Schemaobjekte erzeugen. GRANT CREATE SEQUENCE TO <user> Schemaobjekte erzeugen. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 33 Berechtigung Benötigt Für GRANT CREATE SYNONYM TO <user> Schemaobjekte erzeugen. GRANT CREATE TABLE TO <user> Schemaobjekte erzeugen. GRANT CREATE TRIGGER TO <user> Schemaobjekte erzeugen. GRANT CREATE Schemaobjekte erzeugen. TYPE TO <user> GRANT CREATE VIEW TO <user> Schemaobjekte erzeugen. GRANT EXCEUTE ON DBMS_PIPE TO <user> Kommunikation der einzelnen Verarbeitungsschritte mit der Hauptroutine des DBQueue Prozessor im Parallelbetrieb. GRANT EXECUTE ON DBMS_CRYPTO TO <user> Zugriff auf Paket für allgemeine Verschlüsselungsroutinen. GRANT EXECUTE ON DBMS_LOCK TO <user> Nutzung der Sleep-Methode bei der Weiterschaltung der Verarbeitung im DBQueue Prozessor, zum Beispiel zum Warten auf Beenden einzelner Verarbeitungsschritte. GRANT SELECT ON GV_ $OSSTAT TO <user> Informationen zu aktuellen Serverversion auslesen. GRANT SELECT ON GV_ $SESSION TO <user> Informationen der aktuellen Sitzungen auslesen. Diese Berechtigung wird unter anderem dazu benötigt, die Datenbank in der Einzelbenutzermodus zu schalten. Einrichten der Berechtigung zum Erstellen eines HTTP Server Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTP Server erfolgen (http://<Servername>:<Portnummer>). One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 34 Damit ein Benutzer einen HTTP-Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann über folgenden Kommandozeilenaufruf erfolgen: netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername> Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so müssen explizit Rechte für den internen Webservice vergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen: netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE" Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüft werden: netsh http show urlacl Kommunikationsports und Firewall Konfiguration Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenen Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie verschiedene Ports öffnen. Die folgenden Basisports werden benötigt. Tabelle 16: Kommunikationsports Standardport Beschreibung SQL Server®: 1433 Port zur Kommunikation mit der Datenbank. Oracle: 1521 1880 Port für das HTTP- basierte Protokoll des One Identity Manager Service. 2880 Port für die Zugriffstests innerhalb des Synchronization Editor. 80 Port für den Zugriff auf die Webanwendungen. 88 Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierung eingesetzt wird). 135 Microsoft EPMAP (End Point Mapper) (auch DCE/RPC Locator Service) 137 NetBIOS Name Service 139 NetBIOS Session Service Für die Verbindung zu den Zielsystemen können weitere Ports erforderlich sein. Diese Ports werden in den entsprechenden Handbüchern aufgeführt. One Identity Manager 7.1.2 Installationshandbuch Installationsvoraussetzungen 35 4 Installieren des One Identity Manager Um den One Identity Manager zu installieren, sind folgende Schritte erforderlich. 1. Installieren der One Identity Manager-Komponenten auf der administrativen Arbeitsstation, auf welcher die Schemainstallation der One Identity Manager-Datenbank gestartet wird. 2. Installieren des One Identity Manager Schemas mit dem Configuration Wizard. 3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf die Datenbank. Dieser Schritt wird während der Schemainstallation durch den Configuration Wizard ausgeführt. Zusätzlich können folgende Installationen ausgeführt werden. l Installieren weiterer Arbeitsstationen. l Installieren weiterer Server mit One Identity Manager Service. l Installieren eines Anwendungsservers. l Installieren des Web Portals auf einem Webserver. l Installieren der Manager Webanwendung auf einem Webserver. l Installieren weiterer Webservices wie SPML Webservice oder SOAP Web Service. Den One Identity Manager können Sie auf folgende Arten installieren und aktualisieren. l l l l Die Erstinstallation der One Identity Manager-Komponenten auf den Arbeitsstationen nehmen Sie mit dem Installationsassistenten vor. Die Erstinstallation des One Identity Manager Service auf den Servern nehmen Sie mit dem Installationsassistenten oder remote mit dem Server Installer vor. Zur Aktualisierung vorhandener Installationen setzen Sie die automatische Softwareaktualisierung ein. Für die manuelle Aktualisierung einzelner Arbeitsstationen und einzelner Server nutzen Sie den Installationsassistenten. Ausführliche Informationen zur Aktualisierung des One Identity Manager finden Sie unter Aktualisieren des One Identity Manager auf Seite 71. Detaillierte Informationen zum Thema l Bevor Sie die Installation des One Identity Manager starten auf Seite 37 l Installieren der One Identity Manager-Komponenten auf Seite 37 l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 41 l Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 63 One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 36 l Installieren eines One Identity Manager Anwendungsservers auf Seite 89 l Installieren des Web Portal auf Seite 95 l Installieren und Aktualisieren der Manager Webanwendung auf Seite 112 Bevor Sie die Installation des One Identity Manager starten l l Stellen Sie vor der Installation des One Identity Manager sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf den Arbeitsstationen und den Servern gewährleistet sind. Beenden Sie alle Programm- und Dienstkomponenten, da sonst die Installation nicht beginnen kann. HINWEIS: Für die Aktualisierung von One Identity Manager Version 6.x auf One Identity Manager Version 7.0 wird ein separates Upgrade Package zur Verfügung gestellt. Entsprechende Anfragen richten Sie an den Support. Das Support Portal ist unter https://support.quest.com/ erreichbar. Detaillierte Informationen zum Thema l Installationsvoraussetzungen auf Seite 18 l Installieren des One Identity Manager auf Seite 36 l Aktualisieren des One Identity Manager auf Seite 71 Installieren der One Identity ManagerKomponenten Bei der Installation der One Identity Manager-Komponenten auf Arbeitsstationen und Servern werden Sie durch einen Installationsassistenten unterstützt. HINWEIS: Starten Sie die Installation der Administrationswerkzeuge und Konfigurationswerkzeuge nach Möglichkeit immer auf einer administrativen Arbeitsstation. Um die One Identity Manager Komponenten zu installieren 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie Installieren. 3. Der Installationsassistent wird gestartet. Auf der Startseite wählen Sie die Sprache für den Installationsassistenten und klicken Sie Weiter. 4. Bestätigen Sie die Lizenzbedingungen. 5. Auf der Seite Einstellungen für die Installation legen Sie die Daten zur Installationsquelle und Installationsziel fest. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 37 l l Wählen Sie unter Installationsquelle das Verzeichnis mit den Installationsdateien. Wählen Sie unter Installationsverzeichnis das Verzeichnis, in das die Dateien des One Identity Manager installiert werden sollen. HINWEIS: Um weitere Konfigurationseinstellungen vorzunehmen, klicken Sie auf die Pfeil Schaltfläche neben dem Eingabefeld. Hier können Sie festlegen, ob die Installation auf einem 64 Bit- Betriebssystem oder auf einem 32 Bit-Betriebssystem erfolgt. Für eine Standardinstallation nehmen Sie keine weiteren Konfigurationseinstellungen vor. l Wenn die Installationsinformationen über die vorhandene One Identity ManagerDatenbank geladen werden sollen, aktivieren Sie die Option Installationsmodule mit der Datenbank auswählen. HINWEIS: Für Installation der Arbeitsstation, auf der Sie die Installation des One Identity Manager Schemas starten, lassen Sie die Option deaktiviert. l l Um zusätzliche One Identity Manager Module zur gewählten Edition hinzuzufügen, aktivieren Sie die Option Weitere Module zur gewählten Edition hinzufügen. Klicken Sie Weiter. 6. Auf der Seite Modulauswahl wählen Sie die zusätzlich zu installierenden Module und klicken Sie Weiter. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module zur gewählten Edition hinzufügen aktiviert haben. 7. Auf der Seite Datenbank verbinden erfassen Sie die Informationen zur Datenbankverbindung. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Installationsmodule mit der Datenbank auswählen aktiviert haben. a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Verbindung. - ODER Klicken Sie auf Neue Verbindung erstellen, wählen Sie den Systemtyp und erfassen Sie die Verbindungsdaten. Tabelle 17: Verbindungsdaten zur SQL Server® Datenbank Eingabe Beschreibung Server Datenbankserver. Windows Angabe, ob integrierte Windows® Authentifizierung verwendet wird. Authentifizierung Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows® Authentifizierung unterstützt. Nutzer Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenbank Datenbank. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 38 Tabelle 18: Verbindungsdaten zur Oracle Datenbank Eingabe Beschreibung Direktzugriff (ohne Oracle Client) Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Datenbankserver. Port Port der Oracle Instanz. Service Name Service Name. Benutzer Oracle Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenquelle TNS Alias Name aus der TNSNames.ora. b. Wählen Sie im Bereich "Authentifizierungsverfahren" das Authentifizierungsmodul und geben Sie die Anmeldedaten für die Systembenutzerkennung ein. Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul. c. Klicken Sie Weiter. 8. Auf der Seite Maschinenrolle zuordnen legen Sie die Maschinenrollen fest und klicken Sie Weiter. HINWEIS: Die zu den One Identity Manager Modulen passenden Maschinenrollen sind aktiviert. Bei Auswahl einer Maschinenrolle werden alle untergeordneten Maschinenrollen mit ausgewählt. Sie können einzelne Maschinenrollen abwählen. 9. Auf der letzten Seite des Installationsassistenten können Sie verschiedene Programme für die weitere Installation starten. l Um die Installation des One Identity Manager Schemas auszuführen, starten Sie den Configuration Wizard und folgen Sie den Anweisungen des Configuration Wizard. HINWEIS: Führen Sie diesen Schritt nur auf der Arbeitsstation aus, auf der Sie die Installation des One Identity Manager Schemas starten. l Um die Konfiguration des One Identity Manager Service zu erstellen, starten Sie das Programm Job Service Configuration. HINWEIS: Führen Sie diesen Schritt nur auf Servern aus, auf denen Sie den One Identity Manager Service installiert haben. 10. Um den Installationsassistenten zu beenden, klicken Sie Ende. 11. Schließen Sie das Autorun Programm. Der One Identity Manager wird für alle Benutzerkonten auf der Arbeitsstation oder dem Server installiert. In der Standardinstallation wird der One Identity Manager installiert unter: l %ProgramFiles(x86)%\Dell(auf 32-Bit Betriebssystemen) l %ProgramFiles%\Dell (auf 64-Bit Betriebssystemen) One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 39 Verwandte Themen l Bevor Sie die Installation des One Identity Manager starten auf Seite 37 l Installationsvoraussetzungen auf Seite 18 l Werkzeuge des One Identity Manager auf Seite 11 l Installieren der One Identity Manager-Komponenten auf einem Windows® Terminalserver auf Seite 40 l Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 41 l Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158 Installieren der One Identity ManagerKomponenten auf einem Windows® Terminalserver Zur Installation der One Identity Manager-Komponenten auf einem Windows® Terminalserver wird vorausgesetzt, dass der Windows® Terminalserver vollständig installiert und konfiguriert wurde. Dies schließt insbesondere das Profilhandling sowie die Berechtigungen zur Benutzung des Windows® Terminalservers mit ein. HINWEIS: Beachten Sie, dass in einer Active Directory® Domäne auch der Benutzer selbst das Recht haben muss, den Windows® Terminalserver benutzen zu dürfen. Um die One Identity Manager Komponenten auf einem Windows® Terminalserver zu installieren 1. Melden Sie sich mit einem Benutzerkonto, welches über administrative Rechte auf dem Windows® Terminalserver verfügt, an. Es wird die Anmeldung über eine Konsolenverbindung empfohlen. Diese wird über Start/Ausführen: mstsc /Console /v:<servername> aufgerufen, wobei <servername> durch den Servernamen des Terminalservers (ohne führende „\“) ersetzt werden muss. 2. Öffnen Sie eine Kommandozeilenkonsole (CMD.exe) und schalten mit Hilfe des Befehls CHANGE USER /INSTALL den Windows® Terminalserver in den Modus zur Softwareinstallation. 3. Starten Sie den One Identity Manager Installationsassistent und installieren die One Identity Manager Komponenten wie beschrieben. 4. Beenden Sie den Modus zur Softwareinstallation auf dem Windows® Terminalserver mit dem Befehl CHANGE USER /EXECUTE in der Kommandozeilenkonsole. Nach Abschluss der Installation kann jeder hierzu berechtigte Windows® Terminalserver-Benutzer die One Identity Manager-Werkzeuge starten und nutzen. Verwandte Themen l l Installieren der One Identity Manager-Komponenten auf Seite 37 Weitere Informationen zur Softwareinstallation auf Windows® Terminalservern entnehmen Sie der Dokumentation des eingesetzten Windows® Betriebssystems. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 40 Installieren und Konfigurieren einer One Identity Manager-Datenbank Auf der Arbeitsstation, von welcher die Einrichtung einer One Identity Manager-Datenbank gestartet werden soll, müssen die folgenden Voraussetzungen erfüllt sein: l Installation des Programms „Configuration Wizard“ Die Installation des Programms erfolgt mit dem Installationsassistenten. Wählen Sie dazu im Installationsassistenten die Maschinenrolle "Workstation" und das Installationspaket "Configuration". l Zugriff auf die Installationsquellen HINWEIS: Wenn Sie die Installationsquellen auf ein Ablageverzeichnis kopieren, müssen Sie sicherstellen, dass die relative Verzeichnisstruktur erhalten bleibt. Mit dem Programm „Configuration Wizard“ richten Sie die Datenbank auf einem Datenbankserver für die Verwendung in der One Identity Manager-Umgebung ein. Als Datenbanksysteme kommen SQL Server® oder Oracle® Database zum Einsatz. Die Durchführung der Installation und Konfiguration unter SQL Server® und Oracle® Database ist ähnlich. Der Configuration Wizard führt die folgenden Schritte aus. 1. Installieren des One Identity Manager Schemas in eine Datenbank. Das One Identity Manager Schema kann in eine bereits bestehende Datenbank installiert werden. Alternativ kann der Configuration Wizard eine neue Datenbank erstellen und das One Identity Manager Schema installieren. 2. Erstellen der administrativen Systembenutzer und Rechtegruppen. 3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf die Datenbank. HINWEIS: Abhängig von der gewählten Edition und den One Identity Manager Modulen können weitere Schritte im Configuration Wizard ausgeführt werden. Nach der Schemainstallation sind weitere Schritte zur Konfiguration der One Identity Manager-Datenbank erforderlich. l l Konfigurieren Sie die Datenbank für eine Testumgebung, Entwicklungsumgebung oder den produktiven Einsatz. Für die Inbetriebnahme der einzelner Funktionen im One Identity Manager können weitere Systemeinstellungen erforderlich sein. Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an. Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten | Konfigurationsparameter. l Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank abzulegen. Nutzen Sie dazu das Programm "Crypto Configuration". One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 41 l Im One Identity Manager können Datenänderungen sowie Informationen aus der Prozessverarbeitung protokolliert werden. Alle im One Identity Manager protokollierten Aufzeichnungen werden zunächst in der One Identity Manager-Datenbank gespeichert. Der Anteil der historisierten Daten am Gesamtvolumen einer One Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls kann es zu Performance-Problemen kommen. Die Aufzeichnungen sollten in regelmäßigen Abständen aus der One Identity Manager-Datenbank entfernt und archiviert werden. Ausführliche Informationen zur Konfiguration der Prozessüberwachung und der Prozesshistorie finden Sie im Dell One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Archivierung von Daten finden Sie im Dell One Identity Manager Administrationshandbuch für die Datenarchivierung. Detaillierte Informationen zum Thema l Starten des Configuration Wizard auf Seite 42 l Erstellen einer neuen SQL Server® Datenbank auf Seite 43 l Verwenden einer bestehenden leeren SQL Server® Datenbank auf Seite 45 l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 46 l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 48 l Verarbeiten der Datenbank auf Seite 49 l Erfassen der Systeminformationen auf Seite 50 l Installieren des One Identity Manager Service für die Datenbank auf Seite 51 l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung auf Seite 54 l Verschlüsseln von Datenbankinformationen auf Seite 55 l Lieferantenbenachrichtigung im One Identity Manager auf Seite 61 l Meldung: Enter email address in configuration parameter auf Seite 130 Verwandte Themen l Minimale Systemanforderungen für den Datenbankserver auf Seite 19 l Installieren der One Identity Manager-Komponenten auf Seite 37 Starten des Configuration Wizard WICHTIG: Starten Sie den Configuration Wizard immer auf einer administrativen Arbeitsstation! Wenn Sie den Configuration Wizard auf einem Server starten, auf dem Sie auch einen One Identity Manager Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines Dienstservers" für den lokalen Server im Configuration Wizard. Um den Configuration Wizard direkt aus dem Installationsassistenten zu starten l Starten Sie den Configuration Wizard auf der letzten Seite des Installationsassistenten. Um den Configuration Wizard aus dem Startmenü zu starten l Wählen Sie Start | Dell | One Identity Manager | Configuration | Configuration Wizard. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 42 Verwandte Themen l Installieren der One Identity Manager-Komponenten auf Seite 37 Erstellen einer neuen SQL Server® Datenbank HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard eine neue Datenbank erstellen möchten, in die Sie das One Identity Manager Schema installieren. Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity ManagerDatenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31. Um eine neue Datenbank im Configuration Wizard zu erstellen 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server®. b. Erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 19: Verbindungsdaten Eingabe Beschreibung Server Datenbankserver. Um einen Datenbankserver auszuwählen l Tragen Sie den Servernamen ein. -ODER- l Wählen Sie einen Server in der Liste. Windows Angabe, ob integrierte Windows® Authentifizierung verwendet wird. Authentifizierung Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows® Authentifizierung unterstützt. Nutzer Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den korrespondierenden Datenbankeintrag im One Identity Manager übernommen. HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. 4. Auf der Seite Datenbank erstellen erfassen Sie die Informationen zur Erstellung einer neuen Datenbank. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 43 a. Erfassen Sie im Bereich "Datenbankeigenschaften" die folgenden Informationen zur Datenbank. Tabelle 20: Datenbankeigenschaften Eingabe Beschreibung Datenbankname Name der Datenbank. Datenverzeichnis Verzeichnis, in dem die Datendatei erstellt wird. Zur Auswahl stehen: Log Verzeichnis Initiale Größe <Standard> Standardinstallationsverzeichnis des Datenbankservers. <browse> Auswahl eines Verzeichnisses über den Dateibrowser. Verzeichnisangabe Verzeichnis, in dem bereits Datendateien installiert sind. Verzeichnis, in dem die Transaktionsprotokolldatei erstellt wird. Zur Auswahl stehen: <Standard> Standardinstallationsverzeichnis des Datenbankservers. <browse> Auswahl eines Verzeichnisses über den Dateibrowser. Verzeichnisangabe Verzeichnis, in dem bereits Transaktionsprotokolldateien installiert sind. Anfangsgröße der Datenbankdateien. Zur Auswahl stehen: <Standard> Standardvorgabe des Datenbankservers. <custom> Freie Eingabe. Verschiedene empfohlene Größen Abhängig von der Anzahl der Personen, die verwaltet werden. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. 5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. l l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. 6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank auf Seite 49. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 44 Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Verwenden einer bestehenden leeren SQL Server® Datenbank auf Seite 45 l Anhang: Einstellungen für eine neue SQL Server® Datenbank auf Seite 160 Verwenden einer bestehenden leeren SQL Server® Datenbank HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity Manager Schema in eine bestehende Datenbank installieren möchten. Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity ManagerDatenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31. Es muss eine Datenbank mit mindestens folgenden Einstellungen zur Verfügung gestellt werden: l Sortierschema: SQL_Latin1_General_CP1_CI_AS l Kompatibilitätsgrad: SQL Server 2012 (110) Um eine bestehende leere Datenbank im Configuration Wizard zu verwenden 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server®. b. Aktivieren Sie die Option Erweitert. c. Aktivieren Sie die Option Eine bereits existierende leere Datenbank verwenden. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 45 d. Erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 21: Verbindungsdaten zur SQL Server® Datenbank Eingabe Beschreibung Server Datenbankserver. Windows Angabe, ob integrierte Windows® Authentifizierung verwendet wird. Authentifizierung Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows® Authentifizierung unterstützt. Nutzer Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenbank Datenbank. HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den korrespondierenden Datenbankeintrag im One Identity Manager übernommen. HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. 4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. l l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. 5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank auf Seite 49. Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Erstellen einer neuen SQL Server® Datenbank auf Seite 43 Erstellen eines neuen Oracle Datenbankbenutzers HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard einen neuen Datenbankbenutzer erstellen möchten, für den Sie das One Identity Manager Schema installieren. Mit dem Configuration Wizard können Sie einen neuen Datenbankbenutzer auf einem Datenbankserver erstellen. Für diesen Datenbankbenutzer wird während der Schemainstallation das Schema erstellt. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 46 HINWEIS: Vor der Erstellung eines neuen Datenbankbenutzers muss ein initialer Tablespace auf dem Datenbankserver vorhanden sein. Der Tablespace muss mindestens eine Block-Size von 8 kByte haben. Um einen neuen Datenbankbenutzer zu erstellen 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle® Database. b. Erfassen Sie die Verbindungsdaten zur Oracle Instanz. Tabelle 22: Verbindungsdaten Eingabe Beschreibung Server Datenbankserver. Port Port der Oracle Instanz. Service Name Service Name. Nutzer Oracle Benutzer mit SYSDBA-Rechten. Kennwort Kennwort des Benutzers. 4. Auf der Seite Oracle Benutzer anlegen erfassen Sie die Informationen zum Datenbankbenutzer. a. Erfassen Sie die Eigenschaften des Oracle Datenbankbenutzers. Tabelle 23: Oracle Benutzer Eigenschaften Eingabe Beschreibung Benutzername Datenbankbenutzer, für den das Schema erstellt werden soll. Dieser Datenbankbenutzer wird für die anschließende Migration verwendet. Kennwort Kennwort des Datenbankbenutzers. Kennwortwiederholung Kennwort des Datenbankbenutzers. Tablespace Tablespace, in den das Schema erstellt werden soll. Temp. Tablespace Temporärer Tablespace, auf den zugegriffen werden soll. Der Configuration Wizard erstellt den Datenbankbenutzer mit den benötigten Berechtigungen. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. 5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 47 l Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. 6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank auf Seite 49. Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 48 l Berechtigungen für Oracle Datenbankbenutzer auf Seite 33 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity Manager Schema für einen bestehenden Datenbankbenutzer installieren möchten. Es muss ein Datenbankbenutzer mit erforderlichen Berechtigungen zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 33. Um einen bestehenden leeren Datenbankbenutzer im Configuration Wizard zu verwenden 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle® Database. b. Aktivieren Sie die Option Erweitert. c. Aktivieren Sie die Option Einen bereits existierenden leeren Oracle Benutzer verwenden. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 48 d. Erfassen Sie die Verbindungsdaten zur Oracle Instanz. Tabelle 24: Verbindungsdaten zur Oracle Datenbank Eingabe Beschreibung Direktzugriff (ohne Oracle Client) Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Datenbankserver. Port Port der Oracle Instanz. Service Name Service Name. Benutzer Oracle Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenquelle TNS Alias Name aus der TNSNames.ora. e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. 4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. l l Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. 5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank auf Seite 49. Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 46 Verarbeiten der Datenbank Der Configuration Wizard führt bei der Verarbeitung der Datenbank die folgenden Schritte aus: l Schemainstallation Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. Die Fehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. Die Fehler sind manuell zu korrigieren. Erst danach kann die Schemainstallation gestartet werden. Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen, Datenbankprozeduren in die Datenbank eingespielt. Die Datenbankrolle „basegroup“ wird angelegt und dieser Rolle werden One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 49 volle Rechte auf die Objekte der Datenbank gegeben. Die gewählten Editionen und Konfigurationsmodule werden aktiviert. Während einer Schemainstallation werden Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch den DBQueue Prozessor verarbeitet. Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet. l Systemkompilierung Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekannt gegeben. Es wird das Authentifizierungsmodul „Systembenutzer“ mit dem Systembenutzer „viadmin“ zum Kompilieren verwendet. l Automatische Aktualisierung Um die Dateien des One Identity Manager über die Mechanismen der automatischen Softwareaktualisierung zu verteilen, werden die Dateien in die One Identity Manager-Datenbank geladen. Um die Verarbeitung der Datenbank im Configuration Wizard auszuführen 1. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformance einige Zeit dauern. l l Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert. Nach Abschluss der Verarbeitung, klicken Sie Weiter. 2. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen Sie administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der Systeminformationen auf Seite 50. Verwandte Themen l Behandlung von Fehlern und Warnungen während der Systemkompilierung auf Seite 127 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126 Erfassen der Systeminformationen Für die Authentifizierung am One Identity Manager wird ein Systembenutzer benötigt. One Identity Manager stellt verschiedene Systembenutzer bereit, deren Berechtigungen auf die verschiedenen Aufgaben abgestimmt sind. Ausführliche Informationen zu Systembenutzern, Rechtegruppen und zur Vergabe von Berechtigungen finden Sie im Dell One Identity Manager Konfigurationshandbuch. Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One Identity Manager. Dieser Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen genutzt werden. WICHTIG: Der Systembenutzer "viadmin" ist im produktiven Betrieb nicht zu verwenden! Richten Sie einen eigenen Systembenutzer mit entsprechenden Berechtigungen ein. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 50 Um Systeminformationen im Configuration Wizard zu erfassen 1. Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen Sie administrative Benutzer. a. Im Bereich "Kundeninformation" erfassen Sie den vollständiger Name des Unternehmens. b. Im Bereich "Systembenutzer" konfigurieren Sie die vordefinierten Systembenutzer und erfassen eigene Systembenutzer. l l Für die vordefinierten Systembenutzer erfassen Sie ein Kennwort und die Kennwortbestätigung. Um kundenspezifische Systembenutzer zu erstellen, klicken Sie die Schaltfläche erfassen Sie die Bezeichnung, Kennwort und Kennwortwiederholung. und Die kundenspezifischen Systembenutzer werden durch den Configuration Wizard als administrative Systembenutzer erstellt. Administrative Systembenutzer werden automatisch in alle nicht-rollenbasierten Rechtegruppen aufgenommen und erhalten alle Berechtigungen des Systembenutzers "viadmin". TIPP: Über die Schaltfläche <...> neben der Bezeichnung eines Systembenutzers können Sie weitere Einstellungen für den Systembenutzer konfigurieren. Diese Einstellungen können Sie auch zu einem späteren Zeitpunkt im Designer anpassen. c. Durch den Configuration Wizard werden bereits kundenspezifische Rechtegruppen erzeugt, die Sie für die Definition von Berechtigungen auf eventuelle kundenspezifische Schemaerweiterungen nutzen können. l l Für die nicht-rollenbasierte Anmeldung werden die Rechtegruppen "CCCViewPermissions" und "CCCEditPermissions" erstellt. Administrative Systembenutzer werden automatisch in diese Rechtegruppen aufgenommen. Für die rollenbasierte Anmeldung werden die Rechtegruppen "CCCViewRole" und "CCCEditRole" erstellt. d. Erstellen Sie bei Bedarf weitere Rechtegruppen. l Aktivieren Sie die Option Erweitert und klicken Sie im Bereich "Rechtegruppen" die Schaltfläche l l . Erfassen Sie die Bezeichnung der Rechtegruppe. Kennzeichnen Sie eigene Rechtegruppen mit dem Präfix 'CCC'. Für rollenbasierte Rechtegruppen aktivieren Sie die Option Rollenbasiert. 2. Nächster Schritt: Auf der Seite Dienstinstallation installieren und konfigurieren Sie den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank verarbeitet. Weitere Informationen finden Sie unter Installieren des One Identity Manager Service für die Datenbank auf Seite 51. Installieren des One Identity Manager Service für die Datenbank Während der initialen Schemainstallation wird in der One Identity Manager-Datenbank ein Jobserver-Eintrag mit der Serverfunktion "Master SQL Server" erzeugt. Dieser Jobserver verarbeitet die direkten Datenbankanfragen. Mit dem Configuration Wizard installieren Sie den One Identity Manager Service auf einem Server, um diese Anfragen zu verarbeiten. Der Configuration Wizard führt dabei folgende Schritte aus. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 51 l Installieren der One Identity Manager Service Komponenten l Konfigurieren des One Identity Manager Service l Starten des One Identity Manager Service HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt. HINWEIS: Wenn Sie den Configuration Wizard auf einem Server gestartet haben, auf dem Sie auch einen One Identity Manager Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines Dienstservers" für den lokalen Server im Configuration Wizard. HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60. Um die Installation des One Identity Manager Service im Configuration Wizard nicht auszuführen 1. Auf der Seite Dienstinstallation aktivieren Sie die Option Keinen Dienst installieren. 2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 52 Um den One Identity Manager Service im Configuration Wizard einzurichten 1. Auf der Seite Dienstinstallation erfassen Sie die Installationsinformationen für den Dienst. a. Erfassen Sie folgende Informationen für die Dienst. Tabelle 25: Installationsinformationen Eingabe Beschreibung Computer Server, auf dem der Dienst installiert und gestartet wird. Um einen Server auszuwählen l Erfassen Sie den Servernamen. -ODER- l Dienstkonto Wählen Sie einen Eintrag in der Liste. Angaben zum Benutzerkonto des One Identity Manager Service. Um ein Benutzerkonto für den One Identity Manager Service zu erfassen l Aktivieren Sie die Option Lokales Systemkonto. Damit wird der One Identity Manager Service unter dem Konto „NT AUTHORITY\SYSTEM“ gestartet. - ODER- l Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung. Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes. Um ein administratives Benutzerkonto für die Installation zu erfassen l Aktivieren Sie die Option Erweitert. l Aktivieren Sie die Option Aktueller Benutzer. Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet. - ODER- l Maschinenrollen Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein. Legen Sie die Maschinenrollen fest. Standardmäßig ist die Maschinenrolle "Jobserver" festgelegt. Sie können weitere Maschinenrollen hinzufügen. b. Prüfen Sie die Konfiguration des One Identity Manager Service. Aktivieren Sie die Option Erweitert. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 53 HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im Dell One Identity Manager Konfigurationshandbuch. c. Um die Installation des Dienstes zu starten, klicken Sie Weiter. Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern. 2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. HINWEIS: Der One Identity Manager Service wird mit der Bezeichnung „Dell One Identity Manager Service“ in der Dienstverwaltung des Servers eingetragen. Verwandte Themen l Minimale Systemanforderungen für den Dienstserver auf Seite 24 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 l Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 63 Konfigurieren einer One Identity ManagerDatenbank für eine Test-, Entwicklungs- oder Produktivumgebung Über die Staging Ebene der One Identity Manager-Datenbank legen Sie fest, ob es sich um eine Testdatenbank, Entwicklungsdatenbank oder produktive Datenbank handelt. Über die Staging Ebene werden einige Datenbankeinstellungen gesteuert. Diese werden eingestellt, wenn Sie die Staging Ebene anpassen. Tabelle 26: Datenbankeinstellungen für Entwicklungsumgebung, Testumgebung und Produktivumgebung Einstellung Staging Ebene der Datenbank Entwicklungsumgebung Testumgebung Produktivumgebung Farbe der Statuszeile der One Identity Manager-Werkzeuge keine Grün Gelb Maximale Laufzeit DBQueue Prozessor 20 Minuten 40 Minuten 120 Minuten Maximale Anzahl der Slots für DBQueue Prozessor 3 5 Maximale Anzahl der Slots laut Hardwarekonfiguration Um die Staging Ebene einer Datenbank anzupassen 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Staging Ebene der Datenbank. Der Datenbankeditor des Designer wird gestartet. 2. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebene auf "Testumgebung", "Entwicklungsumgebung" beziehungsweise "Produktivumgebung". 3. Wählen Sie im Designer den Menüeintrag Datenbank|Übertragung in Datenbank… und klicken Sie Speichern. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 54 Die Konfigurationseinstellungen des DBQueue Prozessor sind für einen Normalbetrieb ausgelegt und müssen in der Regel nicht angepasst werden. Für Test- und Entwicklungsumgebungen sind die Konfigurationseinstellungen reduziert, da sich mehrere Datenbanken auf einem Server befinden können. Sollen aus Performancegründen die Einstellungen für Test- und Entwicklungsumgebungen angepasst werden, passen Sie im Designer die Einstellungen der folgenden Konfigurationsparameter an. Tabelle 27: Konfigurationsparameter für den DBQueue Prozessor Konfigurationsparameter Bedeutung QBM\DBQueue\CountSlotsMax Der Konfigurationsparameter legt die Anzahl der maximal verfügbaren Slots fest. Für die Nutzung der maximal verfügbaren Slots laut Hardwarekonfiguration geben Sie den Wert 0 an. QBM\DBQueue\KeepAlive Der Konfigurationsparameter regelt die maximale Laufzeit des zentralen Dispatchers. Nach Ablauf der Laufzeit werden die Aufträge aktuell verwendeter Slots noch abgearbeitet. Anschließend werden die Datenbankschedules der Slots gestoppt und der zentrale Dispatcher beendet. Der minimal zulässige Wert für die Laufzeit ist 5 Minuten, der maximal zulässige Wert ist 720 Minuten. Verwandte Themen l Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung auf Seite 147 Verschlüsseln von Datenbankinformationen Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank abzulegen. l Legen Sie im Designer über den Konfigurationsparameter „Common\EncryptionScheme“ fest, welches Verschlüsselungsverfahren eingesetzt wird. Tabelle 28: Werte des Konfigurationsparameters „Common\EncryptionScheme“ Wert Beschreibung RSA RSA-Verschlüsselung mit AES für größere Daten (Standard). FIPSCompliantRSA FIPS zertifizierter RSA mit AES für größere Daten. Das Verfahren ist einzusetzen, wenn die Verschlüsselung dem FIPS 1040-2 Standard entsprechen muss. Die lokale Sicherheitsrichtlinie „Use FIPS compliant algorithms for encryption, hashing, and signing“ muss aktiviert sein. HINWEIS: Ist der Konfigurationsparameter „Common\EncryptionScheme“ nicht aktiviert, wird RSA als Verfahren genutzt. l Die Verschlüsselung erfolgt mit dem Programm „Crypto Configuration“. Mit diesem Programm wird eine Schlüsseldatei erzeugt und die Inhalte der betroffenen Datenbankspalten werden konvertiert. Die Schlüsselinformationen werden in der Datenbanktabelle DialogDatabase abgelegt. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 55 HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Detaillierte Informationen zum Thema l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56 l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57 l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58 l Entschlüsseln der Datenbankinformationen auf Seite 59 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um einen neuen Datenbankschlüssel zu erzeugen und die One Identity Manager-Datenbank zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und klicken Sie Weiter. 5. Auf der Seite Privater Schlüssel wählen Sie Bisher war keine Verschlüsselung aktiviert und klicken Sie Weiter. 6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel. a. Klicken Sie Erzeuge Schlüssel. b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der Schlüsseldatei ein. c. Klicken Sie Speichern. Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt. d. Klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 56 7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57 l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58 l Entschlüsseln der Datenbankinformationen auf Seite 59 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen HINWEIS: Um einen Datenbankschlüssel zu ändern, benötigen Sie die Schlüsseldatei mit dem alten Datenbankschlüssel. Der Schlüssel wird geändert und in einer neuen Schlüsseldatei gespeichert. HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um einen Datenbankschlüssel zu ändern und die One Identity Manager-Datenbank zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und klicken Sie Weiter. 5. Auf der Seite Privater Schlüssel laden Sie den vorhandenen Schlüssel. a. Wählen Sie Die Verschlüsselung war aktiviert. b. Klicken Sie Lade Schlüssel. c. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem alten Datenbankschlüssel. d. Klicken Sie Öffnen. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden angezeigt. e. Klicken Sie Weiter. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 57 6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel. a. Klicken Sie Erzeuge Schlüssel. b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der Schlüsseldatei ein. c. Klicken Sie Speichern. Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt. d. Klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56 l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58 l Entschlüsseln der Datenbankinformationen auf Seite 59 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 Erneutes Verschlüsseln der Datenbankinformationen Verwenden Sie dieses Verfahren, wenn Sie weitere Datenbankspalten mit der Option Verschlüsselt versehen und die Datenbank bereits verschlüsselt ist. HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um die One Identity Manager-Datenbank mit einem vorhandenen Datenbankschlüssel erneut zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Verschlüsselung mittels des bestehenden Schlüssels und klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 58 5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56 l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57 l Entschlüsseln der Datenbankinformationen auf Seite 59 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 Entschlüsseln der Datenbankinformationen HINWEIS: Sie benötigen Sie die Datei mit dem Datenbankschlüssel. HINWEIS: Es wird empfohlen, vor der Entschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um die One Identity Manager-Datenbank zu entschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Entschlüsselung der Daten und klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. c. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. d. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem Datenbankschlüssel. e. Klicken Sie Öffnen. Der Dateibrowser wird geschlossen. Die Entschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. f. Klicken Sie Weiter. 6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 59 Verwandte Themen l Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56 l Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57 l Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58 l Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank Wenn Sie die One Identity Manager-Datenbank verschlüsseln, müssen Sie dem One Identity Manager Service den Datenbankschlüssel bekanntgeben. VORSICHT: Wenn der One Identity Manager Service beim Start einen privaten Schlüssel im Installationsverzeichnis findet, so legt er diesen im Windows internen Schlüsselcontainer seines Dienstkontos ab und löscht die Datei auf der Festplatte. Sichern Sie daher den privaten Schlüssel zusätzlich an einer anderen Stelle als dem Installationsverzeichnis des Dienstes! Um den Datenbankschlüssel bekanntzugeben l Geben Sie in der Konfigurationsdatei des One Identity Manager Service folgenden Informationen bekannt. Verwenden Sie den Jobservereditor im Designer oder das Programm "Job Service Configuration" zur Bearbeitung der Konfigurationsdatei. Tabelle 29: Konfiguration des One Identity Manager Service für die Verschlüsselung Konfigurationsmodul Parameter Bedeutung JobServiceDestination Datei mit privatem Schlüssel (PrivateKey) Datei mit dem privaten Schlüssel. Standardwert ist private.key. JobServiceDestination Verschlüsselungsverfahren (EncryptionScheme) Eingesetztes Verschlüsselungsverfahren. l Legen Sie die erzeugte Schlüsseldatei im Installationsverzeichnis des Dienstes ab. l Öffnen Sie die Dienstverwaltung und starten Sie den Dienst "Dell One Identity Manager Service" neu. HINWEIS: Die Datei mit dem privaten Schlüssel muss auf allen Servern mit aktivem One Identity Manager Service im Installationsverzeichnis des Dienstes vorhanden sein. HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die Schlüsseldatei neu im Installationsverzeichnis des Dienstes ablegen. Detaillierte Informationen zum Thema l Verschlüsseln von Datenbankinformationen auf Seite 55 One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 60 Lieferantenbenachrichtigung im One Identity Manager Geben Sie uns die Gelegenheit, Sie auf dem Laufenden zu halten. Die Schnittstellen zu anderen Systemen werden kontinuierlich weiterentwickelt. Aktivieren Sie Lieferantenbenachrichtigungen, um Nachrichten über wichtige Programmaktualisierungen für Ihr System zu erhalten. Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht. HINWEIS: Sie können die aktuellsten Systeminformationen jederzeit aus dem Menü Hilfe | Info... überprüfen. Detaillierte Informationen zum Thema l Aktivieren der Lieferantenbenachrichtigung auf Seite 61 l Prüfen der Lieferantenbenachrichtigung auf Seite 62 l Deaktivieren der Lieferantenbenachrichtigung auf Seite 62 Aktivieren der Lieferantenbenachrichtigung Voraussetzung für die Lieferantenbenachrichtigung l Im One Identity Manager ist ein Jobserver als SMTP-Host für den Mailversand konfiguriert. l Die Konfigurationsparameter für die E-Mail-Benachrichtigung sind konfiguriert. Ausführliche Informationen zum Einrichten des E-Mail-Benachrichtigungssystems im One Identity Manager finden Sie im Dell One Identity Manager Konfigurationshandbuch. Um die Lieferantenbenachrichtigung zu aktivieren HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren. 1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an. 2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klicken Sie Starten. Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet. 3. Aktivieren Sie den Konfigurationsparameter "Common\MailNotification\VendorNotification" und tragen Sie die E-Mail-Adresse Ihres Unternehmenskontaktes ein. Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet. 4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken Sie Speichern. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 61 Verwandte Themen l Prüfen der Lieferantenbenachrichtigung auf Seite 62 l Deaktivieren der Lieferantenbenachrichtigung auf Seite 62 l Meldung: Enter email address in configuration parameter auf Seite 130 Prüfen der Lieferantenbenachrichtigung HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren. Um zu prüfen, ob die Lieferantenbenachrichtigung aktiviert ist l Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an. In der Installationsübersicht wird im Eintrag Lieferantenbenachrichtigung konfigurieren angezeigt, ob die Funktion aktiviert ist. Verwandte Themen l Aktivieren der Lieferantenbenachrichtigung auf Seite 61 l Deaktivieren der Lieferantenbenachrichtigung Deaktivieren der Lieferantenbenachrichtigung HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren. Um die Lieferantenbenachrichtigung zu deaktivieren 1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an. 2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klicken Sie Starten. Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet. 3. Deaktivieren Sie den Konfigurationsparameter "Common\MailNotification\VendorNotification". 4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken Sie Speichern. Verwandte Themen l Aktivieren der Lieferantenbenachrichtigung auf Seite 61 l Prüfen der Lieferantenbenachrichtigung auf Seite 62 One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 62 Installieren und Konfigurieren des One Identity Manager Service für weitere Server Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service. Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank als Jobserver bekannt gegeben werden. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige QueueBezeichnung erhalten. Mit exakt diesem Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung tragen Sie in die Konfigurationsdatei des One Identity Manager Service ein. Erzeugen Sie für jede Queue einen korrespondieren Jobserver-Eintrag. HINWEIS: Mit dem Configuration Wizard richten Sie bereits einen Server mit One Identity Manager Service für den direkten Zugriff auf die One Identity Manager-Datenbank ein. Der Configuration Wizard führt dabei die erforderlichen Schritte zur Installation und Konfiguration aus. HINWEIS: Einige Prozesse und Skripte in One Identity Manager benötigen eine direkte Verbindung zur Datenbank. Dazu gehören unter anderem Synchronisationen mit den an One Identity Manager angeschlossenen Zielsystemen oder Prozessschritte wie das physische Löschen von Datenbankobjekten. Stellen Sie sicher, das für Server, die diese Prozesse abarbeiten, der Aufbau einer direkten Datenbankverbindung möglich ist. HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60. Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt die folgenden Schritte aus. l Erstellen eines Jobservers. l Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver. l Remote-Installation der One Identity Manager Service Komponenten entsprechend der Maschinenrollen. l Konfigurieren des One Identity Manager Service. l Starten des One Identity Manager Service. HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt. Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren 1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation. 2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 63 a. Wählen Sie in der Auswahlliste Server einen Jobserver aus. - ODER Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen. b. Bearbeiten Sie folgende Informationen für den Jobserver. Tabelle 30: Eigenschaften eines Jobservers Eigenschaft Beschreibung Server Bezeichnung des Jobservers. Queue Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser QueueBezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen. Vollständiger Servername Vollständiger Servername gemäß DNS Syntax. Beispiel: <Name des Servers>.<Vollqualifizierter Domänenname> HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten. 4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die auf dem Jobserver installiert werden. 5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity ManagerUmgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity ManagerProzesse ausgeführt. Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können die Serverfunktionen hier weiter einschränken. 6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service. HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im Dell One Identity Manager Konfigurationshandbuch. 7. Zur Konfiguration der Remoteinstallation, klicken Sie Weiter. 8. Bestätigen Sie die Sicherheitsabfrage mit Ja. 9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien. 10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel. HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 64 11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst. Tabelle 31: Installationsinformationen Eingabe Beschreibung Computer Server, auf dem der Dienst installiert und gestartet wird. Um einen Server auszuwählen l Erfassen Sie den Servernamen. -ODER- l Dienstkonto Wählen Sie einen Eintrag in der Liste. Angaben zum Benutzerkonto des One Identity Manager Service. Um ein Benutzerkonto für den One Identity Manager Service zu erfassen l Aktivieren Sie die Option Lokales Systemkonto. Damit wird der One Identity Manager Service unter dem Konto „NT AUTHORITY\SYSTEM“ gestartet. - ODER- l Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung. Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes. Um ein administratives Benutzerkonto für die Installation zu erfassen l Aktivieren Sie die Option Erweitert. l Aktivieren Sie die Option Angemeldeter Benutzer. Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet. - ODER- l Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein. 12. Um die Installation des Dienstes zu starten, klicken Sie Weiter. Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern. 13. Auf der letzten Seite des Server Installer klicken Sie Fertig. HINWEIS: Der One Identity Manager Service wird mit der Bezeichnung „Dell One Identity Manager Service“ in der Dienstverwaltung des Servers eingetragen. Um den One Identity Manager Service manuell auf einem Server zu installieren und zu konfigurieren l Installieren Sie die One Identity Manager-Komponenten mit dem Installationsassistenten. l Konfigurieren Sie den One Identity Manager Service mit dem Programm "Job Service Configuration". l Geben Sie den Jobserver im Designer bekannt. Erzeugen Sie für jede Queue einen korrespondieren Jobserver-Eintrag. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 65 Verwandte Themen l Minimale Systemanforderungen für den Dienstserver auf Seite 24 l Anzeigen der Protokolldatei des One Identity Manager Service auf Seite 66 l Ändern des Benutzerkontos oder der Startart des One Identity Manager Service auf Seite 67 l Installieren der One Identity Manager-Komponenten auf Seite 37 l Der One Identity Manager Service im Cluster auf Seite 67 l Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158 Anzeigen der Protokolldatei des One Identity Manager Service Die Anzeige der One Identity Manager Service Protokolldatei ist über ein Browserfrontend möglich. Um die Protokolldatei des One Identity Manager Service über einen Browser anzuzeigen l Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL. http://<Servername>:<Portnummer> Standard ist der Port 1880. Um die Protokolldatei des One Identity Manager Service im Job Queue Info zu öffnen l Wählen Sie in der Ansicht Serverstatus den Jobserver und wählen Sie den Kontextmenüeintrag Im Browser öffnen. Es wird für einen Jobserver der HTTP-Server des One Identity Manager Service angesprochen und die verschiedenen Dienste des One Identity Manager Service werden angezeigt. Abbildung 3: Protokolldatei des One Identity Manager Service Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es auf der Webseite eine Auswahlliste. Dabei können nur Texte angezeigt werden, die auch in der Protokolldatei vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch bei entsprechender Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden. Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet. One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 66 Tabelle 32: Farbcode in der Protokolldatei Farbe Bedeutung Grün Die Verarbeitung war erfolgreich. Gelb Bei der Verarbeitung wurden Warnung ausgegeben. Rot Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten. TIPP: Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten, speichern Sie die komplette Webseite. Ändern des Benutzerkontos oder der Startart des One Identity Manager Service Bei der Installation des One Identity Manager Service wird der Dienst in die Dienstverwaltung des Rechners eingetragen. Um die Anmeldedaten und die Startart des Dienstes anzupassen 1. Öffnen Sie die Dienstverwaltung des Servers und wählen Sie in der Liste der Dienste den Eintrag „Dell One Identity Manager Service “. 2. Öffnen Sie über den Kontextmenüeintrag Eigenschaften die Eigenschaften des Dienstes. 3. Ändern Sie auf dem Tabreiter Allgemein den Starttyp (sofern erforderlich). Es wird der Starttyp „Automatisch“ empfohlen. 4. Ändern Sie auf dem Tabreiter Anmelden das Benutzerkonto, unter dem der Dienst läuft. 5. Klicken Sie auf Übernehmen. 6. Schließen Sie die Eigenschaften des Dienstes über OK. 7. Starten Sie den Dienst über den Kontextmenüeintrag Starten. Kann der One Identity Manager Service nicht gestartet werden, wird eine entsprechende Meldung in das Ereignisprotokoll des Servers geschrieben. HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die Konfigurationsdatei des Dienstes erneut im Installationsverzeichnis des Dienstes ablegen. HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60. Verwandte Themen l Minimale Systemanforderungen für den Dienstserver auf Seite 24 l Benutzer und Berechtigungen für den One Identity Manager auf Seite 29 Der One Identity Manager Service im Cluster Sinn einer Clusterlösung ist die Hochverfügbarkeit eines Systems. Es wird angestrebt, beim Versagen einer Hardware- oder Softwarekomponente, den Systemausfall auf einige Sekunden zu beschränken. Mit der One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 67 Installation einer Windows®-Clusterlösung (nur mit Enterprise–Servern möglich) kann dies erreicht werden. Die folgende Grafik zeigt ein Beispiel für eine derartige Lösung. Abbildung 4: Beispiel einer Clusterlösung Dieser Cluster besteht aus 2 physikalischen Maschinen „Server A“ und „Server B“, die ein gemeinsames Diskarray nutzen und jeweils über eine eigene Systemfestplatte verfügen. Jeder Server ist mit einem Windows® Betriebssystem ausgestattet. Beide Server sind identisch installiert, so dass im Falle eines Ausfalls der eine Server die Arbeit des anderen Servers übernehmen kann. Alle redundanten Systemkomponenten werden durch den Cluster-Manager verwaltet. Nach außen wird der Cluster als ein einzelner, virtueller Server „Server C“ angesprochen. Hierbei wird der zugreifende Dienst oder Benutzer automatisch zu dem physikalischen Server verbunden, der momentan die Arbeit im Cluster ausführt. Tritt ein Versagen auf einem der physikalischen Server ein, so übernimmt automatisch der redundante Server im Cluster. Ansprechpartner bleibt weiter der virtuelle Server, nur der physikalische Server, der die Arbeit ausführt, wechselt. Detaillierte Informationen zum Thema l Registrieren des One Identity Manager Service im Cluster auf Seite 68 l Installieren und Konfigurieren des One Identity Manager Service im Cluster auf Seite 69 Registrieren des One Identity Manager Service im Cluster Mit der Registrierung unterliegt der One Identity Manager Service der Clusterbehandlung für Ausfallsicherheit und Load Balancing. Der Dienst wird auf dem virtuellen Server installiert, den der Cluster simuliert. Alle rechnerbezogenen Operationen und Informationen des Dienstes gehen, für den Dienst transparent, gegen den virtuellen Server statt gegen den realen aktuellen Rechner (Cluster Knoten). Das gilt auch für die Clients, die One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 68 den Dienst über den Server Namen kontaktieren, beispielsweise via RPC (ORPC, DCOM), TCP/IP (Winsock, Named Pipes), HTTP. Da der Dienst sich im Kontext des virtuellen Servers befindet, sind die folgenden Fakten zu beachten: l l l l Die dienstspezifischen Einstellungen auf dem Knoten, auf dem sich der virtuelle Server befindet, werden auf alle anderen Knoten repliziert! Der Dienst hat somit immer die gleiche Konfiguration, unabhängig von dem Knoten, auf dem er aktuell gestartet ist. Der Dienst ist immer nur auf dem aktuellen Knoten des virtuellen Servers (der Knoten, der aktuell den virtuellen Server trägt) gestartet. Auf allen anderen Knoten ist der Dienst gestoppt. Der Dienst wird mit dem virtuellen Server herunter- und hochgefahren. Ist der Cluster inaktiv, ist der Dienst auf allen Knoten gestoppt. Die Dienste auf den Knoten werden automatisch vor der Registrierung durch das Programm in den erforderlichen Zustand (Manual und Stopped) gebracht. Verwandte Themen l Der One Identity Manager Service im Cluster auf Seite 67 l Installieren und Konfigurieren des One Identity Manager Service im Cluster auf Seite 69 Installieren und Konfigurieren des One Identity Manager Service im Cluster Die Installation und Konfiguration der Serverkomponenten vom One Identity Manager-Installationsmedium führen Sie auf allen physikalischen Knoten eines Clusters durch. HINWEIS: Bei der Konfiguration der JobServiceDestination muss der Parameter „Queue“ den Namen des virtuellen Servers enthalten. Nach dem Speichern der Konfiguration kopieren Sie die Konfigurationsdatei in das Installationsverzeichnis des One Identity Manager Services auf allen physikalischen Knoten. Dabei dürfen Sie auch den Namen der Konfigurationsdatei nicht ändern! HINWEIS: Die Konfiguration des One Identity Manager Service ist nicht Bestandteil einer Clusterressource. Somit hält jeder Knoten seine eigene Konfiguration. Achten Sie aus diesem Grund darauf, dass die Konfigurationsdateien auf allen physikalischen Knoten des Clusters konsistent sind. Ist dies nicht der Fall, kann nicht für die korrekte Funktionsweise nach einem Wechsel des Clusterknotens garantiert werden. Einrichten einer Clusterressource für den One Identity Manager Service Richten Sie im Programm „Cluster Administrator“ eine neue Clusterressource für den One Identity Manager Service ein und bringen diese Online. Die Vorgehensweise entnehmen Sie der Microsoft Technet (http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx). Beachten Sie bei der Erstellung der Clusterressource Folgendes: l Wählen Sie „Generic Service“ als Ressourcentyp. l Wählen Sie mindestens folgende Abhängigkeiten des One Identity Manager Services. l Cluster IP-Address l Cluster Name One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 69 l l Quorum (zum Beispiel Disk: D) Geben Sie keine weiteren Registrierungsschlüssel an. HINWEIS: Nach der Einrichtung des One Identity Manager Service in einem Clusterverbund ist es ratsam, ein Failover zu simulieren, damit eventuell vorhandene Probleme am Cluster nicht erst im produktiven Betrieb zu Tage treten. Auslagern der Protokolldatei des One Identity Manager Service in ein Shared Volume l Richten Sie im Programm „Cluster Administrator“ eine neue Clusterressource ein und bringen Sie diese Online. Beachten Sie bei der Erstellung der Clusterressource Folgendes. l Wählen Sie „File Share“ als Ressourcentyp. l Wählen Sie mindestens die folgende Abhängigkeit aus: - Dell One Identity Manager Service l l Passen Sie in der Konfigurationsdatei des One Identity Manager Service die Verzeichnisangabe im Parameter „Protokolldatei“ (OutPutFile) des Logwriters an. Kopieren Sie die Konfigurationsdatei nach der Änderung auf alle physischen Knoten des Clusters in das Installationsverzeichnis des One Identity Manager Service. Verwandte Themen l Der One Identity Manager Service im Cluster auf Seite 67 l Registrieren des One Identity Manager Service im Cluster auf Seite 68 One Identity Manager 7.1.2 Installationshandbuch Installieren des One Identity Manager 70 5 Aktualisieren des One Identity Manager Die Aktualisierung des One Identity Manager beinhaltet die Aktualisierung der One Identity ManagerDatenbank und die Aktualisierung der vorhandenen Installationen auf den Arbeitsstationen und Servern eines One Identity Manager-Netzwerkes. Zur Aktualisierung des One Identity Manager werden einzelne Hotfixes und Service Packs zu einer Hauptversion oder vollständige Versionsänderungen zur Verfügung gestellt. l Hotfix Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration der eingesetzten Hauptversion jedoch keine Erweiterungen der Funktionalität. Ein Hotfix kann Patches für gelöste Probleme in Synchronisationsprojekten bereitstellen. l Service Pack Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alle Änderungen seit der letzten Hauptversion, die bereits in den Hotfixes enthalten waren. Ein Service Pack kann Patches mit neuen Funktionen für Synchronisationsprojekte bereitstellen. l Versionsänderung Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen der Funktionalität und umfasst eine Komplettänderung der Installation. Eine Versionsänderung kann Meilensteine für die Aktualisierung von Synchronisationsprojekten bereitstellen. Meilensteine fassen alle Patches für gelöste Probleme und notwendige Patches für neue Funktionen der Vorversion zusammen. Um den One Identity Manager zu aktualisieren, sind folgende Schritte erforderlich 1. Aktualisieren Sie die administrative Arbeitsstation, auf welcher die Schemaakualisierung der One Identity Manager-Datenbank gestartet wird. l Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Beenden Sie den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank verarbeitet. 3. Erstellen Sie eine Sicherung der One Identity Manager-Datenbank. 4. Führen Sie die Schemaaktualisiserung der One Identity Manager-Datenbank auf der administrativen Arbeitsstation aus. 5. Aktualisieren Sie den Server, der die direkten Anfragen der Datenbank verarbeitet. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 71 l Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 6. Starten Sie den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank verarbeitet. 7. Aktualisieren Sie weitere Installationen auf Arbeitsstationen und Servern. Für die Aktualisierung vorhandener Installationen können Sie das Verfahren der automatischen Softwareaktualisierung einsetzen. HINWEIS: Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen und Jobserver manuell zu aktualisieren. Dies ist beispielsweise erforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz der automatischen Softwareaktualisierung nicht zulassen. 8. Beim Aktualisieren des One Identity Manager werden gegebenenfalls Änderungen an den Systemkonnektoren oder der Synchronization Engine bereitgestellt. Damit alle bereits eingerichteten Zielsystemsynchronisationen weiterhin fehlerfrei ausgeführt werden, müssen diese Änderungen auf bestehende Synchronisationsprojekte angewendet werden. Detaillierte Informationen zum Anwenden von Patches finden Sie im Dell One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation. Detaillierte Informationen zum Thema l Aktualisieren der One Identity Manager-Komponenten auf Seite 72 l Aktualisieren der One Identity Manager-Datenbank auf Seite 73 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 Aktualisieren der One Identity ManagerKomponenten Die Arbeitsstation, auf der die Schemaaktualisierung der One Identity Manager-Datenbank gestartet wird, und der Server, der die direkten Anfragen der Datenbank verarbeitet, werden manuell aktualisiert. Für die Aktualisierung weiterer Arbeitsstationen und Server können Sie das Verfahren der automatischen Softwareaktualisierung einsetzen. Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen und Server manuell zu aktualisieren. Dies ist beispielsweise erforderlich, wenn sich mit einem One Identity Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz der automatischen Softwareaktualisierung nicht zulassen. Um die One Identity Manager-Komponenten auf einer Arbeitsstation manuell zu aktualisieren l Installieren Sie die neue Version mit dem Installationsassistenten. 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie Installieren. Der Installationsassistent wird gestartet. 3. Folgen Sie den Installationsanweisungen. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 72 Um den One Identity Manager Service auf einem Server manuell zu aktualisieren 1. Öffnen Sie die Dienstverwaltung des Servers und beenden Sie den Dienst „Dell One Identity Manager Service“. 2. Installieren Sie die neue Version mit dem Installationsassistenten. a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. b. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie Installieren. Der Installationsassistent wird gestartet. c. Folgen Sie den Installationsanweisungen. 3. Starten Sie den Dienst „Dell One Identity Manager Service“ in der Dienstverwaltung. Detaillierte Informationen zum Thema l Installieren der One Identity Manager-Komponenten auf Seite 37 Aktualisieren der One Identity Manager-Datenbank Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einen konsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zur Datenbank sichert. Werden Programmerweiterungen implementiert, die die Struktur verändern, beispielsweise Tabellenerweiterungen, ist eine Aktualisierung der Datenbank erforderlich. Die Aktualisierung der Datenbank ist dann notwendig, wenn Hotfixes und Service Packs zur eingesetzten One Identity Manager-Version oder vollständige Versionsänderungen verfügbar sind. Des Weiteren ist es immer wieder erforderlich, dass kundenspezifische Änderungen aus einer Entwicklungsdatenbank in die Datenbank des Produktivsystems zu übernehmen sind. Die Anpassung des One Identity Manager Schemas erfolgt durch das Einspielen so genannter Transportpakete. Der One Identity Manager kennt die folgenden Arten von Transportpaketen, die je nach Anforderung in die Datenbank zu importieren sind. WICHTIG: Bevor Sie ein Transportpaket in ein Produktivsystem einspielen, testen Sie die Änderungen zunächst in einer Testumgebung. Tabelle 33: Transportpakete Art des Transportpaketes Beschreibung Verwendetes Werkzeug Migrationspaket Migrationspakete werden für die initiale Schemainstallation der Datenbank, bei einem Service Pack und einer vollständigen Versionsänderung zur Verfügung gestellt. Ein Migrationspaket enthält alle benötigten Tabellen, Datentypen, Datenbankprozeduren sowie die Standardkonfiguration des One Identity Manager. Configuration Wizard One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 73 Art des Transportpaketes Beschreibung Verwendetes Werkzeug Hotfixpaket Hotfixpakete werden zur Verfügung gestellt, um einzelne Korrekturen an der Standardkonfiguration wie beispielsweise Bildungsregeln, Skripte, Prozesse oder Dateien in die Datenbank einzuspielen. Database Transporter Software Loader HINWEIS: Enthält ein Hotfixpaket nur geänderte Dateien, laden Sie diese Dateien mit dem Programm „Software Loader“ in die Datenbank. Kundenkonfigurationspaket Ein Kundenkonfigurationspaket dient zum Austausch kundenspezifischer Änderungen zwischen Entwicklungsdatenbank, Testdatenbank und Datenbank des Produktivsystems. Diese Transportpakete werden vom Kunden erstellt und in die Datenbanken eingespielt. Database Transporter HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifische Konfigurationsanpassungen in eine One Identity Manager-Datenbank übernommen werden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Sie dieses Transportpaket mit dem Database Transporter in die Zieldatenbank. Das Zusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zu einem Transportpaket wird nicht unterstützt. Verwandte Themen l Aktualisieren einer SQL Server® Datenbank auf Seite 75 l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 77 l Einspielen eines Hotfixes in die One Identity Manager-Datenbank auf Seite 80 Aktualisieren der One Identity ManagerDatenbank mit dem Configuration Wizard WICHTIG: Bevor Sie ein Migrationspaket in ein Produktivsystem einspielen, testen Sie die Änderungen zunächst in einer Testumgebung. Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank. Das Programm „Configuration Wizard“ führt die Aktualisierung der Datenbank in Abhängigkeit vom aktuellen Stand der One Identity Manager-Datenbank durch und überträgt den aktuellen Stand in die Versionshistorie. Während der Aktualisierung werden Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch den DBQueue Prozessor verarbeitet. Abhängig von Datenumfang und Systemperformance kann die Verarbeitung der Berechnungsaufträge einige Zeit dauern. Dies ist insbesondere der Fall, wenn Sie große Mengen historisierter Daten, wie beispielsweise Datenänderungen oder Informationen aus der Prozessverarbeitung in der One Identity Manager-Datenbank speichern. Stellen Sie daher vor der Aktualisierung der Datenbank sicher, das Sie ein entsprechendes Verfahren zur Datenarchivierung konfiguriert haben. Ausführliche Informationen zur Archivierung von Daten finden Sie im Dell One Identity Manager Administrationshandbuch für die Datenarchivierung. HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 74 Detaillierte Informationen zum Thema l Aktualisieren einer SQL Server® Datenbank auf Seite 75 l Aktualisieren eines Oracle Datenbankbenutzers auf Seite 77 l Verarbeiten der Datenbank während der Aktualisierung auf Seite 79 Aktualisieren einer SQL Server® Datenbank Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank. HINWEIS: l l l Die Aktualisierung der Datenbank wird im Einzelbenutzermodus ausgeführt. Beenden Sie alle bestehenden Verbindungen zur Datenbank vor dem Start der Migration. Nach Beenden der Aktualisierung wird die Datenbank automatisch in den Mehrbenutzermodus geschaltet. Sollte dies nicht möglich sein, erhalten Sie eine Meldung, über die Sie die Datenbank manuell in den Mehrbenutzermodus schalten können. Bei Einsatz einer Datenbankspiegelung kann es zu Problemen bei der Aktivierung des Einzelbenutzermodus kommen. HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation. Um eine Datenbank zu aktualisieren: 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbank aktualisieren und klicken Sie Weiter. 3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und das Installationsverzeichnis. a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in der Liste. -ODERWählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem SQL Server® und erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 34: Verbindungsdaten zur SQL Server® Datenbank Eingabe Beschreibung Server Datenbankserver. Windows Angabe, ob integrierte Windows® Authentifizierung verwendet wird. Authentifizierung Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows® Authentifizierung unterstützt. Nutzer Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenbank Datenbank. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 75 HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. c. Klicken Sie Weiter. 4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und Versionsinformationen angezeigt. a. Wählen Sie die Module, die Sie aktualisieren möchten. b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde. c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie die Option Weitere Module hinzufügen. d. Klicken Sie Weiter. 5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichen Module und klicken Sie Weiter. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module hinzufügen aktiviert haben. HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihre kundenspezifischen administrativen Benutzer die Berechtigungen auf diese Module. 6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden diese auf der Seite Aktive Datenbankverbindungen angezeigt. l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartet werden kann. 7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eine Verarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit der Aktualisierung fortfahren. 8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert. a. Für die Kompilierung des Systems ist die Anmeldung mit einem administrativen Benutzer erforderlich. l Erfassen Sie den Benutzername und Kennwort des administrativen Systembenutzers. l Klicken Sie Anmelden. b. Nach Abschluss der Verarbeitung, klicken Sie Weiter. 9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie die Lieferantenbenachrichtigung einrichten. Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 76 a. Um die Funktion zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein. Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet. b. Um die Funktion nicht zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung deaktivieren. 10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Verarbeiten der Datenbank während der Aktualisierung auf Seite 79 l Fehlerbehebung auf Seite 126 l Lieferantenbenachrichtigung im One Identity Manager auf Seite 61 Aktualisieren eines Oracle Datenbankbenutzers Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration Wizard zur Aktualisierung der One Identity Manager-Datenbank. HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation. Um einen Datenbankbenutzer zu aktualisieren 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbank aktualisieren und klicken Sie Weiter. 3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und das Installationsverzeichnis. a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in der Liste. -ODERWählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem Oracle® Database und erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 35: Verbindungsdaten zur Oracle Datenbank Eingabe Beschreibung Direktzugriff (ohne Oracle Client) Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Datenbankserver. Port Port der Oracle Instanz. Service Name Service Name. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 77 Eingabe Beschreibung Benutzer Oracle Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenquelle TNS Alias Name aus der TNSNames.ora. HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. c. Klicken Sie Weiter. 4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und Versionsinformationen angezeigt. a. Wählen Sie die Module, die Sie aktualisieren möchten. b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde. c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie die Option Weitere Module hinzufügen. d. Klicken Sie Weiter. 5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichen Module und klicken Sie Weiter. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module hinzufügen aktiviert haben. HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihre kundenspezifischen administrativen Benutzer die Berechtigungen auf diese Module. 6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden diese auf der Seite Aktive Datenbankverbindungen angezeigt. l Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartet werden kann. 7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eine Verarbeitung der Datenbank verhindern. Beheben Sie die Fehler bevor Sie mit der Aktualisierung fortfahren. 8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert. a. Für die Kompilierung des Systems ist die Anmeldung mit einem administrativen Benutzer erforderlich. l Erfassen Sie den Benutzername und Kennwort des administrativen Systembenutzers. l Klicken Sie Anmelden. b. Nach Abschluss der Verarbeitung, klicken Sie Weiter. 9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie die Lieferantenbenachrichtigung einrichten. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 78 Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht. a. Um die Funktion zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung aktivieren und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres Unternehmenskontaktes ein. Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet. b. Um die Funktion nicht zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung deaktivieren. 10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. Verwandte Themen l Starten des Configuration Wizard auf Seite 42 l Verarbeiten der Datenbank während der Aktualisierung auf Seite 79 l Fehlerbehebung auf Seite 126 l Lieferantenbenachrichtigung im One Identity Manager auf Seite 61 Verarbeiten der Datenbank während der Aktualisierung Die Aktualisierung der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformance einige Zeit dauern. Der Configuration Wizard führt dabei die folgenden Schritte aus: l Schemainstallation Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. Die Fehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. Die Fehler sind manuell zu korrigieren. Erst danach kann die Schemainstallation gestartet werden. Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen, Datenbankprozeduren in die Datenbank eingespielt. Beim Import eines Migrationspaketes in eine One Identity ManagerDatenbank werden die folgenden Operationen ausgeführt: Tabelle 36: Operationen beim Import eines Migrationspaketes Operationen Beschreibung Einfügen Wird in der Zieldatenbank kein Objekt über einen alternativen Schlüssel gefunden, so wird ein neues Objekt mit den Schlüsselwerten erzeugt. Aktualisieren Wird in der Zieldatenbank ein Objekt über einen alternativen Schlüssel gefunden, so wird das Objekt aktualisiert. Löschen Nicht mehr benötigte Objekte werden in der Zieldatenbank gelöscht. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 79 Während einer Schemainstallation werden Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch den DBQueue Prozessor verarbeitet. Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet. l Systemkompilierung Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekannt gegeben. Es wird das Authentifizierungsmodul „Systembenutzer“ mit dem angegebenen Systembenutzer zum Kompilieren verwendet. l Automatische Aktualisierung Um die Dateien des One Identity Manager über die Mechanismen der automatischen Softwareaktualisierung zu verteilen, werden die Dateien in die One Identity Manager-Datenbank geladen. Verwandte Themen l Fehlerbehebung auf Seite 126 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126 Einspielen eines Hotfixes in die One Identity Manager-Datenbank WICHTIG: Bevor Sie ein Hotfixpaket in ein Produktivsystem einspielen, testen Sie die Änderungen zunächst in einer Testumgebung. Hotfixpakete enthalten: l l Transportpakete, die Änderungen an der Standardkonfiguration wie beispielsweise Bildungsregeln, Skripte, Prozesse in die One Identity Manager-Datenbank enthalten Geänderte Dateien, wie beispielsweise *.exe, *.dll oder *.vif Wenn Sie mit einem Hotfixpaket ein Transportpaket erhalten, verwenden Sie das Programm "Database Transporter" zur Aktualisierung der One Identity Manager-Datenbank. Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet. Wenn ein Hotfixpaket geänderte Dateien enthält, kopieren Sie die Dateien zum Testen in das Installationsverzeichnis auf der Testmaschine. Um die Dateien über die automatische Softwareautomatisierung an alle Arbeitsstationen und Server zu verteilen, importieren Sie die Dateien mit dem Programm "Software Loader" in die One Identity Manager-Datenbank. HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifische Konfigurationsanpassungen in eine One Identity Manager-Datenbank übernommen werden, dann erstellen Sie dafür ein Kundenkonfigurationspaket und importieren Sie dieses Transportpaket mit dem Database Transporter in die Zieldatenbank. Das Zusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes zu einem Transportpaket wird nicht unterstützt. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 80 Detaillierte Informationen zum Thema l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 81 l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 81 l Importieren von Dateien mit dem Software Loader auf Seite 82 l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126 Inhalt eines Transportpaketes mit dem Database Transporter anzeigen Vor dem Import eines Transportpaketes mit dem Database Transporter können Sie den Inhalt der Datei anzeigen. HINWEIS: Starten Sie den Database Transporter auf einer administrativen Arbeitsstation. Um den Inhalt eines Transportpaketes anzuzeigen 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Kundenspezifische Änderungen transportieren. Das Programm "Database Transporter" wird gestartet. 2. Auf der Startseite wählen Sie Transportdatei anzeigen. 3. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen. 4. Auf der Seite Transportdatei auswählen klicken Sie Weiter. 5. Auf der Seite Transportdatei anzeigen wird der Inhalt der Transportdatei angezeigt. l Um die Importreihenfolge der Objekte anzuzeigen a. Öffnen Sie über + einen Eintrag in der Transportdatei und wählen Sie das Kontextmenü Sortieren nach Importreihenfolge. b. Klicken Sie OK und erfassen Sie die Verbindungsdaten zur Datenbank. Dieser Schritt ist nur bei der ersten Ermittlung einer Reihenfolge notwendig. Es wird die Reihenfolge ermittelt, in der die Objekte dieses Eintrags in die Datenbank importiert werden. c. Wiederholen Sie Schritt a) für alle Einträge, für die Sie die Reihenfolge ermitteln möchten. 6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen l Importieren eines Transportpaketes mit dem Database Transporter auf Seite 81 Importieren eines Transportpaketes mit dem Database Transporter HINWEIS: Um Transportpakete mit dem Database Transporter zu importieren, muss der angemeldete Benutzer zur Nutzung der Programmfunktion "Erlaubt den Import von Transportpaketen in die Datenbank. (Transport_Import)" berechtigt sein. HINWEIS: Starten Sie den Database Transporter auf einer administrativen Arbeitsstation. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 81 Um ein Transportpaket zu importieren 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Kundenspezifische Änderungen transportieren. Das Programm "Database Transporter" wird gestartet. 2. Auf der Startseite wählen Sie Transportdatei importieren. 3. Auf der Seite Datenbankverbindung wählen geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an, in welche Sie das Transportpaket importieren möchten. 4. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen. 5. Auf der Seite Transportdatei auswählen legen Sie Importoptionen fest. a. Um eine Protokolldatei für den Import zu erstellen, aktivieren Sie die Option Protokolldatei zum Datenimport erzeugen. Die Protokolldatei wird im Ausgabeverzeichnis der Transportdatei abgelegt. b. Um Objekte einzeln zu importieren, aktivieren Sie die Option Objekte einzeln importieren und Fehler ignorieren. Eventuell auftretende Fehler beim Import werden ignoriert und am Ende des Importvorgangs angezeigt. Ist die Option nicht aktiviert, wird der Importvorgang bei Fehlern abgebrochen. 6. Auf der Seite Systemdaten importieren werden die auszuführenden Importschritte und der Importfortschritt angezeigt. Der Importvorgang kann einige Zeit in Anspruch nehmen. Zum Abschluss werden Berechnungsaufträge für den DBQueue Prozessor eingestellt. 7. Wurden mit dem Transportpaket Änderungen an der Systemkonfiguration vorgenommen, beispielsweise Prozesse oder Skripte importiert, dann müssen Sie nach der Abarbeitung dieser Aufträge die Datenbank kompilieren. Nach dem Import wird die Kompilierung der Datenbank automatisch gestartet. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. HINWEIS: Sind während des Importes Fehler aufgetreten, können Sie diese über die Schaltfläche speichern. Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet. Verwandte Themen l Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 81 l Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126 Importieren von Dateien mit dem Software Loader HINWEIS: Starten Sie den Software Loader auf einer administrativen Arbeitsstation. Um Dateien zu importieren 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Dateien für Softwareaktualisierung. Das Programm "Software Loader" wird gestartet. 2. Auf der Startseite wählen Sie In Datenbank importieren. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 82 3. Auf der Seite Verbindung zur Datenbank herstellen geben Sie die Verbindungsdaten zur One Identity Manager-Datenbank an. 4. Auf der Seite Dateien auswählen legen Sie fest, welche Dateien importiert werden. a. Wählen Sie das Basisverzeichnis, in welchem sich die Dateien befinden. In der Dateiliste werden alle Dateien des gewählten Verzeichnisses mit ihrem Status und der Dateigröße angezeigt. Der Status wird aus den Dateiinformation in der Datenbank ermittelt. Zur Prüfung der Version einer Datei werden die Dateigröße und der Hashwert ermittelt und mit dem Eintrag in der Datenbank verglichen. HINWEIS: Achten Sie bei der Auswahl des Basisverzeichnisses darauf, das nicht unbeabsichtigt eine Verzeichnishierarchie erzeugt wird. Tabelle 37: Bedeutung der Status Status Bedeutung Version unbekannt Die Datei gehört zu den bekannten Dateien, wurde jedoch noch nicht in die Datenbank geladen. Es liegen keine Versionsinformationen in der Datenbank vor. Datei unbekannt Die Datei ist neu. Die Datei ist in der Liste der bekannten Dateien nicht vorhanden und wurde noch nicht in die Datenbank geladen. Es liegen keine Versionsinformationen in der Datenbank vor. Version OK Die Version der Datei stimmt mit der Version in der Datenbank überein. Version geändert Die Version der Datei hat sich gegenüber der Version in der Datenbank geändert. b. Markieren Sie die Dateien, die in die One Identity Manager-Datenbank zu laden sind. Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrere Dateien auswählen. TIPP: Über Mausklick auf eine Spalte im Tabellenkopf sortieren Sie die Anzeige nach der gewählten Spalte. TIPP: Eine Vorauswahl geänderte Dateien ist über das Kontextmenü möglich. Tabelle 38: Bedeutung der Einträge im Kontextmenü Eintrag im Bedeutung Kontextmenü Alle Verzeichnisse öffnen Es werden alle Verzeichnisse geöffnet. Alle geänderten Dateien öffnen Es werden alle Dateien mit dem Status „Version geändert“ ausgewählt. Dateien in Unterverzeichnissen werden nur ausgewählt, wenn vorher das Verzeichnis geöffnet wurde. 5. Auf der Seite Änderungskennzeichen wählen vergeben Sie ein Änderungskennzeichen. Um den Austausch neuer Dateien zwischen verschiedenen Datenbanken (Testdatenbank, Entwicklungsdatenbank, Produktivdatenbank) zu erleichtern, vergeben Sie ein Änderungskennzeichen, mit dem die Dateien gekennzeichnet werden. Diese Änderungskennzeichen werden im Programm One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 83 „Database Transporter“ bei der Erstellung eines Kundentransportpaketes als Exportkriterium angeboten. a. Wählen Sie Die Dateien sollen folgendem Änderungskennzeichen zugeordnet werden. b. Wählen Sie das Änderungskennzeichen über die Schaltfläche neben der Option. 6. Die Dateien werden in die One Identity Manager-Datenbank geladen. Nach dem erfolgreichen Laden der Dateien in die Datenbank, wird der Semaphorwert „Softwarerevision“ in der Datenbank durch den DBQueue Prozessor aktualisiert. Beim nächsten Semaphortest werden die Dateien somit in die Liste der zu aktualisierenden Dateien aufgenommen und an die Arbeitsstationen und Server verteilt. 7. Auf der Seite Maschinenrollen zuordnen legen Sie weitere Einstellungen für die Dateien fest. a. Ordnen Sie die Dateien einer Maschinenrolle zu. b. Um weitere Einstellungen festzulegen, klicken Sie die Schaltfläche ... neben den Dateinamen. Tabelle 39: Weitere Dateieinstellungen Einstellung Beschreibung Quellverzeichnis Verzeichnispfad in der Installationsquelle. Sicherungskopie erstellen Beim der automatischen Softwareaktualisierung ist von der Datei eine Kopie anzufertigen. Keine Aktualisierung Die Datei wird durch die automatische Softwareaktualisierung nicht aktualisiert. 8. Auf der letzten Seite klicken Sie Ende, um das Programm zu schließen. Verwandte Themen l Automatisches Aktualisieren des One Identity Manager auf Seite 84 l Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158 Automatisches Aktualisieren des One Identity Manager Aufgrund der räumlichen Verteilung der Server und Arbeitsstationen gestaltet sich vor allem das manuelle lokale Installieren und Aktualisieren von Software als problematisch. Um einen erträglichen Arbeitsaufwand der Netzwerkadministratoren zu gewährleisten, wurde für den One Identity Manager ein Verfahren zur automatischen Aktualisierung des One Identity Manager entwickelt. Neben der Aktualisierung bekannter Dateien einer One Identity Manager-Installation können neue, kundenspezifische Dateien auf einfache Weise in das Verfahren aufgenommen werden und somit über die Mechanismen der automatischen Softwareaktualisierung an die Arbeitsstationen und Server eines One Identity ManagerNetzwerkes verteilt werden. Detaillierte Informationen zum Thema l Grundlagen zur automatischen Aktualisierung auf Seite 85 l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 87 One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 84 Grundlagen zur automatischen Aktualisierung Alle Dateien einer One Identity Manager-Installation sind mit Namen und ihrem Binärcode in der One Identity Manager-Datenbank abgelegt. Für jede Datei ist die Zugehörigkeit zu den Maschinenrollen und Installationspaketen erfasst. Zusätzlich sind in der Datenbank für jede Datei die Dateigröße und ein Hashwert zur Dateierkennung hinterlegt. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert. In der Datenbank wird ein Semaphor „Softwarerevision“ gepflegt. Beim Hinzufügen, Ändern oder Löschen einer Datei in der Datenbank wird der Semaphorwert durch den DBQueue Prozessor neu berechnet. Im Installationsverzeichnis aller One Identity Manager-Installationen liegt eine Datei Softwarerevision.viv. Diese Datei enthält die folgenden Informationen: l den Revisionsstand der Installation Der Revisionsstand wird aus dem Wert des Semaphors „Softwarerevision“ in der Datenbank ermittelt. l den Startzeitpunkt der letzten Änderung Zusätzlich befindet sich im Installationsverzeichnis aller One Identity Manager-Installationen eine Datei InstallState.config. Diese Datei enthält die Informationen über die installierten Maschinenrollen, Installationspakete und Dateien. Durch den Vergleich der Semaphorwerte aus der Datenbank und der Datei wird festgestellt, ob eine Softwareaktualisierung notwendig ist. Unterscheiden sich die Semaphorwerte, wird anhand der InstallState.config ermittelt, welche Maschinenrollen für den Computer oder den Server definiert sind. Für jede Datei, die zu einer Maschinenrolle gehört, wird geprüft, ob diese Datei in der Datenbank bekannt ist. Gibt es die Datei in der Datenbank, wird geprüft: l Hat sich die Dateigröße geändert? Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen. l Hat sich der Hashwert geändert? Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen. Neue Dateien, die durch das Einspielen eines Hotfixes, eines Service Packs, einer Versionsänderung oder durch Einspielen einer kundenspezifischen Datei in die One Identity Manager-Datenbank geladen wurden, werden ebenfalls in die Liste aufgenommen. Alle in der Liste aufgeführten Dateien werden aktualisiert. Alle Aktionen werden in der Datei update.log protokolliert. Nach Abschluss der Aktualisierung wird der aktuelle Semaphorwert aus der Datenbank in die Datei Softwarerevision.viv übernommen. Automatische Aktualisierung der One Identity Manager-Werkzeuge Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her und führt den Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wird eine neue Datei angelegt. Ist im Installationsverzeichnis des One Identity Manager kein Schreibrecht vorhanden, wird eine Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt. Das Aktualisierungsprogramm (Updater.exe) erwartet bei aktivierter Benutzerkontensteuerung die Angabe einer administrativen Anmeldung, sofern der angemeldete Benutzer keine administrativen Berechtigungen auf das Installationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in ein Verzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt diese Abfrage. Anschließend wird der Aktualisierungsprozess gestartet. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 85 Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden, wird im Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programm und das Aktualisierungsprogramm (Updater.exe) schreiben ihre Prozess-ID’s in die Datei. Nach erfolgreichem Abschluss der Aktualisierung wird die Update.Lock-Datei aus dem Installationsverzeichnis gelöscht. Das Programm wird anschließend neu gestartet. Um sicherzustellen, dass nach einem unerwarteten Programmabbruch in der Aktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendung erneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist bei Neustart einer Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen, auf der Arbeitsstation vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und die Aktualisierung erneut gestartet. Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wird eine Datei zum Austausch erkannt, so wird der Aktualisierungsprozess gestartet. Eingreifen des Benutzers in die automatische Aktualisierung der One Identity ManagerWerkzeuge Wird die Aktualisierung der One Identity Manager-Komponenten auf einer Arbeitsstation erkannt, erfolgt der Hinweis alle geöffneten Programme zu schließen. Nachdem der Benutzer alle Programme geschlossen hat, wird die Aktualisierung ausgeführt. Ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann die Aktualisierung ihrer Arbeitsstationen erfolgt, wird über den Konfigurationsparameter "Common\AutoUpdate\AllowOutOfTimeApps" gesteuert. l l Ist der Konfigurationsparameter nicht aktiviert, hat ein Benutzer keine Möglichkeit in die Aktualisierung einzugreifen. Die Aktualisierung wird sofort ausgeführt. Ist der Konfigurationsparameter aktiviert, wird dem angemeldeten Benutzer ein Meldungsfenster angezeigt. Der Benutzer kann entscheiden, ob die Aktualisierung der One Identity Manager-Werkzeuge auf seiner Arbeitsstation sofort oder zu einem späteren Zeitpunkt ausgeführt wird. Lehnt der Benutzer die sofortige Aktualisierung ab, so kann er weiterarbeiten. Die Aktualisierung kann dann mit dem nächsten Start des Programms durchgeführt werden. Automatische Aktualisierung des One Identity Manager Service Die automatische Softwareaktualisierung ist das Standardverfahren zur Aktualisierung des One Identity Manager Service auf den Servern. Im Aktualisierungsverfahren wurde jedoch berücksichtigt, dass es unter Umständen unumgänglich ist, einzelne Server von der automatischen Aktualisierung auszuschließen und manuell zu aktualisieren. Der One Identity Manager Service liefert bei jeder Anfrage nach Prozessschritten seinen aktuellen Stand des Semaphors „SoftwareRevision“ zurück. Sollte dieser Wert von dem in der Datenbank gefundenen Wert abweichen, so wird der Jobserver in der Datenbank als „in Aktualisierung befindlich“ gekennzeichnet und es werden keine normalen Prozessschritte für diesen Jobserver mehr geliefert. Abhängig vom eingestellten Verfahren im Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“ wird die Aktualisierung der Jobserver durchgeführt. Es wird zunächst der Startzeitpunkt der letzten Änderung aus der Datei SoftwareRevision.viv ermittelt. Es wird eine Liste aller Dateien mit der Zusatzinformation, ob es sich um eine neue Datei handelt, zusammengestellt. Diese Liste wird auf dem zu aktualisierenden Jobserver ausgewertet und eine Liste erstellt, welche der Dateien zu aktualisieren sind. Wurde mindestens eine Datei auf dem Jobserver ausgetauscht, erfolgt ein Neustart des One Identity Manager Service. Nach Abschluss der Aktualisierung wird die Kennzeichnung des Jobservers in der Datenbank wieder zurückgesetzt. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 86 Automatische Aktualisierung von Webanwendungen Grundsätzlich unterstützen die Webanwendungen die automatische Softwareaktualisierung. Für die einzelnen Webanwendungen können jedoch eigene Konfigurationseinstellungen erforderlich sein, um an der automatischen Softwareaktualisierung teilzunehmen. HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich: l l l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis. Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag". Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess". Die Aktualisierung einer Webanwendung erfordert einen Neustart der Webanwendung. Der Neustart der Webanwendung erfolgt durch den Webserver automatisch, wenn die Webanwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann einige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden. Einige Webanwendungen bieten die Möglichkeit den Neustart manuell auszuführen. Wird die Aktualisierung der Webanwendung erkannt, werden neue Dateien aus der Datenbank in vorläufige Verzeichnisse auf den Server kopiert. Die Updater.exe wird gestartet. Es wartet bis der Webanwendungsprozess herunter gefahren wird. Die Updater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis der Webanwendung. Verwandte Themen l Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 87 l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93 l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109 l Aktualisieren der Manager Webanwendung auf Seite 115 Inbetriebnahme der automatischen Softwareaktualisierung WICHTIG: l l Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank gestartet wird, aktualisieren Sie mit dem Installationsassistenten. Den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank verarbeitet, aktualisieren Sie mit dem Installationsassistenten. l Schließen Sie diesen Server von der automatische Aktualisierung aus. Aktivieren Sie dazu für den korrespondierenden Jobserver mit der Serverfunktion "Master SQL Server" im Designer die Option kein automatisches Softwareupdate. One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 87 Berechtigungen für die automatische Softwareaktualisierung l l Für die automatische Aktualisierung der One Identity Manager-Werkzeuge werden volle Zugriffsrechte auf das One Identity Manager-Installationsverzeichnis empfohlen. Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto des Dienstes Vollzugriff auf das One Identity Manager-Installationsverzeichnis. Um die automatische Softwareaktualisierung einzusetzen 1. Aktivieren Sie im Designer den Konfigurationsparameter "Common\Autoupdate". l l Ist der Konfigurationsparameter aktiviert, dann werden Dateien des One Identity Manager, die nicht dem erforderlichen Revisionsstand entsprechen, automatisch aktualisiert. Ist der Konfigurationsparameter deaktiviert, erfolgt keine automatische Softwareaktualisierung. 2. Legen Sie über den Konfigurationsparameter "Common\AutoUpdate\AllowOutOfTimeApps" fest, ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann die Aktualisierung ihrer Arbeitsstation erfolgt. l l Ist der Konfigurationsparameter aktiviert, wird den Benutzern der One Identity ManagerWerkzeuge ein Meldungsfenster angezeigt, mit dem sie festlegen, ob die Aktualisierung sofort oder zu einem späteren Zeitpunkt erfolgen soll. Ist der Konfigurationsparameter nicht aktiviert, werden die One Identity Manager-Werkzeuge sofort aktualisiert. 3. Legen Sie im Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“ fest, welches Verfahren für die Aktualisierung des One Identity Manager Service genutzt wird. Tabelle 40: Verfahren laut Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“ Verfahren Bedeutung Queue Es wird ein Prozess in die Jobqueue eingestellt, über den die Dateien verteilt werden. DB Die Dateien werden direkt aus der Datenbank geladen. Dieses Verfahren setzen Sie ein, wenn alle Jobserver eine direkte Datenbankverbindung haben. Auto Alle Kopfserver werden direkt aus der Datenbank befüllt. Für alle Blattserver wird ein Prozess in die Jobqueue eingestellt. Für dieses Verfahren müssen die Kopfserver eine direkte Datenbankverbindung haben. 4. Um einzelne Jobserver von der automatischen Aktualisierung auszuschließen, aktivieren Sie für die Jobserver im Designer die Option kein automatisches Softwareupdate. 5. Für die Aktualisierung der Webanwendungen können eigene Konfigurationseinstellungen notwendig sein. Prüfen Sie diese Konfigurationseinstellungen. Verwandte Themen l Grundlagen zur automatischen Aktualisierung auf Seite 85 l Aktualisieren der One Identity Manager-Komponenten auf Seite 72 l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109 l Aktualisieren der Manager Webanwendung auf Seite 115 One Identity Manager 7.1.2 Installationshandbuch Aktualisieren des One Identity Manager 88 6 Installieren und Aktualisieren eines One Identity Manager Anwendungsservers Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben. Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind. Detaillierte Informationen zum Thema l Minimale Systemanforderungen für den Anwendungsserver auf Seite 28 l Installieren eines One Identity Manager Anwendungsservers auf Seite 89 l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93 l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93 l Deinstallieren eines One Identity Manager Anwendungsservers auf Seite 94 Installieren eines One Identity Manager Anwendungsservers Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben. Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind. WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 89 Um einen Anwendungsserver zu installieren 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. 3. Auf der Startseite des Web Installer wählen Sie Anwendungsserver installieren und klicken Sie Weiter. 4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter. 5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie Weiter. Tabelle 41: Einstellungen für das Installationsziel Einstellung Beschreibung Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll. Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird. SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden. URL Uniform Resource Locator (URL) der Anwendung. Dedizierter Anwendungspool einrichten Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert. Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist. Bei Verwendung des Standardwertes "DefaultAppPool" wird der Anwendungspool nach folgender Syntax gebildet: <Anwendungsname>_POOL Identität Berechtigung für die Ausführung des Anwendungspool. Es kann eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet werden. Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das Benutzerkonto nach folgender Syntax gebilet: IIS APPPOOL\<Anwendungsname>_POOL Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein Kennwort. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 90 Einstellung Beschreibung WebAuthentifizierung Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen: l Windows® Authentifizierung (Single Sign-On) Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows® Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows® Authentifizierung installiert ist. l Anonym Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um. DatenbankAuthentifizierung HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben. Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen: l Windows® Authentifizierung Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich. l SQL-Authentifizierung Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto möglich. Die Authentifizierung erfolgt mittels Benutzername und Kennwort. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert. 6. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest und klicken Sie Weiter. Die Maschinenrollen für den Anwendungsserver sind aktiviert. Die Maschinenrollen "Search Service" und "Search Indexing Service" werden für die Suchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immer gemeinsam zu verwenden. HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, wird ein Anwendungsserver benötigt, auf dem der Suchdienst installiert ist. 7. Auf der Seite Setze das Session-Token-Zertifikat legen Sie das Zertifikat für die Erstellung und Prüfung von Sitzungstoken fest und klicken Sie Weiter. HINWEIS: Das Zertikat muss mindestens eine Schlüssellänge von 1024 Bit haben. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 91 a. Um ein neues Zertifikat zu erzeugen l Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Erzeuge neues Zertifikat". l Erfassen Sie unter Zertifikatsherausgeber den Aussteller des Zertifikats. l Legen Sie unter Schlüssellänge die Schlüssellänge für das Zertifikat fest. Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen. b. Um ein bestehendes Zertifikat zu verwenden l l Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Nutze bestehendes Zertifikat". Wählen Sie unter Zertifikat auswählen das Zertifikat. c. Um eine neue Zertifikatsdatei zu erzeugen l Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Erzeuge neue Zertifikatsdatei". l Erfassen Sie unter Zertifikatsherausgeber den Aussteller des Zertifikats. l Legen Sie unter Schlüssellänge die Schlüssellänge für das Zertifikat fest. 8. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung des Anwendungsservers fest. Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen. l l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IIS-Berechtigungen für Aktualisierungen. Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze ein spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an. HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich: l l l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis. Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag". Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess". 9. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter. Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien (web.config) zu jedem Verzeichnis. 10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. HINWEIS: Bei der Installation werden Standardwerte für die Konfigurationseinstellungen verwendet. Sie können diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen überprüfen. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 92 Verwandte Themen l Minimale Systemanforderungen für den Anwendungsserver auf Seite 28 l Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93 l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93 l Installieren des Web Portal auf Seite 95 l Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158 Aktualisieren eines One Identity Manager Anwendungsservers HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführt werden kann. Die Aktualisierung der Anwendung erfolgt automatisch. Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert. Die Prüfung wird beim Start der Anwendung und danach aller 5 Minuten durchgeführt. Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Die Dateien können nicht aktualisiert werden, solange die Anwendung läuft, da diese die Dateien blockiert bzw. deren Änderung einen Neustart der Anwendung und einen Verlust aller aktiver Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis die Anwendung neu gestartet wird. Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden. Um die Aktualisierung manuell zu starten, öffnen Sie die Statusseite des Anwendungsservers im Browser und verwenden Sie den Eintrag Update immediately im Menü des angemeldeten Benutzers. Verwandte Themen l Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 Anzeigen des Status eines One Identity Manager Anwendungsservers Der Anwendungsserver ist über einen Browser erreichbar unter: http://<Server>/<Anwendungsname> https://<Server>/<Anwendungsname> One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 93 TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus und öffnen Sie auf dem Tabreiter Webserver die Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen. Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. Die Statusinformationen des Anwendungsservers stehen auch als Leistungsindikatoren zur Verfügung. Zusätzlich ist hier eine API Dokumentation verfügbar. Deinstallieren eines One Identity Manager Anwendungsservers Um eine Webanwendung zu deinstallieren 1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer. a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. - ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration | Web Installer. 2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager Webanwendung und klicken Sie Weiter. 3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten Webanwendungen angezeigt. a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten. b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und authentifizieren Sie sich. c. Um die Deinstallation zu starten, klicken Sie Weiter. d. Bestätigen Sie die Sicherheitsabfrage mit Ja. 4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter. 5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 94 7 Installieren, Konfigurieren und Warten des Web Portal Mit Hilfe des Web Installers können Sie das Web Portal installieren, konfigurieren und aktualisieren. Nachfolgend wird auf die Schritte eingegangen, die nötig sind, um das Web Portal auf einem Windows® Server zu installieren und in der Standardkonfiguration in Betrieb zu nehmen. Die Konfigurationseinstellungen werden mit ihren entsprechend möglichen Werten erläutert. Detaillierte Informationen zum Thema l Installieren des Web Portal auf Seite 95 l Installieren des Web Portal über die Kommandozeilenkonsole auf Seite 99 l Deinstallieren des Web Portal auf Seite 102 l Konfigurieren des Web Portal auf Seite 103 l Warten des Web Portal auf Seite 108 Installieren des Web Portal Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind. HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, stellen Sie einen Anwendungsserver bereit, auf dem der Suchdienst installiert ist. WICHTIG: Starten Sie die Installation des Web Portal lokal auf dem Server. Um das Web Portal zu installieren 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. 3. Auf der Startseite des Web Installer wählen Sie Web Portal installieren und klicken Sie Weiter. 4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter. Abhängig davon welche Datenbankverbindung gewählt wurde, werden auf der Seite Installationsziel wählen unterschiedliche Einstellungen angezeigt. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 95 5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie Weiter. Tabelle 42: Einstellungen für das Installationsziel Einstellung Beschreibung Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll. Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird. SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden. URL Uniform Resource Locator (URL) der Anwendung. Dedizierter Anwendungspool einrichten Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert. Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist. Bei Verwendung des Standardwertes "DefaultAppPool" wird der Anwendungspool nach folgender Syntax gebildet: <Anwendungsname>_POOL Identität Berechtigung für die Ausführung des Anwendungspool. Es kann eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet werden. Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das Benutzerkonto nach folgender Syntax gebilet: IIS APPPOOL\<Anwendungsname>_POOL Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein Kennwort. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 96 Einstellung Beschreibung WebAuthentifizierung Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen: l Windows® Authentifizierung (Single Sign-On) Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows® Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows® Authentifizierung installiert ist. l Anonym Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um. DatenbankAuthentifizierung HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben. Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen: l Windows® Authentifizierung Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich. l SQL-Authentifizierung Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto möglich. Die Authentifizierung erfolgt mittels Benutzername und Kennwort. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert. Wenn Sie in Schritt 4 eine direkte Datenbankverbindung ausgewählt haben, wird Ihnen die Seite Anwendungsserver wählen angezeigt. Die Angabe eines Anwendungsservers ist erforderlich, wenn Sie die Volltextsuche verwenden möchten. Sie können den Anwendungsserver auch zu einem späteren Zeitpunkt in die Konfigurationsdatei eintragen. 6. Erfassen Sie auf der Seite Anwendungsserver eintragen den Anwendungsserver, auf dem der Suchdienst für die Volltextsuche installiert ist. a. Klicken Sie auf den Link Anwendungsserver eintragen. a. Erfassen Sie im Textfeld URL: die Webadresse, bestätigen Sie Ihre Eingabe mit OK und klicken Sie Weiter. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 97 7. Auf der nächsten Seite legen Sie folgende erweiterte Einstellungen zur Installation fest und klicken Sie Weiter. a. Im Bereich Installationsquelle wählen Sie die Quelle für die Installation. l l Wenn die Dateien aus der Datenbank ermittelt werden, wählen Sie Aus der Datenbank laden. Wenn die Dateien vom Installationsmedium ermittelt werden, wählen Sie Aus lokalem Ordner installieren und geben Sie den Pfad an. b. Wählen Sie im Auswahlfeld Webprojekt das gewünschte Webprojekt. Sollten keine weiteren Einstellungen erforderlich sein, wird Ihnen die Meldung Keine Authentifizierungsdaten benötigt angezeigt. Werden weitere Einstellungen benötigt, gehen Sie wie folgt vor: l l l l Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sind nicht eingetragen auf die Schaltfläche. Markieren Sie im Bearbeitungsfenster das rot markierte Projekt. Wählen Sie im Bereich Authentifizierungsverfahren das gewünschte Authentifizierungsverfahren und erfassen Sie die erforderlichen Anmeldeinformationen. Klicken Sie OK. HINWEIS: Weitere Informationen finden Sie unter Webprojekt auf Seite 104. c. Im Bereich Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische Aktualisierung des Web Portal fest. Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder auszutauschen. l l Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für die Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IISBerechtigungen für Aktualisierungen. Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze ein spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den Benutzernamen und das Kennwort des Benutzers an. HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich: l l l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis. Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag". Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess". 8. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter. Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien zu jedem Ordner. Sie sollten in der Lage sein, die Webanwendung sofort verwenden zu können. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 98 HINWEIS: Wenn Sie die Webanwendung mit HTTPS installieren, wird die Übertragungsart der Cookies in HTTPS im Web Installer eingerichtet werden. Berücksichtigen Sie, dass dieser Wert manuell eingestellt werden muss, wenn Sie Änderungen der SSL-Einstellungen an der Webanwendung zu einem späteren Zeitpunkt vornehmen. 9. Auf der Seite Installation prüfen können Sie den Start der Webanwendung testen. Die Basis-URL für den Mailversand wird angezeigt. Wählen Sie gegebenenfalls im Auswahlfeld Ändern in eine andere URL und klicken Sie Weiter. 10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Um eine Änderung vorzunehmen l Schreiben Sie zum Beispiel den Wert <httpCookies requireSSL=”true”> in die web.config unter dem Element <system.web>. Der Web Installer verwendet Standardwerte für die meisten Konfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe des Web Designer Configuration Editor überprüfen. Verwandte Themen l Minimale Systemanforderungen für den Webserver auf Seite 26 l Installieren eines One Identity Manager Anwendungsservers auf Seite 89 l Konfigurieren des Web Portal auf Seite 103 Installieren des Web Portal über die Kommandozeilenkonsole Eine Alternative zur Installation über die autorun.exe ist die Installation über die WebDesigner.InstallerCMD.exe in der Kommandozeilenkonsole. Diese Variante installiert oder deinstalliert ausschließlich das Web Portal. HINWEIS: Bei der Installation mithilfe der Kommandozeilenkonsole ist darauf zu achten, die Installation als Administrator auszuführen. Den Hilfetext können Sie über die Eingabe von /? aufrufen. Aufrufsyntax "Hilfe aufrufen" WebDesigner.InstallerCMD.exe Aufrufsyntax "Web Portal installieren" WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops {authentication} /appname {appname} /site {Site} [/sourcedir {dir}] [/apppool {AppPool}] [/webproject {Webproject}] [/constauthproj {subproject name} /constauth {authentication}] [/searchserviceurl {url}] [/updateuser {username} [/updateuserdomain {domain}] [/updateuserpassword {password}]] [/allowhttp {true|false}] [-f] [-w] [-s] One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 99 Tabelle 43: Parameter des Programms Parameter Beschreibung /prov Datenbankprovider. /conn Verbindungsparameter zur Datenbank. /authprops Authentifizierung mit Dialogauthentifizierung. /appname Anwendungsname. /site Webseite. /sourcedir Quellverzeichnis bei Installation vom Dateisystem. /apppool Anwendungspool. /webproject Name des Webprojekts. /constauthproj Name des Subprojekts. /constauth Authentifizierungseinstellungen für das Subprojekt. /searchserviceurl Anwendungsserver für die Verfügbarkeit der Suchfunktion. /allowhttp Zulassen von http. /updateuser Update-Benutzer. /updateuserdomain Active Directory®-Domäne des Update-Benutzers. /updateuserpassword Update-Benutzer Kennwort -w Windows® Authentifizierung statt anonym am IIS. Beispiel einer Installation mit direkter Verbindung gegen eine SQL Server®-Datenbank In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen. l SQL Server®-Datenbankverbindung l in die Default Web Site l Anwendungsname "testqs" l Authentifizierung mit Systembenutzer "testadmin" l l als Anwendungsserver für die Verfügbarkeit der Suchfunktion https://dbserver.testdomain.lan/TestAppServer http zulassen WebDesigner.InstallerCMD.exe /conn "Data Source=dbserver.testdomain.lan;Initial Catalog=IdentityManager; Integrated Security=False;User ID=admin;Password=password" /site "Default Web Site" /appname testqs /authprops "Module=DialogUser;User=testadmin;Password=" /searchserviceurl https://dbserver.testdomain.lan/TestAppserver /allowhttp true Beispiel einer Installation mit direkter Verbindung gegen eine Oracle®-Datenbank In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 100 l Oracle® Datenbankverbindung l in die Default Web Site l Anwendungsname "testoraqs" l Authentifizierung mit Systembenutzer "testadmin" l Authentifizierung für das Subprojekt "test_UserRegistration_Web" mit Systembenutzer "Subadmin" WebDesigner.InstallerCMD.exe /prov "VI.DB.Oracle.ViOracleFactory, VI.DB.Oracle" /conn "User Id=IdentityManager; Password=Password;Server=testoraqs.lan;Direct=True;Service Name=test;Port=1521" /site "Default Web Site" /appname testoraqs /authprops "Module=DialogUser;User=testadmin;Password=" /constauthproj test_UserRegistration_Web /constauth "Module=DialogUser;User=Subadmin;Password=" Beispiel einer Installation mit Verbindung gegen den Anwendungsserver In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen. l Verbindung zum Anwendungsserver l in die Default Web Site l Anwendungsname "testviaappserver" l mit Windows® Authentifizierung als Web-Authentifizierung l mit dem Update-Benutzer "JohnDoe" l und der Update-Anwendung "MyDomain.lan" WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory, QBM.AppServer.Client" /conn "URL=https://test.lan/IdentityManagerAppServer/" /site "Default Web Site" /appname testviaappserver /authprops "Module=DialogUser;User=testadmin;Password=" -w /updateuser JohnDoe /updateuserdomain MyDomain.lan /updateuserpassword topsecret Aufrufsyntax "Web Portal deinstallieren" WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops {authentication} /appname {appname} [/site {Site}] -R Tabelle 44: Parameter des Programms Parameter Beschreibung /prov Datenbankprovider. /conn Verbindungsparameter zur Datenbank. /authprops Authentifizierung mit Dialogauthentifizierung. /appname Anwendungsname. /site Webseite. -R Entfernen der Anwendung. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 101 Beispiel einer Deinstallation der Webanwendung bei Verbindung gegen einen Anwendungsserver WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory, QBM.AppServer.Client" /conn "URL=https://test.lan/IdentityManagerAppServer/" /appname testviaappserver /authprops "Module=DialogUser;User=testadmin;Password=" -R Aufrufsyntax "Frühere Web Portal Versionen (<=6.x) deinstallieren" WebDesigner.InstallerCMD.exe /appname {appname} [/site {Site}] -R Tabelle 45: Parameter des Programms Parameter Beschreibung /appname Anwendungsname. /site Webseite. -R Entfernen der Anwendung. Deinstallieren des Web Portal Um eine Webanwendung zu deinstallieren 1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer. a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. - ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration | Web Installer. 2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager Webanwendung und klicken Sie Weiter. 3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten Webanwendungen angezeigt. a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten. b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und authentifizieren Sie sich. c. Um die Deinstallation zu starten, klicken Sie Weiter. d. Bestätigen Sie die Sicherheitsabfrage mit Ja. 4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter. 5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 102 Konfigurieren des Web Portal Die Konfiguration des Web Portal umfasst eine Reihe von Einstellungen. Die Konfiguration einer Webanwendung wird in den Konfigurationsdateien web.config, NLog.config und monitor.config der Webanwendung gespeichert, die sich im Root-Verzeichnis der Webanwendung befindet, sowie in der Tabelle QBMWebApplication der One Identity Manager-Datenbank. Verwenden Sie den Web Designer Configuration Editor (WebDesigner.ConfigFileEditor.exe), um die Konfigurationsdatei zu bearbeiten. Verbindungszeichenfolgen und Anmeldeinformationen werden automatisch in den Konfigurationsdateien mit der Standard MicrosoftASP.NET Kryptographie verschlüsselt. Um eine Webanwendung zu konfigurieren 1. Starten Sie den Web Designer Configuration EditorWebDesigner.ConfigFileEditor.exe, der sich im Setup-Ordner befindet. Das Fenster Konfigurationsdatei öffnen wird angezeigt. 2. In der Ansicht Konfigurationsdatei öffnen wählen Sie die Konfigurationsdatei web.config und klicken Sie Öffnen. 3. Wählen Sie das erforderlichen Authentifizierungsverfahren und melden Sie sich an. Das Dialogfenster Web Designer Configuration Editor wird angezeigt. In den einzenen Bereichen nehmen Sie die Konfigurationseinstellungen vor. Detaillierte Informationen zum Thema l Datenbankverbindung auf Seite 103 l Webprojekt auf Seite 104 l Log auf Seite 105 l Automatische Aktualisierung auf Seite 106 l Webeinstellungen auf Seite 107 l Cache auf Seite 107 l Debugger Service auf Seite 107 l Suchdienst auf Seite 107 Datenbankverbindung Für gewöhnlich ist hier bereits eine Datenbankverbindung ausgewählt. Sie können aber auch eine neue Datenbankverbindung auswählen. Um eine neue Datenbankverbindung auszuwählen 1. Klicken Sie im Bereich Datenbankverbindung den Link Neue Datenbankverbindung eintragen. Das Dialogfenster Neue Verbindung erstellen wird angezeigt. 2. Treffen Sie eine Auswahl zwischen den zur Verfügung gestellten Systemtypen und klicken Sie Weiter. Eine Ansicht mit weiteren Einstellungsmöglichkeiten wird Ihnen angezeigt. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 103 HINWEIS: Abhängig von Ihrer Auswahl wird Ihnen eine Ansicht mit entsprechend unterschiedlichen Einstellungsmöglichkeiten angezeigt. 3. Sie haben den Systemtyp SQL Server gewählt, werden Ihnen folgende Einstellungen zur Bearbeitung angezeigt: a. Wählen Sie im Auswahlfeld Server den gewünschten Server. b. Aktivieren Sie das Kontrollkästchen Windows Authentifizierung, um diese Authentifizierung zu verwenden. c. Schreiben Sie im Textfeld Nutzer den Benutzernamen, mit dem Sie sich an der Datenbank anmelden möchten. d. Schreiben Sie im Textfeld Kennwort das entsprechende Kennwort zum Benutzernamen. e. Wählen Sie im Auswahlfeld Datenbank die gewünschte Datenbank. - ODER Sie haben den Systemtyp Oracle gewählt, werden Ihnen folgende Einstellungen zur Bearbeitung angezeigt: HINWEIS: An dieser Stelle sollen nur die Bearbeitungsmöglichkeiten erwähnt werden, die bei der Vorgehensweise des Systemtyps SQL Server nicht erwähnt werden. a. Aktivieren Sie bei Bedarf die Option Direktzugriff (ohne Oracle-Client). b. Schreiben Sie in die Textfelder Server, Port, Service Name, Benutzer und Kennwort die erforderlichen Informationen. - ODER Sie haben den Systemtyp Anwendungsserver gewählt, wird Ihnen folgende Einstellung zur Bearbeitung angezeigt. a. Schreiben Sie im Textfeld URL die gewünschten Verbindungsdaten. 4. Klicken Sie Fertig. Ihrer Einstellungen werden gespeichert und Sie befinden sich wieder im Web Designer Configuration Editor. HINWEIS: Wählen Sie bei Bedarf im Auswahlfeld Optionen entweder Verbindung testen oder Erweiterte Optionen. Verwandte Themen l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118 Webprojekt Um ein Webprojekt und ein Authentifizierungsmodul auszuwählen 1. Wählen Sie im Auswahlfeld Webprojekt das gewünschte Projekt, das in der Webanwendung verwendet werden soll. HINWEIS: Im Normalfall müssen die Login-Informationen der Subprojekte des ausgewählten Webprojektes separat erfasst werden. Fehlen den Subprojekten die Authentifizierungsdaten, wird eine Hinweismeldung und eine Schaltfläche angezeigt. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 104 2. Wählen Sie im Auswahlfeld Authentifizierungsmodul das gewünschte Modul. HINWEIS: Dieses Modul ist die hauptsächliche Authentifizierungseinheit, welches zur Authentifizierung von Personen verwendet wird. Einige Module unterstützen Single-Sign-On. In solchen Fällen wird unterhalb des Auswahlfeldes eine Meldung mit entsprechendem Hinweis angezeigt. Sollte das ausgewählte Authentifizierungsmodul kein Single-Sign-On unterstützen, können Sie über ein weiteres Auswahlfeld ein zusätzliches Modul für ein manuelles Login auswählen. 3. Aktivieren Sie das Kontrollkästchen Debugging, wenn Sie die Debugging-Umgebung verwenden möchten. 4. Schreiben Sie in das Textfeld Client-ID für OAuth-Authentifizierung die Client-ID, wenn Sie dieses Authentifizierungsverfahren einsetzen. HINWEIS: Mit der OAuth-Authentifizierung wird die Webanwendung automatisch identifiziert. Um Authentifizierungsdaten für ein Subprojekt zu erfassen oder zu ändern 1. Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sind nicht eingetragen auf die Schaltfläche. Das Dialogfenster Authentifizierungsdaten wird angezeigt. 2. Markieren Sie im Bearbeitungsfenster das rot markierte Projekt. Der Bereich Authentifizierungsverfahren wird aktiv und kann bearbeitet werden. 3. Klicken Sie gegebenenfalls Systembenutzer, um nachträglich ein anderes Authentifizierungsverfahren zu wählen. 4. Schreiben Sie in die Textfelder Benutzer und Kennwort die Anmeldedaten. 5. Klicken Sie die Schaltfläche Login speichern. 6. Klicken Sie OK. Log Der Bereich Log ist weiter unterteilt in folgende Bereiche: l Allgemein l Applikationslog l Event Log l Datenbanklog Im Bereich Allgemein stehen allgemeine Informationen zu Ihrer Webanwendung, die Sie in Textfeldern bearbeiten können. Diese Informationen sind: l Applikation: Hier steht der Name Ihrer Webanwendung l Firmennamen: Hier steht der Name des Unternehmens, das die Webanwendung verwendet l Produktnamen: Hier steht der Name des Softwareherstellers l Protokollverzeichnis: Hier steht das Verzeichnis, in dem die Log-Dateien Ihrer Webanwendung gespeichert werden sollen. Der Web Server Prozess muss Schreibrechte auf diesen Ordner haben. Im Bereich Applikationslog können Sie folgende Einstellungen vornehmen: One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 105 l l l Schweregrad: Hier sind Einstellungen von Aus bis Trace möglich. Dieser Filter steuert, welche Meldungen in die Protokolldatei geschrieben werden sollen. Archivierungsintervall: Hier können Sie einstellen, wie oft das Applikationslog archiviert werden soll. Einstellungen von niemals bis Minute sind möglich. Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Applikationslog auf- oder absteigend nummeriert werden sollen. Im Bereich Event Log stehen Ihnen folgende Einstellungen zur Verfügung: l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein, welche Meldungen protokolliert werden sollen. Im Bereich Datenbanklog wird nur die Abarbeitung der Datenbankstatements protokolliert. Folgende Einstellungen stehen zur Verfügung: l l l Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein, welche Meldungen protokolliert werden sollen. Es sind Einstellungen von Aus bis Trace möglich. Archivierungsintervall: Hier können Sie einstellen, wie oft das Datenbanklog archiviert werden soll. Einstellungen von niemals bis Minute sind möglich. Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Datenbanklog auf- oder absteigend nummeriert werden sollen. Automatische Aktualisierung HINWEIS: Bei der automatischen Aktualisierung der Anwendung, muss neben der Aktivierung der Funktion Anwendung automatisch aktualisieren außerdem der Konfigurationsparameter "Common\Autoupdate" eingeschaltet sein. Um eine Anwendung automatisch zu aktualisieren 1. Aktivieren Sie das Kontrollkästchen Anwendung automatisch aktualisieren. 2. Wählen Sie zwischen den Optionen. a. Nutze die IIS-Berechtigungen für Aktualisierungen. b. Nutze ein spezielles Konto für Aktualisierungen Wenn Sie die Option Nutze ein spezielles Konto für Aktualisierungen gewählt haben, erfassen Sie weitere Informationen in den folgenden Eingabefeldern. Tabelle 46: erforderliche Informationen bei der Nutzung eines speziellen Kontos für Aktualisierungen Eingabe Beschreibung Domäne Domäne des Active Directory® Benutzerkontos. TIPP: Möchten Sie ein lokales Benutzerkonto verwenden, geben Sie als Domäne entweder . oder den Rechnernamen an. Benutzername Name des Active Directory® Benutzerkontos. Kennwort Kennwort des Active Directory® Benutzerkontos. Kennwortwiederholung Wiederholung des Kennwortes. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 106 Webeinstellungen Sie befinden sich im Bereich Webeinstellungen des Web Designer Configuration Editors. Um Einstellungen im Bereich "Webeinstellungen" vorzunehmen 1. Wählen Sie im Auswahlfeld Produkt das gewünschte Produkt, für das die Einstellungen gelten sollen. 2. Schreiben Sie in das Textfeld HTML-Kopfzeilen die gewünschte Information. 3. Wählen Sie Sie im Auswahlfeld Nach der Abmeldung, welche Seite nach dem Abmelden angezeigt werden soll. 4. Schreiben Sie in das Eingabefeld Schließung der Sitzung nach Inaktivität (Min.) die Zeit der Inaktivität nachdem die Sitzung abgelaufen ist. HINWEIS: Möchten Sie das die Sitzung trotz Inaktivität bestehen bleibt, schreiben Sie in das Eingabefeld den Wert 0. 5. Aktivieren Sie das Kontrollkästchen HTTP-Übertragung komprimieren. Mit dieser Einstellung findet die HTTP-Übertragung komprimiert statt. Cache In diesem Bereich können Sie nachsehen, wo sich das Cache- und das Assembly-Verzeichnis befindet. Beide Textfelder sind bearbeitbar. Um den Ablageort für das Cache- und Assembly-Verzeichnisses zu bearbeiten 1. Klicken Sie in eines der Eingabefelder. a. Cache-Verzeichnis b. Assembly-Verzeichnis 2. Überschreiben Sie den eingetragenen Pfad mit dem Pfad, in dem die gecachten Daten zukünftig abgelegt werden sollen. Debugger Service Mithilfe dieser Einstellung konfigurieren Sie die WCF-Verbindung. Um die WCF-Verbindung zu konfigurieren 1. Aktivieren Sie das Kontrollkästchen Portbereich einschränken. 2. Schränken Sie die Werte in den beiden Zahlenfeldern ein. Suchdienst Voraussetzung für die Nutzung der Volltextsuche im Web Portal ist ein Anwendungsserver, auf dem der Suchdienst installiert ist. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 107 l l Wenn Sie das Web Portal direkt über einen Anwendungsserver mit installiertem Suchdienst betreiben, können Sie die Volltextsuche sofort nutzen. Wenn Sie das Web Portal mit einem Anwendungsserver ohne installierten Suchdienst oder mit einer direkten Datenbankverbindung betreiben, tragen Sie in diesem Konfigurationsbereich einen Anwendungsserver mit installiertem Suchdienst ein. Erst dann ist die Volltextsuche im Web Portal verfügbar. Um einen Anwendungsserver nachträglich einzutragen 1. Klicken Sie auf Anwendungsserver eintragen. 2. Erfassen Sie im Textfeld URL die Webadresse des Anwendungsservers. 3. Testen Sie die Verbindung über den Eintrag Verbindung testen aus dem Kontextmenü Optionen. 4. Bearbeiten Sie weitere optionale Einstellungen über den Eintrag Erweiterte Optionen aus dem Kontextmenü Optionen. 5. Um die Einstellungen zu übernehmen, klicken Sie OK. In der Standardinstallation sind bereits einige wichtige Spalten für die Volltextsuche indiziert. Bei Bedarf können Sie weitere Spalten für die Volltextsuche konfigurieren. Ausführliche Informationen zur Konfiguration von Spalten für die Volltextsuche finden Sie im Dell One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Nutzung der Volltextsuche im Web Portal finden Sie im Dell One Identity Manager Anwenderhandbuch für das Web Portal. Verwandte Themen l Installieren eines One Identity Manager Anwendungsservers auf Seite 89 Warten des Web Portal Nachfolgend werden alle Wartungsmöglichkeiten aufgeführt und beschrieben, die für eine One Identity Manager Webanwendung zur Verfügung stehen. Detaillierte Informationen zum Thema l Runtime Monitoring auf Seite 108 l Sicherheit auf Seite 109 l Ansehen der Protokolldateien und Exceptions auf Seite 109 l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109 l Wartungsmodus auf Seite 110 l Manuelle Aktualisierung auf Seite 110 l Überwachung mithilfe von Leistungsindikatoren auf Seite 110 Runtime Monitoring Die One Identity Manager Webanwendung beinhaltet ein Runtime Monitoring Tool. Dieses Tool kann durch Zugriff auf eine spezielle URL auf die Web-Anwendung zugreifen: http://<server>/<application>/monitor. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 108 Sicherheit Der Zugriff auf diese Seite ist konfiguriert worden durch folgende Einstellungen in der Konfigurationsdatei (web.config) der Webanwendung. Die Standard-Einstellung erlaubt nur Mitgliedern der Administrator-Rolle auf den Runtime Monitor zuzugreifen. <?xml version="1.0"?> <!-- Permission to use WebDesigner runtime monitor --> <authorization> <allow roles="BUILTIN\Administrators" /> <deny users="*" /> </authorization> Für weitere Informationen über das Ändern dieser Einstellung, lesen Sie in der ASP.NET Dokumentation. Ansehen der Protokolldateien und Exceptions Der Tab Logdateien des Runtime Monitors ermöglicht Ihnen das Ansehen der Protokolldateien, die von den Webanwendungen generiert wurden. Sie können diese Dateien filtern und nach Begriffen suchen. Die Protokolldateien befinden sich in physischer Form im Protokollverzeichnis, das durch die Konfiguration festgelegt wurde. (typischerweise, “./Logs”). Der Tab Exceptions des Runtime Monitors ermöglicht Ihnen das Ansehen der Log-Meldungen im Bezug auf Exceptions. Diese Meldungen werden gesammelt nach Exceptions und absteigender Frequenz sortiert. Die oberste Exception in der Liste wird die am häufigsten vorkommende Exception sein. HINWEIS: Der Web Installer schreibt wichtige Ereignisse in die Protokolldatei der Windows Anwendung. Sie können sich diese Protokolldatei in der Windows Ereignisanzeige (Windows Event Viewer) ansehen, wenn es Probleme oder einen Fehler während der Installation des Web Portals gibt. Anwenden automatischer Aktualisierungen für das Web Portal Die One Identity Manager Webanwendung ist integriert in die automatische Aktualisierung des One Identity Manager. Es ist wichtig zu verstehen, dass die Aktualisierung einer Software einen kompletten Neustart der Webanwendung bedeutet. Die automatische Aktualisierung der Webanwendung beinhaltet folgende Schritte: l Die Webanwendung erkennt, dass eine neue Softwareversion in der Datenbank vorliegt. l Neue Dateien werden aus der Datenbank in vorläufige Verzeichnisse auf den Server kopiert. l l Die Updater.exe wird gestartet. Es wartet bis der Webanwendungsprozess herunter gefahren wird. (Für weitere Informationen zum automatischen Herunterfahren, lesen Sie in der IIS Dokumentation.) Updater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis der Webanwendung. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 109 Verwandte Themen l Manuelle Aktualisierung auf Seite 110 l Automatische Aktualisierung auf Seite 106 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 Wartungsmodus Eine Webanwendung kann auf Wartungsmodus geschaltet werden, um Wartungsarbeiten auszuführen. Im Wartungsmodus sind laufende Sessions nicht betroffen. Jedoch werden keine neuen Sessions zugelassen. Benutzer, die sich die Webanwendung ansehen, werden die Inhalte der Datei Maintenance.html angezeigt, die sich im Wurzel-Ordner der Webanwendung befindet. Sie können ungehindert diese Datei bearbeiten, um Details über die Wartungsarbeit für den Benutzer anzuzeigen. Der Wartungsmodus wird durch das Anlegen der Datei Maintenance.mode im Ordner App_Data der Webanwendung eingeschaltet (und durch ihr Entfernen beendet). Der Wartungsmodus kann auch auf der Seite Runtime Monitor umgestellt werden. Sie können den Wartungsmodus benutzen, um eine automatische Aktualisierung zu einem bestimmten Zeitpunkt zu erlauben. Manuelle Aktualisierung Vorzugsweise sollte der oben beschriebene Aktualisierungsprozess verwendet werden. Sie können jedoch die Webanwendung auch manuell aktualisieren, indem Sie die aktualisierten Dateien aus der Datenbank in den bin Ordner der Webanwendung kopieren. Beachten Sie, dass jeder Schreibvorgang auf dem bin Ordner der Webanwendung sofort zu einem Neustart der Webanwendung führt. Dies bedeutet, dass alle aktiven Sessions auf der Anwendung beendet werden und alle nicht gespeicherten Daten verloren gehen. Aus diesem Grund sollten Sie manuelle Aktualisierungen der Webanwendung nur durchführen, wenn keine aktive Session statt findet. Nur Dateien im bin Ordner der Webanwendung werden durch die automatische Aktualisierung gesteuert. Verwandte Themen l Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109 Überwachung mithilfe von Leistungsindikatoren Bei der Installation einer Webanwendung werden grundsätzlich Leistungsindikatoren (PerformanceCounter) registriert, die Auskunft über den Zustand der Anwendung geben. Eine nachträgliche Installation der Leistungsindikatoren ist möglich. HINWEIS: Voraussetzungen hierfür sind, dass die Webanwendung auf einem Windows Server® installiert ist und über ausreichend Rechte verfügt, um Leistungsindikatoren anzubieten. Hierfür kann es erforderlich sein, das Benutzerkonto des Anwendungspools in die lokale Gruppe Leistungsüberwachungsbenutzer aufzunehmen. Außerdem muss die Webanwendung gestartet sein, um die Leistungsindikatoren auswählen zu können. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 110 Um Leistungsindikatoren nachträglich zu installieren 1. Öffnen Sie den Web Designer Configuration Editor. 2. Klicken Sie auf Webeinstellungen und Windows Leistungsindikatoren anlegen. Nach erfolgreicher Ausführung wird ein Hinweis zur Installation angezeigt. 3. Bestätigen Sie die Hinweismeldung mit OK. Um Leistungsindikatoren einzusehen 1. Melden Sie sich an dem Server an, auf dem die Webanwendung installiert ist. 2. Starten Sie die Leistungsüberwachung von Windows®. 3. Wählen Sie im Dialogfenster auf der linken Seite den Eintrag Leistungsüberwachung. 4. Klicken Sie im Anzeigebereich der Leistungsüberwachung auf . 5. Markieren Sie im Dialogfenster Leistungsindikatoren hinzufügen unter Verfügbare Leistungsindikatoren den Eintrag One Identity ManagerWeb Portal und klappen Sie den Eintrag auf. Die Leistungsindikatoren der Webanwendung werden angezeigt. Es stehen folgende Indikatoren zur Verfügung. l AJAX calls: Anzahl der asynchron bearbeiteten HTTP-Anfragen l Objects: Anzahl der aktiven Datenbankobjekte l Exceptions: Anzahl der aufgetretenen Ausnahmefehler l Forms: Anzahl der aktiven Formulare l HTML requests: Anzahl der HTML-Seitenanfragen l PID: Anzahl der Prozess-IDs l Contexts: Anzahl der aktiven Modulobjekte l Sessions: Anzahl der aktiven Sitzungen l Sessions total: Gesamtanzahl der Sitzungen seit Anwendungsstart 6. Fügen Sie die gewünschten Leistungsindikatoren hinzu und wählen Sie unter Instanzen des ausgewählten Objekts: Ihre gewünschte Webanwendung aus. TIPP: Es werden nur die Webanwendungen zur Auswahl angezeigt, die gestartet sind. Bei der Installation einer neuen Webanwendung, ist es möglich, dass die zur Auswahl stehenden Webanwendungen inklusive der neu installierten Webanwendung erst nach einigen Minuten zur Verfügung stehen. One Identity Manager 7.1.2 Installationshandbuch Installieren, Konfigurieren und Warten des Web Portal 111 8 Installieren und Aktualisieren der Manager Webanwendung Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind. Detaillierte Informationen zum Thema l Minimale Systemanforderungen für den Webserver auf Seite 26 l Installieren der Manager Webanwendung auf Seite 112 l Aktualisieren der Manager Webanwendung auf Seite 115 l Deinstallieren der Manager Webanwendung auf Seite 116 l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149 Installieren der Manager Webanwendung Der One Identity Manager erfordert, dass jede Webanwendung auf genau eine Sprache festgelegt wird. Wenn Sie die Anwendung in zwei Sprachen veröffentlichen möchten, dann müssen Sie mindestens zwei separate Anwendungen installieren. Standardmäßig installiert der Web Installer eine Anwendung pro Sprache. Wenn mehrere Anwendungen gleichzeitig laufen, können Sie einen Sprachen-Pool für diese Anwendungen definieren. Wenn der Benutzer eine Webanwendung des Sprachen-Pools aufruft, wird er automatisch auf die gemäß seiner Sprache passende Webanwendung des Sprachen-Pools umgeleitet. Es ist also nicht nötig, die URLs aller Webanwendungen im Sprachen-Pool bekannt zu machen. Über diesen Mechanismus lässt sich auch ein einfaches Load-Balancing realisieren. WICHTIG: Starten Sie die Installation der Manager Webanwendung lokal auf dem Server. Um die Manager Webanwendung zu installieren 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren der Manager Webanwendung 112 3. Auf der Startseite des Web Installer wählen Sie Manager Webanwendung installieren und klicken Sie Weiter. 4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter. 5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie Weiter. Tabelle 47: Einstellungen für das Installationsziel Einstellung Beschreibung Anwendungsname Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll. Zielpfad im IIS Webseite auf dem Internet Information Services, auf dem die Anwendung installiert wird. SSL erzwingen Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert sind, zur Installation verwendet werden. Diese Einstellung ist der Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur Installation verwendet werden. URL Uniform Resource Locator (URL) der Anwendung. Dedizierter Anwendungspool einrichten Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert werden soll. Diese Option ermöglicht es, Anwendungen unabhängig voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in ihren eigenen Anwendungspool installiert. Anwendungspool Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich, wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist. Bei Verwendung des Standardwertes "DefaultAppPool" wird der Anwendungspool nach folgender Syntax gebildet: <Anwendungsname>_POOL Identität Berechtigung für die Ausführung des Anwendungspool. Es kann eine Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet werden. Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das Benutzerkonto nach folgender Syntax gebilet: IIS APPPOOL\<Anwendungsname>_POOL Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein Kennwort. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren der Manager Webanwendung 113 Einstellung Beschreibung WebAuthentifizierung Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur Auswahl stehen: l Windows® Authentifizierung (Single Sign-On) Der Benutzer wird gegenüber dem Internet Information Services mithilfe seines Windows® Benutzerkontos authentifiziert und die Webanwendung meldet die diesem Benutzerkonto zugeordnete Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese Authentifizierung ist nur wählbar, wenn die Windows® Authentifizierung installiert ist. l Anonym Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der Benutzer wird gegenüber dem Internet Information Services und der Webanwendung anonym authentifiziert und die Webanmeldung leitet auf eine Anmeldeseite um. DatenbankAuthentifizierung HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der Ansicht Datenbankverbindung eine SQL-Datenbankverbindung ausgewählt haben. Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen: l Windows® Authentifizierung Die Webanwendung authentifiziert sich gegenüber der One Identity Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem ihr Anwendungspool läuft. Eine Anmeldung ist über ein benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für den Anwendungspool möglich. l SQL-Authentifizierung Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto möglich. Die Authentifizierung erfolgt mittels Benutzername und Kennwort. Diese Zugangsdaten werden maschinenspezifisch verschlüsselt in der Konfiguration der Webanwendung gespeichert. 6. Auf der Seite Konfiguration legen Sie weitere anwendungsspezifische Einstellungen fest. a. Wählen Sie in der Auswahlliste Kultur die Sprachkultur der Anwendung. Die Sprachkultur hat unter anderem Einfluss auf die Darstellung von Datumswerten und sowie Zahlen. b. Die Webanwendung benötigt Zugriffsberechtigungen auf sich selbst. Wenn Sie als Authentifizierungsart "Windows®-Authentifizierung (Single Sign-On)" für die WebAuthentifizierung gewählt haben, geben Sie Domäne, Benutzerkonto und Kennwort des Benutzers. Bei anomymer Web-Authentifizierung sind keine weiteren Angaben erforderlich. c. Klicken Sie Weiter. 7. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der Installationsvorgang abgeschlossen wurde, klicken Sie Weiter. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren der Manager Webanwendung 114 Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien (web.config) zu jedem Verzeichnis. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. HINWEIS: Der Web Installer verwendet Standardwerte für die Konfigurationseinstellungen. Sie können diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe des Manager Web Configuration Editor überprüfen. Die Manager Webanwendung ist über einen Browser erreichbar unter: http://<Server>/<Anwendungsname> https://<Server>/<Anwendungsname> TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job Queue Info das Menü Ansicht | Serverstatus und öffnen Sie auf dem Tabreiter Webserver die Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen. Verwandte Themen l Aktualisieren der Manager Webanwendung auf Seite 115 l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149 Aktualisieren der Manager Webanwendung HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der Anwendung gefahrlos manuell durchgeführt werden kann. Die Aktualisierung der Anwendung erfolgt automatisch, wenn das Plugin „Automatische Aktualisierung“ für die Webanwendung aktiviert wurde. HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich: l l l Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das Anwendungsverzeichnis. Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als Stapelverarbeitungsauftrag". Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von Speicherkontingenten für einen Prozess". Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert. Das Plugin „Automatische Aktualisierung“ führt eine Prüfung beim Start der Anwendung und danach etwa alle 5 Minuten durch. Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Das Plugin „Automatische Aktualisierung“ kann die Dateien nicht aktualisieren, solange die Anwendung läuft, da diese die Dateien blockiert bzw. deren Änderung einen Neustart der Anwendung und einen Verlust aller aktiven One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren der Manager Webanwendung 115 Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis die Anwendung neu gestartet wird. Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder gar durch ununterbrochene Benutzeranfragen verhindert werden. Verwandte Themen l Automatisches Aktualisieren des One Identity Manager auf Seite 84 l Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149 Deinstallieren der Manager Webanwendung Um eine Webanwendung zu deinstallieren 1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer. a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus. b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet. - ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration | Web Installer. 2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager Webanwendung und klicken Sie Weiter. 3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten Webanwendungen angezeigt. a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten. b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und authentifizieren Sie sich. c. Um die Deinstallation zu starten, klicken Sie Weiter. d. Bestätigen Sie die Sicherheitsabfrage mit Ja. 4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem der Vorgang abgeschlossen wurde, klicken Sie Weiter. 5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. One Identity Manager 7.1.2 Installationshandbuch Installieren und Aktualisieren der Manager Webanwendung 116 9 Anmelden an den One Identity Manager-Werkzeugen Bei Start eines One Identity Manager-Werkzeugs wird der Standardverbindungsdialog geöffnet. Abbildung 5: Standardverbindungsdialog Bei der Anmeldung wird zwischen dem Benutzer der Datenbank und dem Benutzer der einzelnen One Identity Manager-Werkzeuge (Systembenutzer) unterschieden. Es können mehrere Systembenutzer mit einem Datenbankkonto arbeiten. Die Anmeldung erfolgt in zwei Schritten: l Auswählen der Datenbankverbindung zur Anmeldung an der Datenbank l Auswählen des Authentifizierungsverfahrens und Ermittlung des Systembenutzers für die Anmeldung Die zulässigen Systembenutzerkennungen werden über das eingesetzte Authentifizierungsmodul ermittelt. Der One Identity Manager stellt dafür verschiedene Authentifizierungsmodule zur Verfügung. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 117 TIPP: Bei Programmstart wird versucht die zuletzt verwendete Verbindung wiederherzustellen. Dies kann bei häufig wechselnden Verbindungen zu anderen Datenbankservern, zu langen Wartezeiten mit anschließenden Fehlermeldungen führen. Um die Wiederherstellung der letzten Verbindung zu unterdrücken, erzeugen Sie folgenden Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Dell\One Identity Manager\Global\Settings\ [RestoreLastConnection]="false" Detaillierte Informationen zum Thema l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118 l Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung auf Seite 122 l Aktivieren weiterer One Identity Manager Authentifizierungsmodule auf Seite 124 l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136 l Aktivieren weiterer Anmeldesprachen auf Seite 124 Anmelden an der One Identity ManagerDatenbank mit einem Datenbankbenutzer Um eine vorhandene Verbindung auszuwählen l Wählen Sie im Verbindungsdialog die Verbindung unter "Datenbankverbindung auswählen". HINWEIS: Neu erstellte Verbindungen werden erst nach erneutem Start des Programms im Verbindungsdialog angezeigt. Um eine neue Verbindung zur One Identity Manager-Datenbank unter SQL Server® zu erstellen 1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie den Systemtyp SQL Server®. 2. Klicken Sie Weiter. 3. Erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 48: Verbindungsdaten zur SQL Server® Datenbank Eingabe Beschreibung Server Datenbankserver. Windows Angabe, ob integrierte Windows® Authentifizierung verwendet wird. Authentifizierung Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows® Authentifizierung unterstützt. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 118 Eingabe Beschreibung Nutzer Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenbank Datenbank. 4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen. Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen. HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. 5. Klicken Sie Fertig. Abbildung 6: Eingabemaske mit Verbindungsdaten unter SQL Server® Um eine neue Verbindung zur One Identity Manager-Datenbank unter Oracle zu erstellen 1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie das Systemtyp Oracle. 2. Klicken Sie Weiter. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 119 3. Erfassen Sie die Verbindungsdaten zur Oracle Instanz. Tabelle 49: Verbindungsdaten zur Oracle Datenbank Eingabe Beschreibung Direktzugriff (ohne Oracle Client) Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Datenbankserver. Port Port der Oracle Instanz. Service Name Service Name. Benutzer Oracle Datenbankbenutzer. Kennwort Kennwort des Datenbankbenutzers. Datenquelle TNS Alias Name aus der TNSNames.ora. 4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen. Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen. HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. 5. Klicken Sie Fertig. Abbildung 7: Eingabemasken mit Verbindungsdaten unter Oracle One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 120 Um eine neue Verbindung zum Anwendungsserver herzustellen 1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie den Systemtyp Anwendungsserver. 2. Klicken Sie Weiter. 3. Erfassen Sie die Adresse (URL) zum Anwendungsserver. 4. Wenn Sie auf einen per SSL/TLS gesicherten Anwendungsserver zugreifen, konfigurieren Sie zusätzliche Einstellungen zum Zertifikat. l l l l Stimmen Servername des Zertifikats und die Adresse (URL) zum Anwendungsserver überein und konnte das Serverzertifikat erfolgreich geprüft werden, wird der Servername neben dem Eingabefeld für die URL grün hinterlegt. Per Klick auf den Servernamen neben dem Eingabefeld für die URL können Sie Informationen zum Zertifikat anzeigen. Sie können unter Serverzertifikat festlegen ein Zertifikat auswählen, was bei der Anmeldung vorhanden sein muss. Stimmen Servername des Zertifikats und die Adresse (URL) zum Anwendungsserver nicht überein oder konnte das Serverzertifikat erfolgreich geprüft werden, wird der Servername neben dem Eingabefeld für die URL rot hinterlegt. Legen Sie fest, ob Sie dem Zertifikat vertrauen. Wird laut SSL Einstellungen ein Client-Zertifikat erwartet, wählen Sie unter Clientzertifikat festlegen, das Zertifikat aus und legen Sie fest, wie das Zertifikat geprüft werden soll. Zur Auswahl stehen "Nach Antragsteller suchen", "Nach Herausgeber suchen" und "Nach Fingerabdruck suchen". Wenn Sie mit einem selbstsignierten Zertifikat zugreifen wollen, aktivieren Sie die Option Akzeptiere selbstsigniertes Zertifikat. 5. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen. Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es wird eine Meldung zum Test ausgegeben, die Sie bestätigen. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 121 HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. 6. Klicken Sie Fertig. Abbildung 8: Eingabemaske für Verbindung zum Anwendungsserver Um eine Verbindung zu löschen 1. Wählen Sie unter "Datenbankverbindung auswählen "die Verbindung. 2. Drücken Sie Entf. 3. Bestätigen Sie die Sicherheitsabfrage mit Ja. Die ausgewählte Datenbankverbindung wird nun nicht mehr im Verbindungsdialog angezeigt. Verwandte Themen l Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung auf Seite 122 Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung Im Anschluss an die Datenbankanmeldung meldet sich der Benutzer mit einer Systembenutzerkennung am gestarteten Programm an. Die zulässigen Systembenutzerkennungen werden über das eingesetzte Authentifizierungsmodul ermittelt. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 122 Um sich an den One Identity Manager Werkzeugen mit einer Systembenutzerkennung anzumelden 1. Wählen Sie im Verbindungsdialog unter "Authentifizierungsverfahren" das Authentifizierungsmodul. Es wird eine Auswahlliste eingeblendet, die alle freigeschalteten Authentifizierungsmodule enthält. 2. Erfassen Sie die Anmeldedaten für die Systembenutzerkennung. Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul. 3. Klicken Sie Anmelden. Die Verbindungsdaten werden gespeichert und stehen bei der nächsten Anmeldung zur Verfügung. Abbildung 9: Anmeldefenster mit Anmeldung an den Administrationswerkzeugen Haben Sie eine Systembenutzerkennung eingegeben, die durch das gewählte Authentifizierungsmodul nicht unterstützt wird, erscheint folgende Fehlermeldung. [810284] Der Benutzer konnte nicht authentifiziert werden. [810015] Die Anmeldung des Benutzers xyz ist gescheitert. [810017] Falscher Benutzername oder falsches Kennwort. Wiederholen Sie die Anmeldung, indem Sie ein anderes Authentifizierungsmodul oder eine andere Systembenutzerkennung wählen. HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule „Systembenutzer“ und „ComponentAuthenticator“ sowie die rollenbasierten Authentifizierungsmodule aktiviert. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 123 Verwandte Themen l Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118 l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136 Aktivieren weiterer One Identity Manager Authentifizierungsmodule Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechte auf Ressourcen der Datenbank. HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die Authentifizierungsmodule „Systembenutzer“ und „Component Authenticator“ sowie die rollenbasierten Authentifizierungsmodule aktiviert. HINWEIS: An One Identity Manager-Werkzeugen ist die Anmeldung mit allen Authentifizierungsmodulen möglich, die im Verbindungsdialog wählbar sind. Gegebenenfalls müssen Sie sicherstellen, dass der Benutzer, der durch das Authentifizierungsmodul ermittelt wird, die benötigten Berechtigungen besitzt, die Anwendung zu nutzen. Um weitere Authentifizierungsmodule zu aktivieren 1. Wählen Sie im Designer die Kategorie Basisdaten | Authentifizierungsmodule. 2. Wählen Sie das Authentifizierungsmodul und setzen Sie die Option Aktiviert auf den Wert "True". 3. Übernehmen Sie die Änderungen über Datenbank | Übertragung in die Datenbank.... 4. Klicken Sie Speichern. Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen möglich. Stellen Sie sicherstellen, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt werden, auch die benötigten Berechtigungen besitzen, die Anwendung zu benutzen. Verwandte Themen l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136 Aktivieren weiterer Anmeldesprachen Die Darstellung der Anzeigetexte in der Benutzeroberfläche erfolgt abhängig von der Sprache, mit der sich ein Benutzer an den Administrationswerkzeugen anmeldet. Bei der erstmaligen Anmeldung an den Werkzeugen wird die Systemsprache zur Anzeige der Benutzeroberfläche verwendet. Der Benutzer kann seine Anmeldesprache in jedem Administrationswerkzeug ändern. Dabei wird die Anmeldesprache global für alle Werkzeuge, mit denen der Benutzer arbeitet, festgelegt. Somit muss die Einstellung der Anmeldesprache nicht in jedem Werkzeug erneut erfolgen. Die Änderung der Anmeldesprache wird erst mit dem Neustart der Werkzeuge wirksam. Als Anmeldesprachen werden alle Sprachkulturen angeboten, die mit der Option Wählbar im Frontend gekennzeichnet sind. One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 124 Um weitere Anmeldesprachen zur Verfügung zu stellen 1. Wählen Sie im Designer die Kategorie Basisdaten | Sprachkulturen. 2. Wählen Sie die Sprachkultur. 3. Setzen Sie die Option Wählbar im Frontend. Detaillierte Informationen zum Thema l Dell One Identity Manager Konfigurationshandbuch One Identity Manager 7.1.2 Installationshandbuch Anmelden an den One Identity Manager-Werkzeugen 125 10 Fehlerbehebung Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet. Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der Transporthistorie der Zieldatenbank aufgezeichnet. Um die Transporthistorie anzuzeigen l Starten Sie den Designer und wählen Sie den Menüeintrag Hilfe | Transporthistorie. Um einen Überblick über die Systemkonfiguration zu erhalten l Starten Sie den Designer oder den Manager und wählen Sie den Menüeintrag Hilfe | Info. Auf dem Tabreiter Systeminformationen erhalten Sie einen Überblick über Ihre Systemkonfiguration. Stellen Sie diese Informationen bereit, wenn Sie den Support kontaktieren. HINWEIS: Wenn Sie die Lieferantenbenachrichtigung aktiviert haben, wird dieser Bericht einmal im Monat an One Identity gesendet. Verwandte Themen l Lieferantenbenachrichtigung im One Identity Manager auf Seite 61 One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 126 Behandlung von Fehlern und Warnungen während der Systemkompilierung HINWEIS: Alle Kompilierungsfehler und Warnungen werden während der Kompilierung aufgezeichnet. Nach Abschluss der Kompilierung können Sie Fehler und Warnungen einsehen. l l l Speichern Sie das Protokoll der Kompilierung über das Kontextmenü Protokoll als Datei speichern.... Korrigieren Sie die Fehler nach Beendigung der Kompilierung. Nach der Fehlerkorrektur kompilieren Sie die Datenbank erneut. Starten Sie dazu den Kompilierungsvorgang im Designer über den Menüeintrag Datenbank | Datenbank kompilieren.... Um Meldungen während der Kompilierung anzuzeigen und zu speichern l Um eine Meldung anzuzeigen, wählen Sie die Schaltfläche Anzeigen. Es wird das Fehlermeldungsfenster geöffnet. Zusätzlich zur Fehlermeldung wird eine umfangreichere Fehlerbeschreibung angezeigt. Den Umfang der dargestellten Informationen konfigurieren Sie über die Optionen im Fehlermeldungsfenster. Öffnen Sie die Konfiguration über die Schaltfläche gewünschten Optionen. und aktivieren oder deaktivieren Sie die Tabelle 50: Optionen zur Anzeige von Fehlermeldung Option Bedeutung Vorhergehende Fehler anzeigen Festlegung , ob alle vorhergehenden Fehler, die zum aktuellen Fehler führen, ebenfalls mit angezeigt werden. Dell Fehlernummern anzeigen Festlegung, ob die interne Fehlernummer angezeigt wird. Fehlerposition anzeigen Festlegung, ob die Fehlerposition im Programmcode mit angezeigt wird. Lange Zeilen umbrechen Festlegung, ob lange Fehlermeldungstexte mit Zeilenumbruch angezeigt werden. Nur anwenderrelevante anzeigen Festlegung, ob alle Fehlermeldungen oder nur als "anwenderrelevant" klassifizierte Fehler angezeigt werden. Asynchrone Aufrufe anzeigen Festlegung, ob Fehlermeldungen in asynchronen Methodenaufrufen angezeigt werden sollen. Crashbericht anzeigen Festlegung, ob Fehlermeldungen aus dem Crashrecorder angezeigt werden sollen. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 127 HINWEIS: Über die Schaltfläche Sende als Mail wird eine neue E-Mail-Nachricht im Standardmailprogramm erstellt und der Fehlermeldungstext in die Nachricht übernommen. l l Um alle Meldungen in eine Datei zu speichern, wählen Sie einen Eintrag und verwenden Sie das Kontextmenü Protokoll in Datei speichern.... Um eine Meldung in die Zwischenablage einzufügen, wählen Sie den Eintrag und verwenden Sie Strg + C. Treten Fehler auf, werden diese sofort während des Kompilierungsvorgangs in einem separaten Protokollfenster angezeigt. l l l Durch Maus-Doppelklick auf die Fehlermeldung im unteren Teil des Protokollfensters wird zur entsprechenden Zeile in der Quellcodeansicht (oberer Teil des Dialogfensters) gesprungen. Die Quellcodeansicht dient lediglich zur Darstellung, eine Bearbeitung des Eintrages ist nicht möglich. Über die Schaltfläche Speichern speichern Sie die Fehlermeldungen in eine Datei. Über die Schaltfläche Schließen, schließen Sie das Fehlerprotokoll. Anschließend wird die Kompilierung fortgesetzt. Abbildung 10: Ausgabe von Fehlermeldungen Prüfen der Datenkonsistenz Mit der Konsistenzprüfung werden verschiedene Tests zur Verfügung gestellt, um die Datenbankobjekte hinsichtlich ihrer Datenbeschaffenheit zu analysieren. Neben vordefinierten Tests können eigene Tests angewendet werden und bei Bedarf eine Datenreparatur ausgeführt werden. HINWEIS: Eine Konsistenzprüfung sollten Sie in regelmäßigen Abständen sowie nach umfangreichen Änderungen an der Systemkonfiguration ausführen. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 128 Die Konsistenzprüfung können Sie im Manager und im Designer ausführen. Datenbanktest werden im Manager und im Designer vollständig durchgeführt. Bei Tabellentests und Objekttests im Manager werden die Daten des Anwendungsmodells geprüft und im Designer die Daten des Systemdatenmodells geprüft. HINWEIS: Es wird empfohlen Konsistenzprüfungen mit einem administrativen Systembenutzer auszuführen. Konsistenzprüfungen vom Typ "Objekttest" werden immer im Kontext des angemeldeten Benutzers ausgeführt. Wenn der Benutzer keine Berechtigungen auf bestimmte Objekte hat, dann werden unter Umständen Fehler nicht erkannt oder Fehlerreparaturen schlagen fehl. Um eine Konsistenzprüfung auszuführen 1. Starten Sie den Konsistenzeditor im Designer oder im Manager über den Menüeintrag Datenbank | Datenkonsistenz überprüfen.... Während des Starts werden die Tabellendefinitionen des One Identity Manager Schemas geladen und die Datenbankobjekte zum Test bereitgestellt. 2. Legen Sie die Testoptionen fest. 3. Starten Sie die Konsistenzprüfung. Hierfür stehen im Konsistenzeditor folgende Prüfverfahren zur Verfügung: l Prüfen aller Testobjekte HINWEIS: Um einzelne Testobjekte von der Prüfung auszuschließen, wählen Sie diese vor Start der Prüfung in der Listenansicht des Konsistenzeditors aus und kennzeichnen diese über das Kontextmenü Deaktivieren. l Prüfen einzelner Testobjekte Wählen Sie in der Listenansicht die gewünschten Testobjekte und starten Sie den Test über den Kontextmenüeintrag Überprüfen. TIPP: Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrere Testobjekte für die Prüfung auswählen. 4. Prüfen Sie die Fehlerausgabe. 5. Führen Sie bei Bedarf eine Fehlerreparatur aus. DBQueue Prozessor verarbeitet keine Aufträge Nach dem Wiederherstellen einer One Identity Manager-Datenbank aus einer Datenbanksicherung werden keine DBQueue Prozessor Aufträge verarbeitet. Wenn der SQL Server® in einer virtuellen Maschine läuft und die virtuelle Maschine wird angehalten (suspend), werden nach dem Starten der virtuellen Maschine eventuell keine DBQueue Prozessor Aufträge verarbeitet. Bei der Aktualisierung des One Identity Manager Schemas erhalten Sie im Configuration Wizard die Meldung Cannot enable broker because of other users are active. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 129 Wahrscheinliche Ursache Der SQL Server Service Broker kann bei Initialisierung des DBQueue Prozessor kann nicht reaktiviert werden. Der Service Broker wird zur Kommunikation des DBQueue Prozessor eingesetzt. Lösung Führen Sie die folgenden Schritte mit einem geeigneten Query-Tool in der Datenbank aus. 1. Stoppen aller DBQueue Prozessor Komponenten. exec QBM_PWatchDogPrepare 1 go exec QBM_PDBQueuePrepare 1 go 2. Prüfen, ob noch weitere Sitzungen auf der Datenbank aktiv sind. select * from sys.sysprocesses p where dbid = DB_ID() and spid <> @@SPID Sind noch weitere Sitzungen aktiv, müssen diese zunächst beendet werden. 3. Erstellen einer neuen Service Broker ID und Aktivieren der Nachrichtenauslieferung. alter database <database name> set NEW_BROKER go alter database <database name> set enable_broker go 4. Initialisieren des DBQueue Prozessor. exec QBM_PDBQueuePrepare 0,1 go exec QBM_PWatchDogPrepare go HINWEIS: Wenn Sie eine Test- oder Entwicklungsdatenbank aus einer Sicherung einer anderen One Identity Manager-Datenbank erstellen, werden diese Schritte durch den Database Compiler ausgeführt. Eine manuelle Ausführung der Schritte ist in diesem Fall nicht notwendig. Weitere Informationen finden Sie unter Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung auf Seite 147. Meldung: Enter email address in configuration parameter Die Parameter SenderAddress oder Address in einem Prozess zum Versenden von E-Mail Benachrichtigungen enthalten den Wert <Enter email address in configuration parameter "...">. Die Parameter One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 130 eines Prozesses prüfen Sie im Job Queue Info. Ist für den One Identity Manager Service die erweiterte Fehlerausgabe im Debugmodus eingerichtet, wird die Meldung zusätzlich in der Protokolldatei des One Identity Manager Service ausgegeben. Wahrscheinliches Problem Der One Identity Manager versendet bei verschiedenen Aktionen im System E-Mail-Benachrichtigungen. Das EMail Benachrichtigungssystem des One Identity Manager ist nicht vollständig konfiguriert. Lösung l Prüfen Sie im Designer in der Kategorie Basisdaten | Konfigurationsparameter die Konfigurationsparameter für das E-Mail Benachrichtigungssystem und passen Sie die Werte unternehmensspezifisch an. HINWEIS: Zusätzlich zu den nachfolgend aufgeführten Konfigurationsparametern können für die verschiedenen Benachrichtigungsprozesse weitere Konfigurationsparameter erforderlich sein. Einige Konfigurationsparameter stehen erst zur Verfügung wenn die Module vorhanden sind. Tabelle 51: Allgemeine Konfigurationsparameter für die Mailbenachrichtigung Konfigurationsparameter Bedeutung Common\InternationalEMail Der Parameter gibt an, ob internationale Domänennamen beziehungsweise UnicodeZeichen in E-Mail-Adressen unterstützt werden. WICHTIG: Der Mailserver muss diese Funktion ebenfalls unterstützen. Gegebenenfalls müssen Sie das Skript VID_IsSMTPAddress überschreiben. Common\MailNotification Angaben zur Benachrichtigung. Common\MailNotification\DefaultAddress Standard E-Mail-Adresse (Empfänger) zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultCulture Standardsprachkultur, in der E-Mail Benachrichtigungen versendet werden, wenn für einen Empfänger keine Sprachkultur ermittelt werden kann. Common\MailNotification\DefaultLanguage Standardsprache zum Versenden von Benachrichtigungen. Common\MailNotification\DefaultSender Standard E-Mail-Adresse (Absender) zum Versenden von Benachrichtigungen. Common\MailNotification\Encrypt Angabe, ob E-Mails verschlüsselt werden sollen. Common\MailNotification\Encrypt\ConnectDC Domänencontroller der Domäne, der verwendet werden soll. Common\MailNotification\Encrypt\ConnectPassword Benutzerkennwort. Die Angabe ist optional. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 131 Konfigurationsparameter Bedeutung Common\MailNotification\Encrypt\ConnectUser Benutzerkonto, mit dem das Active Directory® abgefragt wird. Die Angabe ist optional. Common\MailNotification\Encrypt\DomainDN Distinguished Name der zu durchsuchenden Domäne. Common\MailNotification\Encrypt\EncryptionCertificateScript Skript, welches eine Liste von Verschlüsselungszertifikaten liefert (Standard: QBM_GetCertificates). Common\MailNotification\NotifyAboutWaitingJobs Angabe, ob eine Benachrichtigung gesendet werden soll, wenn Prozessschritte eines bestimmten Ausführungszustandes in der Jobqueue sind. Common\MailNotification\SignCertificateThumbprint SHA1-Thumbprint des zur Signierung zu verwendenden Zertifikats. Dieses kann im My-Store der Maschine oder des Benutzers liegen. Common\MailNotification\SMTPAccount Name des Benutzerkontos zur Authentifizierung am SMTP Server. Common\MailNotification\SMTPDomain Domäne des Benutzerkontos zur Authentifizierung am SMTP Server. Common\MailNotification\SMTPPassword Kennwort des Benutzerkontos zur Authentifizierung am SMTP Server. Common\MailNotification\SMTPPort Port des SMTP-Dienstes auf dem SMTP Server (Standard: 25). Common\MailNotification\SMTPRelay SMTP Server zum Versenden von Benachrichtigungen. Common\MailNotification\SMTPUseDefaultCredentials Ist der Konfigurationsparameter aktiviert, werden zur Authentifizierung am SMTP Server die Anmeldeinformationen des One Identity Manager Service verwendet. Ist der Konfigurationsparameter nicht aktiviert, werden die in den Konfigurationsparametern "Common\MailNotification\SMTPDomain" und "Common\MailNotification\SMTPAccount" bzw. "Common\MailNotification\SMTPPassword" hinterlegten Anmeldeinformationen verwendet. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 132 Konfigurationsparameter Bedeutung Common\MailNotification\VendorNotification Aktivierung der E-Mail Adresse der Kontaktperson ihres Unternehmens. Die EMail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet. Ist der Konfigurationsparameter aktiviert, erzeugt der One Identity Manager einmal im Monat eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen Daten. Sie können die aktuellsten Systeminformationen jederzeit aus dem Menü Hilfe | Info... überprüfen. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht. Tabelle 52: Zusätzliche Konfigurationsparameter für E-Mail-Adressen für die Mailbenachrichtigung Konfigurationsparameter Beschreibung QER\Attestation\DefaultSenderAddress Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen für die Attestierung. QER\ComplianceCheck\EmailNotification\DefaultSenderAddress Der Konfigurationsparameter enthält die Absender-E-Mail-Adresse für automatisch generierte Nachrichten innerhalb der Regelprüfung. QER\ITShop\DefaultSenderAddress Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen innerhalb des IT Shop. QER\Policy\EmailNotification\DefaultSenderAddress Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Nachrichten innerhalb der Überprüfung von Unternehmensrichtlinien. QER\RPS\DefaultSenderAddress Der Konfigurationsparameter enthält die Absender E-Mail Adresse für automatisch generierte Benachrichtigungen. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 133 Konfigurationsparameter Beschreibung TargetSystem\ADS\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\ADS\Exchange2000\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\ADS\MemberShipRestriction\MailNotification Der Konfigurationsparameter enthält die Standard-Mailadresse zum Versenden von Warnmails. TargetSystem\AzureAD\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\CSM\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\LDAP\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\NDO\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\SAPR3\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\SharePoint\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\Unix\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. TargetSystem\UNS\DefaultAddress Der Konfigurationsparameter enthält die Standard-E-Mail-Adresse des Empfängers für Benachrichtigungen über Aktionen im Zielsystem. Detaillierte Informationen zum Thema l Dell One Identity Manager Konfigurationshandbuch One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 134 Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks while compiling database. Problem In der Jobqueue befinden sich Prozesse, deren Verarbeitung vor der Aktualisierung der Datenbank abgeschlossen sein muss. Die Aktualisierung der Datenbank startet nicht. Lösung l Stellen Sie sicher, dass die Prozesse in der Jobqueue und die Aufträge in der DBQueue vor dem Start der Aktualisierung verarbeitet wurden. Zum Zeitpunkt der Aktualisierung der Datenbank sollten sich keine Einträge in der Jobqueue und der DBQueue befinden. One Identity Manager 7.1.2 Installationshandbuch Fehlerbehebung 135 A Anhang: One Identity Manager Authentifizierungsmodule HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind. Folgende Authentifizierungsmodule sind verfügbar. Systembenutzer Mit diesem Authentifizierungsmodul nutzen Sie einen in der One Identity Manager-Datenbank vorhandenen Systembenutzer und sein Kennwort als Systembenutzerkennung zur Anmeldung. Standardmäßig ist der Systembenutzer „viadmin“ vorhanden. Der Systembenutzer „viadmin“ hat die vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die Benutzeroberfläche und die Rechtestruktur für den „viadmin“ sollten Sie nicht produktiv nutzen beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Migration überschrieben wird. Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen nutzen. Person HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Es können sich nur Personen anmelden, denen ein Systembenutzer direkt zugeordnet ist. Kennwort für die Anmeldung ist das Kennwort des Systembenutzers. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Datenänderungen können der angemeldeten Person zugeordnet werden. Nutzen Sie dieses Authentifizierungsmodul, wenn Sie die Bearbeitungsrechte der One Identity Manager Benutzer administrativ regeln und ihre Identität transparent machen wollen. Single Sign-on generisch (rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 136 Dieses Authentifizierungsmodul unterstützt die Authentifizierung mittels Single Sign-on. Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung an den One Identity Manager-Werkzeugen. Es muss festgelegt werden, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der angemeldeten Person zugeordnet. Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an. Tabelle 53: Konfigurationsparameter für das Authentifizierungsmodul Konfigurationsparameter Bedeutung QER\Person\GenericAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Single Sign-on unterstützt wird. QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält die Tabelle im One Identity SearchTable Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt. Beispiel: ADSAccount QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält die Spalte aus der One Identity SearchColumn Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des angemeldeten Benutzers verwendet wird. Beispiel: CN QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte EnabledBy Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte DisabledBy Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert. Beispiel: AccountDisabled Person (rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Als Kennwort geben Sie das Systembenutzerkennwort der Person an. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der angemeldeten Person zugeordnet. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 137 Person (dynamisch) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Als Kennwort geben Sie das Systembenutzerkennwort der Person an. Im Gegensatz zum Authentifizierungsmodul „Person“ wird bei diesem Authentifizierungsmodul nicht der an der Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern ein Systembenutzer über die Konfigurationsdaten der Anwendung bestimmt. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können der angemeldeten Person zugeordnet werden. Benutzerkonto HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Personen geprüft und die Person ermittelt, deren Anmeldung mit dem angemeldeten Benutzer übereinstimmt. Die Anmeldeinformationen der Person werden in der Form: Domäne\Benutzer erwartet. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person direkt zugeordnet ist. Datenänderungen können dem angemeldeten Benutzerkonto zugeordnet werden. Benutzerkonto (rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Personen geprüft und die Person ermittelt, deren Anmeldung mit dem angemeldeten Benutzer übereinstimmt. Die Anmeldeinformationen der Person werden in der Form: Domäne\Benutzer erwartet. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Kontenbasierter Systembenutzer Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Systembenutzer geprüft und der Systembenutzer verwendet, dessen Anmeldeinformationen mit dem angemeldeten Benutzer übereinstimmt. Die Anmeldeinformationen des Systembenutzers werden in der Form: Domäne\Benutzer erwartet. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 138 Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen. Datenänderungen können dem angemeldeten Benutzerkonto zugeordnet werden. Active Directory® Benutzerkonto HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist. Das Authentifizierungsmodul erkennt, ob es sich um eine Anmeldung an einer Arbeitsstation oder an einem Webfrontend handelt. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Bei der Anmeldung wird über die SID des Benutzers und die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Besitzen Personen mehrere Identitäten, wird über den Konfigurationsparameter „QER\Person\MasterIdentity\UseMasterForAuthentication“ gesteuert, welche Person zur Authentifizierung verwendet wird. Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die Authentifizierung genutzt. Ist der Parameter deaktiviert, wird die Subidentität der Person für die Authentifizierung genutzt. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Datenänderungen können dem angemeldeten Benutzerkonto zugeordnet werden. Der Vorteil dieses Moduls liegt darin, dass zur Anmeldung an der Arbeitsstation oder einem Webfrontend und an den One Identity Manager-Administrationswerkzeugen nur eine Anmeldung benötigt wird. Eine erneute Kennwortangabe ist nicht erforderlich. HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig. Active Directory® Benutzerkonto (rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist. Mit diesem Authentifizierungsmodul nutzen Sie den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Bei der Anmeldung wird über die SID des Benutzers und die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Es wird die Person ermittelt, die dem Benutzerkonto zugeordnet ist. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig Active Directory® Benutzerkonto (manuelle Eingabe/rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist. Dieses Authentifizierungsmodul erfordert zur Anmeldung die manuelle Eingabe der Systembenutzerkennung. Als Systembenutzerkennung nutzen Sie den Anmeldenamen, mit dem sich ein Benutzer an Domänen anmeldet. Anhand einer vordefinierten Liste von zulässigen Domänen wird die Identität des Benutzers One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 139 ermittelt. Bei Erfolg werden die weiteren Anmeldeinformationen wie beim Authentifizierungsmodul „Active Directory® Benutzerkonto (rollenbasiert)“ ermittelt. Die zulässigen Domänen geben Sie im Konfigurationsparameter „TargetSystem\ADS\AuthenticationDomains“ an. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Active Directory® Benutzerkonto (manuelle Eingabe) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist. Dieses Authentifizierungsmodul nutzt zur Anmeldung nicht den aktuell an der Arbeitsstation angemeldeten Benutzer, sondern erfordert die manuelle Eingabe der Systembenutzerkennung. Als Systembenutzerkennung nutzen Sie den Anmeldenamen, mit dem sich der Benutzer an Domänen anmeldet. Anhand einer vordefinierten Liste von zulässigen Domänen wird die Identität des Benutzers ermittelt. Bei Erfolg werden die weiteren Anmeldeinformationen wie beim Authentifizierungsmodul „Active Directory® Benutzerkonto (dynamisch)“ ermittelt. Die zulässigen Domänen geben Sie im Konfigurationsparameter „TargetSystem\ADS\AuthenticationDomains“ an. Active Directory® Benutzerkonto (dynamisch) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul vorhanden ist. Das Authentifizierungsmodul erkennt, ob es sich um eine Anmeldung an einer Arbeitsstation oder an einem Webfrontend handelt. Die Anmeldeinformationen des Benutzerkontos werden wie beim Authentifizierungsmodul „Active Directory® Benutzerkonto“ ermittelt. Es wird die Person bestimmt, die diesem Benutzerkonto zugeordnet ist. Im Gegensatz zum Authentifizierungsmodul „Active Directory® Benutzerkonto“ wird beim dynamischen Authentifizierungsmodul nicht der an der Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern ein Systembenutzer über die Konfigurationsdaten der Anwendung bestimmt. Somit kann beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können dem angemeldeten Benutzerkonto zugeordnet werden. HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig. LDAP Benutzerkonto (dynamisch) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist. Mit diesem Authentifizierungsmodul nutzen Sie den Anmeldenamen, die Bezeichnung, den definierten Namen oder die Benutzer-ID eines LDAP Benutzerkontos als Systembenutzerkennung. Als Kennwort geben Sie das Kennwort an, das in den allgemeinen Stammdaten des LDAP Benutzerkontos erfasst ist. Bei der Anmeldung über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem LDAP Benutzerkonto zugeordnet ist. Der One Identity Manager bestimmt den Systembenutzer über die Konfigurationsdaten der Anwendung. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 140 angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können dem angemeldeten LDAP Benutzerkonto zugeordnet werden. HTTP Header (rollenbasiert) Dieses Authentifizierungsmodul unterstützt die Authentifizierung über Web Single-Sign-On Lösungen, die mit einer Proxy basierten Architektur arbeiten. Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der angemeldeten Person zugeordnet. HTTP Header Dieses Authentifizierungsmodul unterstützt die Authentifizierung über Web Single-Sign-On Lösungen, die mit einer Proxy basierten Architektur arbeiten. Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen Benutzernamen übereinstimmt. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der Systembenutzer aus dem Konfigurationsparameter „SysConfig\Logon\DefaultUser“ ermittelt. Datenänderungen werden der angemeldeten Person zugeordnet. OAuth 2.0/OpenID Connect HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect. Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation oder der OpenID Connect Spezifikation. Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung. Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token zurückgeben kann. Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den Konfigurationsparameter QER\Person\OAuthAuthenticator\LoginEndpoint wird ein erweiterter Anmeldedialog aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt: One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 141 1. Konfiguration der Webanwendung (Tabelle QBMWebApplication) a. Zertifikatstext (QBMWebApplication.CertificateText) . b. Subject oder Fingerabdruck aus dem lokalen Speicher (QBMWebApplication.OAuthCertificateSubject und QBMWebApplication.OAuthCertificateThumbPrint). c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint). Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren. 2. Konfigurationsparameter a. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText"). b. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateSubject" und "QER\Person\OAuthAuthenticator\CertificateThumbPrint"). c. Zertifikatsendpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateEndpoint"). Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren. d. JSON-Web-Key-Endpunkt (Konfigurationsparameter "QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint"). Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur Suche des Benutzerkontos verwendet werden. Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid" enthalten, verwendet das Authentifizierungsmodul "OpenID Connect". Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten Person direkt zugeordnet ist. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird. Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden Konfigurationsparameter an. Tabelle 54: Konfigurationsparameter für das Authentifizierungsmodul Konfigurationsparameter Bedeutung QER\Person\OAuthAuthenticator Der Konfigurationsparameter legt fest, ob die Authentifizierung über Sicherheitstoken unterstützt wird. QER\Person\OAuthAuthenticator\Certificate Endpoint Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Zertifikatsendpunkts auf dem Autorisierungsserver. Beispiel: https://localhost/RSTS/SigningCertificate One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 142 Konfigurationsparameter Bedeutung QER\Person\OAuthAuthenticator\Certificate Subject Der Konfigurationsparameter enthält das Subject des Zertifikats, das zur Überprüfung verwendet wird. Subject oder Fingerabdruck müssen gesetzt sein. QER\Person\OAuthAuthenticator\Certificate ThumbPrint Der Konfigurationsparameter enthält den Fingerabdruck des zu verwendenden Zertifikates zur Prüfung des Sicherheitstokens. QER\Person\OAuthAuthenticator\ClientID Der Konfigurationsparameter legt fest, ob ClientAnwendungen die Authentifizierung unterstützen. QER\Person\OAuthAuthenticator\ClientID\W eb Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der Web Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:DellOneIdentityManager/Web QER\Person\OAuthAuthenticator\ClientID\W indows Der Konfigurationsparameter enthält Uniform Resource Name (URN) der nativen Anwendung, welche die Authentifizierung unterstützt. Beispiel: urn:DellOneIdentityManager/WinClient QER\Person\OAuthAuthenticator\DisabledB yColumns Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert. Beispiel: AccountDisabled QER\Person\OAuthAuthenticator\EnabledBy Columns Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte Liste von Boolean-Spalten aus der One Identity Manager-Tabelle (SearchTable), die das Benutzerkonto für die Anmeldung aktiviert. QER\Person\OAuthAuthenticator\IssuerNam e Der Konfigurationsparameter enthält den Uniform Resource Name (URN) des Aussteller des Zertifikates zur Prüfung des Sicherheitstokens. Beispiel: urn:DellSTS/identity QER\Person\OAuthAuthenticator\LoginEndp oint Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) der erweiterten Anmeldeseite des Sicherheitstokendienstes. Beispiel: http://localhost/rsts/login QER\Person\OAuthAuthenticator\Resource Der Konfigurationsparameter enthält den Uniform Resource Name (URN) der abzufragenden Ressource, zum Beispiel für ADFS. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 143 Konfigurationsparameter Bedeutung QER\Person\OAuthAuthenticator\SearchClai m Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs aus dem die Anmeldeinformationen ermittelt werden. Beispiel: Name einer Entität http://schemas.xmlsoap.org/ws/2005/05/identity/c laims/nameidentifier QER\Person\OAuthAuthenticator\SearchCol umn Der Konfigurationsparameter enthält die Spalte aus der One Identity Manager-Tabelle (SearchTable), die zur Suche der Benutzerinformationen verwendet wird. Entsprechung des Claim-Typs (SearchClaim) im One Identity Manager Schema. Beispiel: ObjectGUID QER\Person\OAuthAuthenticator\SearchTab le Der Konfigurationsparameter enthält die Tabelle im One Identity Manager Schema in der die Benutzerinformationen hinterlegt werden. Die Tabelle muss einen Fremdschlüssel namens UID_Person enthalten, der auf die Tabelle Person zeigt. Beispiel: ADSAccount QER\Person\OAuthAuthenticator\TokenEnd point Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Tokenendpunktes des Autorisierungsservers für die Rückgabe des Zugriffstokens an den Client für die Anmeldung. Beispiel: https://localhost/rsts/oauth2/token QER\Person\OAuthAuthenticator\ UserNameClaim Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) des Claim-Typs, der verwendet wird, um Datenänderungen zu kennzeichnen (XUserInserted, XUserUpdated). Beispiel: User Principal Name (UPN) http://schemas.xmlsoap.org/ws/2005/05/identity/c laims/upn QER\Person\OAuthAuthenticator\InstalledR edirectUri Der Konfigurationsparameter enthält den Uniform Resource Identifier (URI) zur Weiterleitung für installierte Applikationen. Beispiel: urn:InstalledApplication QER\Person\OAuthAuthenticator\AllowSelfS ignedCertsForTLS Der Konfigurationsparameter legt fest, ob die Nutzung von selbstsignierten Zertifikaten bei der Verbindung zum Tokenund User Info Endpunkt erlaubt ist. QER\Person\OAuthAuthenticator\Certificate Text Der Konfigurationsparameter enthält den Inhalt des Zertifikats als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn kein Zertifikatsendpunkt konfiguriert ist. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 144 Konfigurationsparameter Bedeutung QER\Person\OAuthAuthenticator\JsonWebK eyEndpoint Der Konfigurationsparameter enthält den URL des JSON-WebKey-Endpunktes, der die Signierungsschlüssel liefert. Derzeit werden nur JWK-Dateien unterstützt, die die Zertifikate im x5c-Feld (Certificate Chain) enthalten. QER\Person\OAuthAuthenticator\LogoutEnd point Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des Abmelde-Endpunktes. Beispiel: http://localhost/rsts/login?wa=wsignout1.0 QER\Person\OAuthAuthenticator\SharedSec ret Der Konfigurationsparameter enthält den Shared-Secret-Wert, der für die Authentifizierung am Tokenendpunkt genutzt wird. Tabelle 55: Zusätzliche Konfigurationsparameter für OpenID Connect Konfigurationsparameter Bedeutung QER\Person\OAuthAuthenticator\Scope Der Konfigurationsparameter legt das Protokolls für die Authentifizierung fest. Besitzt der Konfigurationsparameter einen Wert "openid", wird OpenID Connect verwendet, ansonsten OAuth2. QER\Person\OAuthAuthenticator\UserInfoEndpoint Der Konfigurationsparameter enthält den Uniform Resource Locator (URL) des OpenID Connect User Info Endpunktes. OAuth 2.0/OpenID Connect (rollenbasiert) HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management Basismodul vorhanden ist. Das Authentifizierungsmodul verwendet die für das Authentifizierungsmodul "OAuth 2.0 / OpenID Connect" beschriebenen Mechanismen und Konfigurationsparameter. Passen Sie die Konfigurationsparameter im Designer an. Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden über diesen Systembenutzer geladen.Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird. Synchronisationsauthenticator Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Synchronization Editor. Dieses Authentifizierungsmodul können Sie nicht zur Anmeldung an den One Identity ManagerAdministrationswerkzeugen verwenden. Die Anmeldung erfolgt über den Systembenutzer „sa“. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird. Web Agent Authenticator Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Web Designer, um vor der ersten Benutzeranmeldung auf die Datenbank zuzugreifen. Dieses Authentifizierungsmodul können Sie One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 145 nicht zur Anmeldung an den One Identity Manager-Administrationswerkzeugen verwenden. Die Anmeldung der Prozesskomponenten erfolgt über den Systembenutzer „sa“. Dieser Systembenutzer besitzt die erforderlichen Zugriffsrechte für die One Identity Manager-Prozesskomponenten. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird. Component Authenticator Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung der Prozesskomponenten. Dieses Authentifizierungsmodul können Sie nicht zur Anmeldung an den One Identity ManagerAdministrationswerkzeugen verwenden. Die Anmeldung der Prozesskomponenten erfolgt über den Systembenutzer „sa“. Dieser Systembenutzer besitzt die erforderlichen Zugriffsrechte für die One Identity Manager-Prozesskomponenten. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird. Crawler Dieses Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes für die Volltextsuche über die Datenbank verwendet. Dieses Authentifizierungsmodul können Sie nicht zur Anmeldung an den One Identity Manager-Administrationswerkzeugen verwenden. Die Anmeldung erfolgt über den Systembenutzer „sa“. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird. Verwandte Themen l Aktivieren weiterer One Identity Manager Authentifizierungsmodule auf Seite 124 One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Authentifizierungsmodule 146 B Anhang: Erstellen einer One Identity Manager-Datenbank für eine Testoder Entwicklungsumgebung aus einer Datenbanksicherung Um eine Testdatenbank oder eine Entwicklungsdatenbank aus einer Datenbanksicherung von einem anderen System zu erstellen 1. Erstellen Sie eine neue Datenbank auf dem Datenbankserver in der Referenzumgebung. 2. Erstellen Sie eine Datenbanksicherung der Originaldatenbank. 3. Spielen Sie die Datenbanksicherung in die Referenzdatenbank ein. 4. Stellen Sie die Berechtigungen für die Datenbankbenutzer auf dem Datenbankserver wieder her. 5. Kompilieren Sie die Datenbank mit dem Database Compiler. Mit dem Database Compiler passen Sie die Verbindungsdaten zur Datenbank an und kompilieren alle Skripte und Prozesse der Datenbank. a. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank kompilieren. Der Database Compiler wird gestartet. b. Auf der Startseite des Database Compiler klicken Sie Weiter. c. Auf der Seite Verbindung zur Datenbank herstellen erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank und klicken Sie Weiter. d. Es wird die Überprüfung der Datenbank-ID ausgeführt. Wird während der Prüfung festgestellt, dass die Datenbank-ID nicht korrekt ist, werden Sie aufgefordert, eine neue Datenbank-ID erzeugen zu lassen. Bestätigen Sie die Aufforderung mit Ja. Die Datenbank-ID wird geändert. e. Auf der Seite Datenbankverbindungsinformationen unvollständig prüfen Sie die Verbindungsdaten zur Datenbank und ändern Sie diese gegebenenfalls. Klicken Sie Weiter. l Prüfen Sie die Verbindungsparameter (Connection-String) Die Eingabe ändern Sie über die Schaltfläche [...] neben dem Eingabefeld. Wählen Sie die Verbindungsdaten Ihrer Datenbank. l Prüfen Sie den vollständiger Kundennamen. f. Es erfolgt ein Test der Datenbankverbindung. Bestätigen Sie die Meldung mit OK. g. Geben Sie erneut die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und One Identity Manager 7.1.2 Installationshandbuch Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung 147 klicken Sie Weiter. h. Auf der Seite Verbindung zur Datenbank herstellen geben Sie die Verbindungsdaten zur One Identity Manager-Datenbank an und klicken Sie Weiter. i. Auf der Seite Kompiliervorgaben werden die zu kompilierenden Bestandteile angezeigt. Um den Kompiliervorgang zu starten, klicken Sie Weiter. Die Kompilierung wird gestartet. Der Vorgang kann einige Zeit in Anspruch nehmen. j. Auf der Seite Kompilierung werden die Ergebnisse des Kompiliervorgangs angezeigt. Nach Beenden der Kompilierung, klicken Sie Weiter. k. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. 6. Passen Sie im Designer die Staging Ebene der Datenbank an. a. Wählen Sie im Designer die Kategorie Basisdaten | Datenbanken. b. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebene auf "Testumgebung" oder "Entwicklungssystem". c. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken Sie Speichern. 7. Passen Sie im Synchronization Editor die Verbindungsdaten der Synchronisationsprojekte an. Verwandte Themen l Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung auf Seite 54 One Identity Manager 7.1.2 Installationshandbuch Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung 148 C Anhang: Erweiterte Konfiguration der Manager Webanwendung HINWEIS: Der Web Installer verwendet Standardwerte für die meisten Konfigurationseinstellungen. Meistens können Sie diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe des Manager Web Configuration Editor überprüfen. Die Konfiguration der Manager Webanwendung erfolgt mit Hilfe des Manager Web Configuration Editor. Der Manager Web Configuration Editor ist Teil der Webanwendung und befindet sich im Installationsverzeichnis im Unterverzeichnis WebConfigEditor. Um die Konfiguration durchzuführen 1. Starten Sie die Datei WebConfigEditor.exe. Der Manager Web Configuration Editor öffnet automatisch die Datei web.config der Webanwendung. 2. Passen Sie die Konfigurationseinstellungen an. 3. Speichern Sie die Änderungen. Detaillierte Informationen zum Thema l Allgemein auf Seite 149 l Datenbankverbindung auf Seite 150 l Sicherheit auf Seite 151 l Debugging auf Seite 152 l Leistung auf Seite 152 l Dateidownload auf Seite 153 l ASP.Net Basiseinstellungen auf Seite 154 l Applikationspool auf Seite 154 l Plugins auf Seite 155 l Load Balancing auf Seite 156 l Single Sign-On auf Seite 157 Allgemein Hier konfigurieren Sie das Erscheinungsbild der Webanwendung. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 149 Tabelle 56: Bedeutung der allgemeinen Konfigurationseinstellungen Einstellung Beschreibung Kultur Sprachkultur. Die Sprachkultur hat unter anderem Einfluss auf die Darstellung von Datumswerten und Zahlen. SitzungsTimeout Zeit der Inaktivität eines Benutzers in Minuten, nachdem der Benutzer automatisch abgemeldet werden soll. Dieser Wert ist abhängig vom Timeout-Modus und hat direkten Einfluss auf den Speicherverbrauch und somit auf die Anwendungsperformance. HINWEIS: Dieser Wert sollte so lang wie nötig und so kurz wie möglich gewählt werden, da verwaiste Sitzungen Speicher verbrauchen und die Anwendungsperformance negativ beeinflussen. TimeoutModus Verfahren zur Timeout-Bestimmung. l TimeOut Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeout definierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist. l HeartBeat Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeout definierte Zeitspanne ohne Aktivität des Benutzers verstrichen ist. Das offene Browserfenster des Benutzers meldet sich automatisch. So dass der Timeout erst mit dem Schließen des Browserfensters beginnt. Visualisierung Visualisierung der Anwendung Dynamische Designauswahl Wird momentan nicht verwendet. Portalmodus aktivieren Erlaubt der Anwendung in einem Frame einer anderen Anwendung verlinkt zu werden. Datenbankverbindung Hier legen Sie alle Datenbankparameter fest. Tabelle 57: Bedeutung der Konfigurationseinstellungen für die Datenbankverbindung Einstellung Beschreibung Datenbank Datenbankverbindung. Sie können zwischen einer SQL Server® Datenbankverbindung, einer Oracle Datenbankverbindung und einem Anwendungsserver wählen. Anwendung Anwendung, die den Inhalt der Webanwendung festlegt. In der Regel sollten Sie Manager wählen. Anzeigename Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet werden soll. Authentifizierung Verfahren, mit dem die Benutzer bei der Anmeldung an der Anwendung authentifiziert werden sollen. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 150 Einstellung Beschreibung Schnelle Anmeldung (Single-Sign-On) Angabe, ob Single Sign-On zur Anmeldung verwendet werden soll. Aktivieren Sie diese Option, wenn Sie Single Sign-On benutzen. Die Anwendung zeigt dadurch keine Anmeldeseite dem Benutzer und versucht dessen Identität automatisch zu ermitteln. Verwandte Themen l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136 Sicherheit Hier legen Sie einige wichtige, die Sicherheit der Anwendung beeinflussende, Einstellungen fest. Tabelle 58: Bedeutung der Konfigurationseinstellungen für die Sicherheit Einstellung Beschreibung Installationsumgebung Standardkonfigurationen der Installationsumgebung. Diese Einstellung wirkt sich auf andere Konfigurationsgruppen aus. Tabelle 59: Zulässige Werte Wert Beschreibung Production Empfohlene Einstellung für alle produktiven Installationen. Test Einstellung, wenn die Anwendung zu Testzwecken installiert wurde. Development Einstellungen, wenn die Anwendung in einem Entwicklungsumfeld installiert wurde. Custom Einstellungen, wenn Sie alle Einstellungen manuell vornehmen möchten. Antwortverzögerung bei ungültiger Sitzung Zeit in Sekunden, die eine clientseitige Anfrage mit falschen Sitzungsinformationen blockiert werden soll. Diese Einstellung soll eventuelle „Brute Force“ Angriffe verhindern. Anmeldung ohne Cookies erlauben Die Anwendung nutzt Sitzungs-Cookies zur Sicherung der Client-Server Kommunikation. Aktivieren Sie diese Einstellung, um Benutzeranmeldungen ohne Cookies zu erlauben. Dies wäre der Fall, falls beispielsweise Cookies im Firmennetzwerk verboten wurden. HINWEIS: Es ist empfohlen diese Einstellung nicht zu aktivieren. Browserfenster nach dem Abmelden schließen Angabe, ob das Browserfenster nach Abmeldung geschlossen werden soll. Ist diese Einstellung aktiviert, versucht die Anwendung das Browserfenster des Benutzers zu schließen, nachdem sich dieser abgemeldet hat. Diese Funktion wird nicht von jedem Browser unterstützt oder erfolgt nur nach Nachfrage des Browsers. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 151 Debugging Hier befinden sich nützliche Einstellungen zur Fehlersuche. Im Normalfall müssen Sie hier nichts konfigurieren. Tabelle 60: Bedeutung der Konfigurationseinstellungen für das Debugging Einstellung Beschreibung Protokollumfang Menge an Informationen, die protokolliert werden sollen. HINWEIS: Im produktiven Betrieb der Anwendung sollte „Normal“ eingestellt werden. Dokumentationsmodus aktivieren Angabe, ob in der Anwendungsoberfläche einige zusätzliche Informationen angezeigt werden, beispielsweise der Name des aktiven Formulars. Die Wirkung ist abhängig von der ausgewählten Visualisierung. HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert werden. SQL Protokoll aktivieren Angabe, ob alle Datenbankanweisungen protokolliert werden sollen. Das Protokoll wird in das SQL Protokollverzeichnis geschrieben. HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert werden. ASP.Net Fehlermeldungen anzeigen Angabe, ob ASP.Net eigene Fehlermeldungen angezeigt werden sollen. Testmodus aktivieren Angabe, ob automatische Tests unterstützt werden sollen. HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert werden. HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert werden. Verwandte Themen l Verzeichnisse auf Seite 154 Leistung Hier legen Sie einige wichtige Einstellungen fest, die die Leistung der Anwendung beeinflussen. Tabelle 61: Bedeutung der Konfigurationseinstellungen für die Leistung Einstellung Beschreibung Lastverteilung Modus des integrierten Load-Balancings. In den meisten Fällen sollte „DistributeEqually“ gewählt werden. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 152 Einstellung Beschreibung Maximale Auslastung Maximale Anzahl von Benutzersitzungen, die die Anwendung akzeptieren soll. Soll eine große Anzahl von Sitzungen ermöglicht werden, so sollte die Anwendung eventuell mehrfach installiert werden, da die Systemressourcen für jeden Anwendungsprozess limitiert sind. Maximum erzwingen Wird diese Einstellung deaktiviert, so wird der Wert unter Maximale Auslastung unwirksam. Er wird jedoch als Schwellwert für das Load-Balancing-Verfahren „DistributeSuccessively“ verwendet. HTTPÜbertragung komprimieren Angabe, ob die Nutzung der Kompression der HTTP Kommunikation aktiviert werden soll. Host Segmentation Angabe von Host Segmenten. Die Einstellung ermöglicht die Verteilung der clientseitigen Anfragen auf mehrere Serveradressen die alle Aliase für das Webfrontend darstellen. Damit lassen sich einige Limitierungen des Browsers umgehen und so bei schlechten Netzverbindungen die Ladezeiten verkürzen. HINWEIS: Die Kompression der HTTP Kommunikation muss auch für den Internet Information Services konfiguriert worden sein. Weitere Informationen finden Sie in der Dokumentation des Webservers. Verwandte Themen l Load Balancing auf Seite 156 Dateidownload Um den Download größerer Dateien zu ermöglichen, benötigt die Anwendung ein Verzeichnis in dem der Download dem Benutzer zur Verfügung gestellt werden kann. Dies betrifft zum Beispiel Berichte die von der Anwendung generiert und dann vom Benutzer als PDF gespeichert werden. Tabelle 62: Bedeutung der Konfigurationseinstellungen für den Download von Dateien Einstellung Beschreibung Dateidownload aktivieren Angabe, ob Dateidownload aktiviert werden soll. Aktivieren Sie diese Einstellung, um den Download von größeren Dateien, wie Berichten, zu ermöglichen. Ist der Dateidownload deaktiviert, stehen einige Funktionen nicht zur Verfügung. Downloadverzeichnis Verzeichnis, das die Anwendung nutzen soll, um die Downloads zur Verfügung zu stellen. Die Anwendung benötigt vollständige Rechte in diesem Verzeichnis. Säuberungsintervall Zeitdauer in Minuten, in der nicht benötigten Datei gesucht und entfernt werden. Bereitstellungsdauer Zeitdauer in Minuten, in der ein Download dem Benutzer zur Verfügung gestellt werden soll. Nach der Initiierung eines Downloads kann die Anwendung nicht mehr feststellen, wann und ob der Download vom Benutzer durchgeführt wurde, sodass der Download nach einer bestimmten Zeit abgebrochen werden muss. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 153 ASP.Net Basiseinstellungen Hier sehen Sie einige Einstellungen des ASP.Net, die vom Manager Web Configuration Editor editiert werden können. Tabelle 63: Bedeutung der Konfigurationseinstellungen für ASP.Net Einstellung Beschreibung Maximale Anfragelänge Maximale Größe einer Benutzeranfrage in Kilobyte (kByte). Diese limitiert unter anderem die maximale Größe der Dateien, die hochgeladen werden können. Maximale Ausführungszeit Maximale Zeit in Sekunden, die eine Benutzerabfrage bearbeitet werden darf. Das Überschreiten dieser Zeit hat einen harten Abbruch der Benutzeranfrage zur Folge. HINWEIS: Diese Zeit sollte nicht zu kurz festgelegt werden, da das Überschreiten dieser Zeit einen Sitzungsverlust des Benutzers zur Folge haben kann. Verzeichnisse Hier konfigurieren Sie alle Verzeichnisse, die die Anwendung benötigt. Tabelle 64: Bedeutung der Konfigurationseinstellungen für Verzeichnisse Einstellung Beschreibung Applikationsverzeichnis Vollständiger Pfad zum Installationsverzeichnis der Anwendung. Dies ist das Verzeichnis indem sich die Datei web.config befindet. HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung. Protokollverzeichnis Verzeichnis, in welches das Anwendungsprotokoll geschrieben werden soll. Dieses Verzeichnis kann relativ zum Applikationsverzeichnis angegeben werden. Datenbank Cache Vollständiger Pfad zum Verzeichnis, in das häufig verwendete Datenbankinhalte zwischengespeichert werden sollen. Skriptassembly Cache Vollständiger Pfad zum Verzeichnis, in das die Assemblies zwischengespeichert werden sollen. SQL Protokollverzeichnis Vollständiger Pfad zum Verzeichnis, in das die Datenbankzugriffe protokolliert werden sollen. Das SQL Protokoll ist nur zur Fehlersuche zu verwenden und muss unter Debugging | SQL Protokoll aktivieren aktiviert werden. Verwandte Themen l Debugging auf Seite 152 Applikationspool Hier definieren Sie alle Anwendungen die zusammenarbeiten, um die Anwendung dem Benutzer in mehreren Sprachen zur Verfügung zu stellen. One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 154 l Klicken Sie auf Applikation hinzufügen, um eine weitere Anwendung zu definieren. l Klicken Sie auf Applikation entfernen, um die selektierte Anwendung zu entfernen. l Mit den beiden Pfeilen auf der rechten Seite können Sie die Reihenfolge ändern. HINWEIS: Es muss mindestens die aktuell konfigurierte Anwendung definiert werden. Die Reihenfolge hat direkten Einfluss auf die Anmeldeperformance, da der Status der konfigurierten Anwendungen in der definierten Reihenfolge abgefragt wird. Tabelle 65: Bedeutung der Konfigurationseinstellungen für den Applikationspool Einstellung Beschreibung URL für Weiterleitung Vollständige Adresse zur Anwendung. Diese Adresse muss auch clientseitig durch die Browser der Benutzer auflösbar sein. HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung. Authentifizierung Die Anwendungen kommunizieren über die definierte URL untereinander. Dafür werden Berechtigungen benötigt, wenn der anonyme Zugriff nicht erlaubt ist. Die Anwendung benötigt dafür die gleichen Rechte, die auch benötigt werden, wenn die URL per Browser auf dem Server aufgerufen werden soll. Verwandte Themen l Load Balancing auf Seite 156 Plugins Plugins erweitern die Funktionalität der Anwendung. Sie können ein Plugin aktivieren, indem Sie die Option vor dem Namen des Plugins aktivieren. Unterhalb eines Plugins finden Sie eventuell einige pluginspezifische Einstellungen. Plugin "Automatische Aktualisierung" Dieses Plugin führt die automatische Aktualisierung durch. Tabelle 66: Bedeutung der Konfigurationseinstellungen Einstellung Bedeutung Automatische Aktualisierung Die automatische Aktualisierung wird aktiviert. Schweregrad Schweregrad einer Änderung, damit die automatische Aktualisierung gestartet wird. Verwandte Themen l Aktualisieren der Manager Webanwendung auf Seite 115 l Automatisches Aktualisieren des One Identity Manager auf Seite 84 One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 155 Load Balancing Die Anwendung stellt ein einfaches Load Balancing zur Verfügung, um die Benutzersitzungen und damit auch die entstehende Last auf mehrere Prozesse oder gar Server zu verteilen. Dazu muss die Anwendung mehrfach auf demselben oder auf weiteren Servern installiert werden. Alle zusammenarbeitenden Anwendungen werden im Applikationspool der Anwendungen bekanntgegeben, auf denen eine Anmeldung möglich sein soll. Der ausgewählte Load Balancing Algorithmus verteilt Benutzeranmeldungen auf die definierten Anwendungen. HINWEIS: Auch wenn nur eine Anwendung installiert wird, muss diese in ihrem eigenen Applikationspool definiert werden, da sonst keine Anmeldung möglich ist. Tabelle 67: Unterstützte Algorithmen für das Load Balancing Algorithmus Beschreibung DistributeEqually Dieser Algorithmus verteilt die Benutzeranmeldungen so, dass jede Anwendung einer Sprache möglichst die gleiche Anzahl von aktiven Benutzern besitzt. Dieser Algorithmus ist der Standard und wird in 99% der Fälle benötigt. DistributeSuccessively Dieser Algorithmus verteilt die Benutzeranmeldungen nach der Definitionsreihenfolge der Anwendungen im Applikationspool. Zuerst werden alle Benutzeranmeldungen auf die erste Anwendung der gewünschten Sprache weitergeleitet. Erst wenn diese ihre maximale Auslastung erreicht hat, werden die Anmeldungen auf die nächste Anwendung weitergeleitet. Das Load Balancing löst folgende Probleme: l Mehrsprachigkeit Die Sprache wird pro Anwendung festgelegt, so dass eine Anwendung immer nur Benutzersitzungen in einer Sprache zur Verfügung stellen kann. Sollen Benutzer sich mit mehreren Sprachen anmelden können, so muss für jede Sprache mindestens eine Anwendung installiert werden. l Umgehung von Ressourcenlimitierungen Werden mehrere Anwendungen installiert und diese unterschiedlichen Internet Information Services Anwendungspools zugewiesen, so werden diese in separaten Prozessen gestartet. Unter 32 Bit Windows Betriebssystemen kann zum Beispiel jeder Prozess 4 GByte Speicher adressieren, aber nur 2 GByte Speicher nutzen. Davon werden weitere 40% von ASP.Net reserviert, sodass lediglich 1,2 GByte Speicher der Anwendung zur Verfügung steht. Durch eine mehrfache Installation lassen sich diese 1,2 GByte Speicher mehrfach nutzen und so der physikalisch verfügbare Hauptspeicher überhaupt ausnutzen. l Performancesteigerung Durch die Installation auf mehreren Servern lässt sich die Performance erheblich steigern. l Redundanz Durch die mehrfache Installation bedeutet der Ausfall einer installierten Anwendung nicht zwingend den Ausfall des gesamten Verbundes. Verwandte Themen l Applikationspool auf Seite 154 One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 156 Single Sign-On Die Anwendung unterstützt einen Single Sign-On Mechanismus, der es ermöglicht einen Benutzer zu authentifizieren, ohne dass dieser sich erneut per Benutzername und Kennwort authentifizieren muss. Notwendige Voraussetzungen sind: l Deaktivierung des anonymen Zugriffs. l Die Konfiguration eines Single Sign-on fähigen Authentifizierungsmoduls. l Berechtigung in dem anwendungseigenen Anwendungspool. Die Deaktivierung des anonymen Zugriffs erfolgt auf dem Webserver. Dadurch wird der Browser des Benutzers gezwungen die für die Authentifizierung benötigten Informationen zu übermitteln. 1. Öffnen Sie dazu die Konfiguration der Anwendung in den Internet Information Services und aktivieren Sie die Konfiguration zur „Authentication“. 2. Ändern Sie den Wert für Status bei „Anonymous Authentication“ auf „disabled“. Verwandte Themen l Applikationspool auf Seite 154 l Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136 One Identity Manager 7.1.2 Installationshandbuch Anhang: Erweiterte Konfiguration der Manager Webanwendung 157 D Anhang: One Identity Manager Maschinenrollen und Installationspakete Tabelle 68: Mögliche Maschinenrollen und zugehörige Installationspakete Maschinenrolle Beschreibung zum Installationspaket Workstation Enthält alle Basiskomponenten zur Installation der Werkzeuge auf einer administrativen Arbeitsstation. Documentation Administration Enthält die One Identity Manager Administrationswerkzeuge, die ein Standardbenutzer zur Erfüllung seiner Aufgaben mit dem One Identity Manager benötigt. Neben den Werkzeugen, welche die Grundfunktionalität für die Arbeit mit One Identity Manager sicherstellen, zählt dazu auch der Manager als zentrales Administrationswerkzeug. Configuration Enthält alle One Identity Manager Werkzeuge des Standardbenutzers und zusätzliche Programme, welche zur Konfiguration des Systems erforderlich sind. Dazu gehören beispielsweise Configuration Wizard, Database Compiler, Database Transporter, Crypto Configuration, Designer, Web Designer sowie Konfigurationswerkzeuge für den One Identity Manager Service. Development & Testing Enthält die One Identity Manager Werkzeuge zur Entwicklung und zum Testen kundenspezifischer Skripte und Formulare, wie beispielsweise System Debugger. Monitoring Enthält One Identity Manager Programme zur Überwachung des Systemstatus, wie beispielsweise Job Queue Info. Enthält die One Identity Manager Dokumentation in verschiedenen Sprachen. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Maschinenrollen und Installationspakete 158 Maschinenrolle Beschreibung zum Installationspaket Server Enthält alle Basiskomponenten zur Einrichtung eines Servers. Jobserver Enthält den One Identity Manager Service und die Basisprozesskomponenten. Zusätzliche Maschinenrollen enthalten die Konnektoren zur Synchronisation der einzelnen Zielsysteme. Application Server Enthält die One Identity Manager Komponenten zur Einrichtung eines Anwendungsservers. Die Maschinenrollen "Search Service" und "Search Indexing Service" werden für die Suchindizierung für die Volltextsuche benötigt. Diese Maschinenrollen sind immer gemeinsam zu verwenden. One Identity Manager 7.1.2 Installationshandbuch Anhang: One Identity Manager Maschinenrollen und Installationspakete 159 E Anhang: Einstellungen für eine neue SQL Server® Datenbank Der Configuration Wizard erstellt eine neue SQL Server® Datenbank mit den folgenden Einstellungen. Tabelle 69: Eigenschaften zur Erstellung der Datenbank Eigenschaft Wert Name der Datenbank <Datenbankname> Verzeichnis der Datendatei <Daten Verzeichnis> Name der Datendatei <Datenbankname>.mdb Initiale Größe der Datendatei <Initiale Größe> Maximale Größe der Datendatei unbegrenzt Automatische Dateivergrößerung der Datendatei 10 % Verzeichnis der Transaktionsprotokolldatei <Log Verzeichnis> Name der Transaktionsprotokolldatei <Datenbankname>.ldb Initiale Größe der Transaktionsprotokolldatei 1/2 <Initiale Größe> Maximale Größe der Transaktionsprotokolldatei unbegrenzt Automatische Dateivergrößerung der Transaktionsprotokolldatei 10 % Sortierung der Datenbank SQL_Latin1_General_CP1_CI_AS Kompatibilitätsgrad 110 Wiederherstellungsmodell Einfach Statistiken automatisch asynchron aktualisieren False Statistiken automatisch aktualisieren True Automatisch verkleinern False Statistiken automatisch erstellen True Verwandte Themen l Erstellen einer neuen SQL Server® Datenbank auf Seite 43 One Identity Manager 7.1.2 Installationshandbuch Anhang: Einstellungen für eine neue SQL Server® Datenbank 160 Über Dell In fo rmatio n e n zu D e ll Dell berücksichtigt die Wünsche seiner Kunden und liefert auf der ganzen Welt innovative Technologien, Geschäftslösungen und Dienstleistungen, die anerkannt und geschätzt werden. Weitere Informationen finden Sie unter www.quest.com. Kontaktaufnahme zu Dell Bei Fragen zum Kauf von Dell Produkten oder anderen Fragen besuchen Sie http://quest.com/company/contact-us.aspx oder rufen Sie +1 949 754 8000 an. Technische Supportressourcen Der technische Support steht Kunden, die Dell-Software mit einem gültigen Wartungsvertrag gekauft haben, und Kunden zur Verfügung, die über eine Testversion verfügen. Das Support Portal ist unter https://support.quest.com/ erreichbar. Das Support Portal stellt Selbsthilfetools bereit, mit denen Sie Probleme schnell und eigenständig lösen können – 24 Stunden am Tag, 365 Tage im Jahr. Darüber hinaus ermöglicht das Portal über ein OnlineServiceanforderungssystem auch direkten Zugang zu unseren Produktsupporttechnikern. Das Portal bietet folgende Möglichkeiten: l Erstellen, Aktualisieren und Verwalten von Serviceanforderungen (Supportfälle) l Anzeigen von Knowledge Base-Artikeln l Erhalten von Produktbenachrichtigungen l Herunterladen von Software. Testsoftware finden Sie unter http://quest.com/trials. l Anzeigen von Videos zur Vorgehensweise l Teilnahme an Communitydiskussionen l Chatten mit einem Supporttechniker One Identity Manager 7.1.2 Installationshandbuch Informationen zu Dell 161 Index HTTP Header (rollenbasiert) 136 A Kontobasierter Systembenutzer 136 LDAP Benutzerkonto (dynamisch) 136 Analyzer 11 OAuth 2.0/OpenID Connect 136 Anmeldung 117-118, 122 OAuth 2.0/OpenID Connect (rollenbasiert) 136 Datenbankbenutzer 118 Single Sign-on (rollenbasiert) 136 Standardverbindungsdialog 117 Synchronisationsauthenticator 136 Systembenutzerkennung 122 Systembenutzer 136 Anwendungsserver 9 aktualisieren 93 deinstallieren 94 Web Agent Authenticator 136 B installieren 89 One Identity Manager-Werkzeuge 16 Benachrichtigungssystem 130 One Identity Manager Service 16 Berechtigungen 29, 31, 33-34 Search Indexing Service 89 C Search Service 89 Statusanzeige 93 Clusterressource Systemanforderungen 28 One Identity Manager Service 69 Arbeitsstation aktualisieren 72 installieren 37 Protokolldatei 69 Configuration Wizard 11, 41, 43, 45, 48-51, 74-75, 77, 79, 160 starten 42 Systemanforderungen 23 Authentifizierungsmodul 122, 136 Active Directory® Benutzerkonto 136 Active Directory® Benutzerkonto (dynamisch) 136 Active Directory® Benutzerkonto (manuell) 136 Active Directory® Benutzerkonto (manuelle Eingabe/rollenbasiert) 136 Active Directory® Benutzerkonto (rollenbasiert) 136 aktivieren 136 Benutzerkonto 136 Benutzerkonto (rollenbasiert) 136 Component Authenticator 136 Crawler 136 freischalten 136 Crypto Configuration 11, 55 D Database Compiler 11 Database Transporter 11, 81 Datenbank aktualisieren 73-75, 77, 79-80 anmelden 118 entschlüsseln 59 Entwicklungsumgebung 54, 147 Hotfixpaket 73, 80 installieren 41 konfigurieren 41, 54 Konsistenzprüfung 128 Kundenkonfigurationspaket 73 HTTP Header 136 One Identity Manager 7.1.2 Installationshandbuch Index 162 Migrationspaket 73 Sicherheitskopie 82 Migrationsprotokoll 49, 79 importieren 81 Modulübersicht 126 Inhalt anzeigen 81 Oracle 46, 48, 77 installieren 80 Produktivumgebung 54 Referenzdatenbank 147 SQL Server® 43, 45, 75, 160 I Staging Ebene 54, 147 Installationsvoraussetzungen 18-21, 23-24, 26, 2829, 31, 33-35 Systemanforderungen 20-21 InstallState.config 85 Testumgebung 54, 147 J Transporthistorie 49, 79-80, 126 Transportpaket 73 Job Queue Info 11 verschlüsseln 55-58 Job Service Configuration 11 Versionsstand 49, 79, 126 Jobserver Datenbankanmeldung aktualisieren 72, 85 Oracle 118 einrichten 63 SQL Server® 118 installieren 37, 63 Datenbankbenutzer Berechtigungen 31, 33 Oracle 33 SQL Server® 31 Datenbankserver kein automatisches Softwareupdate 85, 87 K Konsistenzprüfung 128 Kundenkonfigurationspaket 73 Systemanforderungen 19 importieren 81 Designer 11 Dienstserver Systemanforderungen 24 E Inhalt anzeigen 81 L Launchpad 11 License Meter 11 E-Mail Benachrichtigung 130 F Lieferantenbenachrichtigung 61 aktivieren 61 deaktivieren 62 Fehlerbehebung 126-127 Firewall Konfiguration 35 H prüfen 62 M Manager 11 HistoryDB Manager 11 Manager Web Configuration Editor 149 Hotfixpaket 73 Manager Webanwendung 11 Datei aktualisieren 115 importieren 82 One Identity Manager 7.1.2 Installationshandbuch Index 163 deinstallieren 116 HistoryDB Manager 11 installieren 112 Identity Manager Web 11 konfigurieren 149 Installationsvoraussetzungen 23 Load Balancing 156 installieren 37, 40 Single Sign-on 157 Job Queue Info 11 Maschinenrolle 158 Job Service Configuration 11 Master SQL Server Launchpad 11 One Identity Manager Service 51 License Meter 11 Migrationspaket 73 Manager 11 O Report Editor 11 One Identity Manager Software Loader 11 Schema Extension 11 aktualisieren 71 Synchronization Editor 11 Anwendungsserver 9 System Debugger 11 Architekturübersicht 9 Web Designer 11 Benutzer 29 Web Installer 11 Berechtigungen 29 Web Portal 11 Datenbank 9 One Identity Manager Schema installieren 41 Frontends 9 Hotfix 71 One Identity Manager Service 9 installieren 36 aktualisieren 72, 85 Serverdienst 9 Benutzerkonto 51, 67 Berechtigungen 29 Service Pack 71 Clusterressource 67, 69 Systemkonfiguration Datenbankschlüssel 60 E-Mail Benachrichtigung 130 Versionsänderung 71 Installationsvoraussetzungen 24, 34 Webserver 9 installieren 51, 63 Master SQL Server 51 One Identity Manager-Komponenten aktualisieren 72, 85 private.key 60 installieren 37, 40 Protokolldatei 66 Schlüsseldatei 60 One Identity Manager-Werkzeuge 11 aktualisieren 85 Startart 67 Analyzer 11 starten 67 anmelden 117, 122 P Configuration Wizard 11 Crypto Configuration 11 Ports 35 Database Compiler 11 R Database Transporter 11 Designer 11 Report Editor 11 One Identity Manager 7.1.2 Installationshandbuch Index 164 S Datenbankbenutzer Oracle 33 Schema Extension 11 SQL Server® 31 Server Datenbankserver 19 aktualisieren 72, 85 Dienstserver 24 installieren 37, 63 One Identity Manager Service 24 Software Loader 11, 82 One Identity Manager Werkzeuge 23 Softwareaktualisierung 84 Webserver 26 aktivieren 49, 79, 84 Datei Systembenutzer administrativer 50 importieren 82 Kennwort 50 Sicherheitskopie 82 kundenspezifisch 50 Version 82 Inbetriebnahme 87 InstallState.config 85 Jobserver 85 Systembenutzerkennung anmelden 122 T One Identity Manager-Werkzeuge 85 One Identity Manager Service 85 Transporthistorie 126 Server 85 Transportpaket 73 Softwarerevision.viv 84 importieren 81 update.lock 85 Inhalt anzeigen 81 update.log 84 Updater.exe 85 Webanwendung 85 U update.lock 85 Softwarerevision.viv 84 update.log 84 Sprache 124 Updater.exe 85 Sprachkultur 124 V Standardverbindungsdialog 117 Synchronization Editor 11 System Debugger 11 Systemanforderungen Anwendungsserver 28 Arbeitsstation 23 Benutzer 29 Berechtigungen 29 Datenbank Oracle 21 SQL Server® 20 Verschlüsselung 55-60 privater Schlüssel 55 Schlüssel ändern 57 erzeugen 56 generieren 55 Schlüsseldatei 55 Schlüsselinformation 55 Volltextsuche Anwendungsserver 89, 107 Suchdienst 89, 107 Web Portal 107 One Identity Manager 7.1.2 Installationshandbuch Index 165 W Web Designer 11 Web Installer 11, 89, 94-95, 102, 112, 116 Web Portal 11 deinstallieren 102 installieren 95 konfigurieren 103 Suchdienst 107 warten 108 Webserver 9 Systemanforderungen 26 One Identity Manager 7.1.2 Installationshandbuch Index 166