Dell One Identity Manager Installationshandbuch

Dell™ One Identity Manager 7.1.2
Installationshandbuch
©
2016 Dell Inc. Alle Rechte vorbehalten.
Dieses Produkt ist durch US-amerikanische und internationale Urheberschutzgesetze und Gesetze zum Schutz
geistigen Eigentums geschützt. Dell™, das Dell-Logo und Dell™ One Identity Manager, Active Roles, Dell™ One
Identity Password Manager und Dell™ One Identity Cloud Access Manager sind Marken von Dell Inc. in den USA
und/oder anderen Gerichtsbarkeiten. Microsoft, Outlook, Active Directory, Azure, SharePoint, SQL Server,
Forefront, Internet Explorer, Visual Studio, Windows Server, Windows PowerShell, Windows Vista and Windows
are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other
countries. SAP, SAP R/3, SAP NetWeaver Application Server, SAP HANA und BAPI sind Marken oder
eingetragene Marken der SAP AG in Deutschland und vielen anderen Ländern. IBM, DB2, RACF, Notes, Domino
and LotusScript are registered trademarks of International Business Machines Corporation. Linux is the
registered trademark of Linus Torvalds in the U.S. and other countries. Oracle, MySQL and Java are trademarks
or registered trademarks of Oracle and/or its affiliates. UNIX is a registered trademark of The Open Group.
Mono ist eine eingetragene Marke von Novell, Inc. in den USA und anderen Ländern. Apache and Apache HTTP
Server are trademarks of The Apache Software Foundation. Firefox is a registered trademark of the Mozilla
Foundation. Safari is a registered trademark of Apple Inc. Chrome und Google sind eingetragene Marken von
Google Inc., Verwendung mit Genehmigung. CA ACF2 and CA Top Secret are trademarks or registered
trademarks of CA Technologies Inc. Alle anderen in diesem Dokument erwähnten Marken und Namen können
Marken der jeweiligen Rechtsinhaber sein.
Legende
VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den
möglichen Verlust von Daten hin, wenn die Anweisungen nicht befolgt werden.
WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schaden
mit Todesfolge hin.
WICHTIG, HINWEIS, TIPP, MOBIL, oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen
hin.
One Identity Manager Installationshandbuch
Aktualisiert: Juni 2017
Version: 7.1.2
Inhalt
Über dieses Handbuch
7
Überblick über den One Identity Manager
8
Editionen des One Identity Manager
8
Architektur des One Identity Manager
9
Werkzeuge des One Identity Manager
11
Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver?
16
Installationsvoraussetzungen
18
Minimale Systemanforderungen für den Datenbankserver
19
Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank
20
Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank
21
Minimale Systemanforderungen für die administrative Arbeitsstation
23
Minimale Systemanforderungen für den Dienstserver
24
Minimale Systemanforderungen für den Webserver
26
Minimale Systemanforderungen für den Anwendungsserver
28
Benutzer und Berechtigungen für den One Identity Manager
29
Berechtigungen für SQL Server® Datenbankbenutzer
31
Berechtigungen für Oracle Datenbankbenutzer
33
Einrichten der Berechtigung zum Erstellen eines HTTP Server
34
Kommunikationsports und Firewall Konfiguration
35
Installieren des One Identity Manager
36
Bevor Sie die Installation des One Identity Manager starten
37
Installieren der One Identity Manager-Komponenten
37
Installieren der One Identity Manager-Komponenten auf einem Windows® Terminalserver
40
Installieren und Konfigurieren einer One Identity Manager-Datenbank
41
Starten des Configuration Wizard
42
Erstellen einer neuen SQL Server® Datenbank
43
Verwenden einer bestehenden leeren SQL Server® Datenbank
45
Erstellen eines neuen Oracle Datenbankbenutzers
46
Verwenden eines bestehenden leeren Oracle Datenbankbenutzers
48
Verarbeiten der Datenbank
49
Erfassen der Systeminformationen
50
Installieren des One Identity Manager Service für die Datenbank
51
Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder
Produktivumgebung
54
Verschlüsseln von Datenbankinformationen
55
One Identity Manager 7.1.2 Installationshandbuch
3
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen 56
Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen
57
Erneutes Verschlüsseln der Datenbankinformationen
58
Entschlüsseln der Datenbankinformationen
59
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank
60
Lieferantenbenachrichtigung im One Identity Manager
61
Aktivieren der Lieferantenbenachrichtigung
61
Prüfen der Lieferantenbenachrichtigung
62
Deaktivieren der Lieferantenbenachrichtigung
62
Installieren und Konfigurieren des One Identity Manager Service für weitere Server
63
Anzeigen der Protokolldatei des One Identity Manager Service
66
Ändern des Benutzerkontos oder der Startart des One Identity Manager Service
67
Der One Identity Manager Service im Cluster
67
Registrieren des One Identity Manager Service im Cluster
68
Installieren und Konfigurieren des One Identity Manager Service im Cluster
69
Aktualisieren des One Identity Manager
71
Aktualisieren der One Identity Manager-Komponenten
72
Aktualisieren der One Identity Manager-Datenbank
73
Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard
74
Aktualisieren einer SQL Server® Datenbank
75
Aktualisieren eines Oracle Datenbankbenutzers
77
Verarbeiten der Datenbank während der Aktualisierung
79
Einspielen eines Hotfixes in die One Identity Manager-Datenbank
80
Inhalt eines Transportpaketes mit dem Database Transporter anzeigen
81
Importieren eines Transportpaketes mit dem Database Transporter
81
Importieren von Dateien mit dem Software Loader
82
Automatisches Aktualisieren des One Identity Manager
84
Grundlagen zur automatischen Aktualisierung
85
Inbetriebnahme der automatischen Softwareaktualisierung
87
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
89
Installieren eines One Identity Manager Anwendungsservers
89
Aktualisieren eines One Identity Manager Anwendungsservers
93
Anzeigen des Status eines One Identity Manager Anwendungsservers
93
Deinstallieren eines One Identity Manager Anwendungsservers
94
Installieren, Konfigurieren und Warten des Web Portal
95
Installieren des Web Portal
95
Installieren des Web Portal über die Kommandozeilenkonsole
99
Deinstallieren des Web Portal
102
One Identity Manager 7.1.2 Installationshandbuch
4
Konfigurieren des Web Portal
103
Datenbankverbindung
103
Webprojekt
104
Log
105
Automatische Aktualisierung
106
Webeinstellungen
107
Cache
107
Debugger Service
107
Suchdienst
107
Warten des Web Portal
108
Runtime Monitoring
108
Sicherheit
109
Ansehen der Protokolldateien und Exceptions
109
Anwenden automatischer Aktualisierungen für das Web Portal
109
Wartungsmodus
110
Manuelle Aktualisierung
110
Überwachung mithilfe von Leistungsindikatoren
110
Installieren und Aktualisieren der Manager Webanwendung
112
Installieren der Manager Webanwendung
112
Aktualisieren der Manager Webanwendung
115
Deinstallieren der Manager Webanwendung
116
Anmelden an den One Identity Manager-Werkzeugen
117
Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer
118
Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung
122
Aktivieren weiterer One Identity Manager Authentifizierungsmodule
124
Aktivieren weiterer Anmeldesprachen
124
Fehlerbehebung
126
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version
126
Behandlung von Fehlern und Warnungen während der Systemkompilierung
127
Prüfen der Datenkonsistenz
128
DBQueue Prozessor verarbeitet keine Aufträge
129
Meldung: Enter email address in configuration parameter
130
Datenbankfehler 50000: Jobqueue is not empty. This may cause in deadlocks while compiling
database.
135
Anhang: One Identity Manager Authentifizierungsmodule
136
Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder
Entwicklungsumgebung aus einer Datenbanksicherung
147
Anhang: Erweiterte Konfiguration der Manager Webanwendung
149
One Identity Manager 7.1.2 Installationshandbuch
5
Allgemein
149
Datenbankverbindung
150
Sicherheit
151
Debugging
152
Leistung
152
Dateidownload
153
ASP.Net Basiseinstellungen
154
Verzeichnisse
154
Applikationspool
154
Plugins
155
Load Balancing
156
Single Sign-On
157
Anhang: One Identity Manager Maschinenrollen und Installationspakete
158
Anhang: Einstellungen für eine neue SQL Server® Datenbank
160
Informationen zu Dell
161
Kontaktaufnahme zu Dell
161
Technische Supportressourcen
161
Index
162
One Identity Manager 7.1.2 Installationshandbuch
6
1
Über dieses Handbuch
Dieses Handbuch beschreibt die Installation und erste Inbetriebnahme des One Identity Manager. Sie erhalten
einen Überblick die Architektur des One Identity Manager und über die Funktionen der verschiedenen One
Identity Manager-Werkzeuge. Sei erhalten Informationen darüber, welche Voraussetzungen Sie zur Installation
des One Identity Manager benötigen, wie Sie die Komponenten des One Identity Manager einrichten,
installieren und aktualisieren.
Dieses Handbuch wurde als Nachschlagewerk für End-Anwender, Systemadministratoren, Berater, Analysten
und andere IT-Fachleute entwickelt.
HINWEIS: Dieses Handbuch beschreibt die Funktionen des One Identity Manager, die für den
Standardbenutzer verfügbar sind. Abhängig von der Systemkonfiguration und den Berechtigungen
stehen Ihnen eventuell nicht alle Funktionen zur Verfügung.
One Identity Manager 7.1.2 Installationshandbuch
Über dieses Handbuch
7
2
Überblick über den One Identity
Manager
One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten,
Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über
Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen
fokussieren können.
Mit diesen Produkten können Sie:
l
l
l
Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directory® mit der Dell™ One
Identity ManagerActive Directory® Edition umsetzen,
Zugriffsentscheidungen für unstrukturierte Daten mit der Dell™ One Identity Manager Data Governance
Edition vereinfachen,
Access Governance Anforderungen in Ihrem gesamten Konzern plattformübergreifend mit dem Dell™
One Identity Manager verwirklichen.
Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimierten Architektur und
realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access Management
Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten.
Editionen des One Identity Manager
Der One Identity Manager ist in folgenden Editionen verfügbar.
Tabelle 1: One Identity Manager Editionen
Edition
Beschreibung
Dell™ One Identity Manager
Die Edition enthält alle Management Module (IT Shop & Workflow,
Delegation, Verwaltung von Systemrollen und Geschäftsrollen, Role
Mining, Risikobewertung, Attestierung, Compliance,
Unternehmensrichtlinien, Abonnements von Berichten) sowie den Unified
Namespace und Konnektoren für Active Directory® .
Dell™ One Identity Manager
Active Directory® Edition
Die Edition enthält alle erforderlichen Funktionen für die Active
Directory® Unterstützung inklusive Konnektoren für Active Directory® ,
Attestierung, IT Shop & Workflow und Berichtsfunktionen.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
8
Edition
Beschreibung
Dell™ One Identity Manager Data
Governance Edition
Die Edition enthält alle erforderlichen Funktionen für die Data
Governance Unterstützung inklusive Konnektoren für Active Directory®
und SharePoint® , Risikobewertung, Attestierung, Compliance,
Unternehmensrichtlinien, Delegierung, Abonnements von Berichten und
den Data Governance Dienst.
Architektur des One Identity Manager
Abbildung 1: Überblick über die Komponenten des One Identity Manager
Der One Identity Manager besteht aus folgenden Komponenten.
Datenbank
Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgaben der Datenhaltung
und der Berechnung von Vererbungen. Vererbt werden können Eigenschaften von Objekten entlang von
hierarchischen Strukturen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Bei der
Datenhaltung bildet die Datenbank die zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur
Compliance und Zugriffsberechtigungen ab.
Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. Die Nutzdaten
enthalten alle für die Datenpflege nötigen Informationen wie beispielsweise Informationen über Personen,
Benutzerkonten, Gruppen, Mitgliedschaften und Betriebsdaten, Genehmigungsworkflows, Attestierungen,
Rezertifizierungen und Complianceregeln.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
9
Die Metadaten enthalten die Beschreibung des Nutzdatenmodells sowie Skripte für Format- und
Bildungsvorschriften oder bedingte Wechselwirkungen. Die komplette Systemkonfiguration des One Identity
Managers, die gesamten Einstellungen zur Steuerung der Frontends und die Queues für asynchrone
Verarbeitung der Daten und Prozesse sind ebenfalls Teil der Metadaten.
Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst. Die Trigger stellen
dazu Verarbeitungsaufträge in eine als "DBQueue" bezeichnete Auftragsliste ein. Der DBQueue Prozessor
verarbeitet diese Aufträge und berechnet die Vererbungen der jeweiligen Datenbankobjekte neu. Eine als
"JobQueue" bezeichnete Tabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschicht
auszuführen sind.
Als Datenbanksysteme kommen SQL Server® oder Oracle® Database zum Einsatz.
Serverdienst
Der One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannte Prozesse. Ein Prozess
besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellen und über Vorgänger-NachfolgerBeziehungen miteinander verbunden sind. Dieses Funktionsprinzip erlaubt es, flexibel Aktionen und Abläufe
an die Ereignisse von Objekten zu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die
Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess
in der JobQueue übernimmt der Jobgenerator.
Der Serverdienst „One Identity Manager Service“ sorgt für die Verbreitung der in der One Identity ManagerDatenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die
Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von
Aktionen auf Datenbank- und Dateiebene. Der One Identity Manager Service holt die Prozessschritte aus der
JobQueue ab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One Identity Manager
Service erzeugt dazu eine Instanz der benötigten Prozesskomponente und übergibt die Parameter des
Prozessschrittes. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst
abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity
Manager Service ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrere Instanzen von
Prozesskomponenten erzeugen kann.
Der One Identity Manager Service ist die einzige Komponente des One Identity Manager, die berechtigt ist,
Änderungen in den Zielsystemen auszuführen.
Anwendungsserver
Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. Der Anwendungsserver
stellt einen Verbindungspool für den Zugriff auf die Datenbank zur Verfügung und sorgt für eine sichere
Verbindung zur Datenbank. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die
Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und
sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom
Anwendungsserver an die Datenbank übergeben.
Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst die Objektschicht halten
und direkt auf die Datenbankschicht zugreifen. In den Clients kommt in diesem Fall nur der Teil der
Objektschicht zum Einsatz, der die Erfassungsprozesse abbildet.
Webserver
Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Applikation betrieben, die aus
einer Renderengine für Webseiten besteht. Der Benutzer greift mittels eines Webbrowsers auf die für ihn
dynamisch erstellte und angepasste Website zu. Der Austausch zwischen Datenbank und Webserver kann über
den Anwendungsserver oder direkt erfolgen.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
10
Frontends
Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweise wird zur
Konfiguration des One Identity Manager ein anderes Frontend verwendet als zur Verwaltung von
Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte
des jeweiligen Benutzers durch die Objektschicht bestimmt. Als Frontends stehen sowohl Clients als auch eine
browserbasierte Lösung zur Verfügung.
Abbildung 2: Überblick über die Komponenten des One Identity Manager ohne Anwendungsserver
Verwandte Themen
l
Werkzeuge des One Identity Manager auf Seite 11
l
Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? auf Seite 16
Werkzeuge des One Identity Manager
Für unterschiedliche Aufgabenstellungen gibt es verschiedene Werkzeuge. Beispielsweise wird zur
Konfiguration des One Identity Manager ein anderes Werkzeuge verwendet als zur Verwaltung von
Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte
des jeweiligen Benutzers durch die Objektschicht bestimmt.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
11
Tabelle 2: Übersicht der One Identity Manager Werkzeuge
Werkzeug
Kurzbeschreibung
Launchpad
Das Launchpad ist das zentrale Werkzeug zum Starten der Administrationswerkzeuge und
Konfigurationswerkzeuge des One Identity Manager. Mit dem Launchpad können Sie die
vorhandene One Identity Manager Installation prüfen und die Werkzeuge des One Identity
Manager zur Ausführung einzelner Aufgaben starten.
Das Launchpad ist kundenspezifisch erweiterbar. Sie können im Designer eigene
Menüeinträge und Aktionen für das Launchpad definieren.
Web Portal
Das Web Portal ist eine webbasierte Applikation für alle One Identity Manager Benutzer.
Das Web Portal stellt die stringente Arbeitsabläufe in folgenden Bereichen bereit:
l
l
Eigene Personenstammdaten und eigenes Kennwort ändern.
Personenstammdaten für untergeordnete Mitarbeiter bearbeiten oder neu
erfassen.
l
Produkte im IT Shop suchen, bestellen, abbestellen oder verlängern.
l
Eigene Rollen delegieren.
l
Zugewiesene Entscheidungen, Attestierungsvorgänge und Regelverletzungen
bearbeiten.
Im Infosystem erhalten Sie verschiedene Auswertungen, zum Beispiel über eigene
Bestellvorgänge oder Attestierungsvorgänge, Mitarbeiterzahlen, Genehmigungen,
Regelverletzungen oder den Unified Namespace.
Das Web Portal benötigt einen Webserver. Der Benutzer greift mittels eines Webbrowsers
auf die für ihn dynamisch erstellte und angepasste Website zu. Nach der Konfiguration des
Webservers und der Freigabe eines Webprojekts im Web Designer starten Sie das Web
Portal in einem Webbrowser.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
12
Werkzeug
Kurzbeschreibung
Manager
Der Manager ist das zentrale Administrationswerkzeug zur Einrichtung aller Informationen
über Personen und ihre Identitäten. Es werden alle Informationen abgebildet und
bearbeitet, die zur Verwaltung von Personen mit ihren Benutzerkonten, Berechtigungen
und unternehmensspezifischen Rollen in einem One Identity Manager-Netzwerk
erforderlich sind. Unternehmensressourcen, die die Mitarbeiter für ihre Arbeit benötigen,
können erfasst und den Personen zugewiesen werden.
Nutzen Sie den Manager außerdem, um
l
l
l
l
unternehmensspezifische IT-Richtlinien zu definieren,
einen IT Shop einzurichten, über den Unternehmensressourcen und Zuweisungen
bestellt werden,
spezielle Genehmigungsverfahren einzurichten, mit denen Bestellungen
autorisiert und die Einhaltung der IT-Richtlinien überprüft werden,
Attestierungsverfahren einzurichten, mit denen die Korrektheit der Informationen
über Personen oder Rollen und ihre Zuweisungen regelmäßig attestiert werden.
Durch den Einsatz von One Identity Manager Anwendungsrollen erhält jeder One Identity
Manager Benutzer nur die Bearbeitungsrechte, die er zur Erfüllung seiner administrativen
Aufgaben benötigt.
Die Funktionen des Manager können als Webanwendung bereitgestellt werden.
Synchronization
Editor
Die Anbindung verschiedener Zielsysteme an den One Identity Manager wird mit dem
Synchronization Editor realisiert. Mit diesem Werkzeug konfigurieren Sie die
Synchronisation von Daten beliebiger Zielsysteme und legen fest, welche Daten der
Zielsysteme in der One Identity Manager-Datenbank abgebildet werden. Dazu definieren
Sie das Mapping der Objekteigenschaften und den Ablauf der Synchronisation als Workflow.
Analyzer
Mit dem Analyzer können Sie Datenkorrelationen in der Datenbank automatisch
analysieren und erkennen. Diese Informationen können genutzt werden, um zum Beispiel
direkte Berechtigungszuordnungen durch indirekte Zuordnungen zu ersetzen, und somit
den Verwaltungsaufwand zu reduzieren.
Job Queue Info
Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der in einem One
Identity Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und
übersichtliche Darstellung der Aufträge in der JobQueue und stellt verschiedene
Abfragen des One Identity Manager Service auf den Servern zur Verfügung. Das Werkzeug
liefert Zustandsinformationen im laufenden Betrieb und ermöglicht eine schnelle
Fehlererkennung und Fehlersuche.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
13
Werkzeug
Kurzbeschreibung
Configuration
Wizard
Der Configuration Wizard ist das Werkzeug mit dem die Datenbank auf einem SQL Server®
bzw. einem Oracle® Database Datenbanksystem für die Verwendung in einem One Identity
Manager-Netzwerk eingerichtet wird. Mit dem Configuration Wizard werden die benötigten
Tabellen, Datentypen, Datenbankprozeduren des One Identity Manager Schemas in die
Datenbank eingespielt. Die Datenbankrollen mit den Berechtigungen auf das One Identity
Manager Schema werden angelegt.
Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einen
konsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zur
Datenbank sichert. Werden Erweiterungen implementiert, die die Struktur verändern
(zum Beispiel Tabellenerweiterungen), ist eine Migration der Datenbank erforderlich. Der
Configuration Wizard führt diese Schemainstallation in Abhängigkeit vom aktuellen Stand
des Schemas durch.
Designer
Der Designer ist das zentrale Werkzeug zur Konfiguration des One Identity Manager. Das
Programm bietet einen Überblick über das gesamte Datenmodell des One Identity
Manager. Es ermöglicht die Konfiguration globaler Systemeinstellungen, wie beispielsweise
Sprachen oder Konfigurationsparametern sowie die Anpassung der Benutzeroberfläche der
unterschiedlichen Administrationswerkzeuge. Mit dem Designer können Sie die
Rechtestruktur für die verschiedenen administrativen Aufgaben der einzelnen Anwender
und Anwendergruppen festlegen. Eine weitere zentrale Aufgabe ist die Definition von
Arbeitsabläufen zur technischen Abbildung der Administrationsprozesse in einem
Unternehmen. Der Designer stellt für die Systemkonfiguration des One Identity Manager
verschiedene Editoren zur Verfügung. Funktionsumfang und Arbeitsweise der Editoren sind
abgestimmt auf die unterschiedlichen Konfigurationsanforderungen.
Web Designer
Der Web Designer ist das Werkzeug zur Konfiguration und Erweiterung des Web Portals. Er
stellt Funktionen zur Verfügung, mit denen die Arbeitsabläufe des Web Portals angepasst
und neue Arbeitsabläufe entwickelt werden.
Data Import
Mit dem Programm „Data Import“ bietet der One Identity Manager einen einfache
Möglichkeit für den Datenimport aus anderen Systemen. Nutzen Sie das Programm, um
Daten betrieblicher Ressourcen aus externen Quellen in Ihre Datenbank zu importieren.
Das Programm unterstützt Importe aus Dateien und direkte Importe aus anderen
Datenbanksystemen. Datenimporte können sofort ausgeführt werden. Zusätzlich werden
Importskripte erzeugt, mit denen Datenimporte über kundenspezifische Prozesse
ausführbar sind. Die Importdefinition wird gespeichert und kann bei weiteren
Datenimporten genutzt werden.
Crypto
Configuration
Unter Umständen ist es notwendig, Informationen verschlüsselt in der Datenbank
abzulegen. Die Verschlüsselung erfolgt mit dem Programm „Crypto Configuration“. Das
Programm erzeugt eine Schlüsseldatei und konvertiert die Inhalte der betroffenen
Datenbankspalten. Die Schlüsselinformationen werden in der Datenbank abgelegt.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
14
Werkzeug
Kurzbeschreibung
Database
Compiler
Nach Änderungen von Konfigurationsdaten müssen Sie die One Identity ManagerDatenbank kompilieren. Nach dem Import eines Migrationspaketes oder eines kompletten
Kundenkonfigurationspaketes wird die Kompilierung der Datenbank aus dem Configuration
Wizard oder dem Database Transporter heraus sofort gestartet.
Nach dem Import von Hotfixpaketen oder eingeschränkten Kundenkonfigurationspaketen
sowie nach Änderungen von Prozessen, Skripten, Bildungsvorschriften, Objektdefinitionen,
Methodendefinitionen und präprozessorrelevanten Konfigurationsparametern wird der
Database Compiler zur Kompilierung der One Identity Manager-Datenbank eingesetzt.
Report Editor
Mit dem Report Editor können Sie Informationen über die One Identity Manager-Objekte in
Reporten zusammenzustellen. Sie können diese Daten gruppieren, aggregieren und
grafisch darstellen. Bei der Migration werden bereits von uns definierte Reporte
mitgeliefert. Mit dem Report Editor können Sie aber auch eigene Reporte erstellen.
Schema
Extension
Schema Extension wird zur Erweiterung des bestehenden Anwendungsdatenmodells einer
One Identity Manager-Datenbank um kundenspezifische Tabellen und Spalten eingesetzt.
Mit der im One Identity Manager verwendeten Objekttechnologie ist es möglich, das
Anwendungsdatenmodell kundenspezifisch um Spalten und Tabellen auf Datenbankebene
zu erweitern, sodass diese Erweiterungen auf der Objektebene mit allen Funktionen
verfügbar sind.
System
Debugger
Mit dem System Debugger können Sie Skripte erstellen, starten und debuggen. Die in Ihrer
One Identity Manager-Datenbank vorhandenen Skripte werden in eine Visual Studio®
Skriptbibliothek importiert. Dort können Sie die Skripte lokal bearbeiten und testen.
Anschließend entscheiden Sie, ob Ihre Änderungen in die One Identity Manager-Datenbank
übernommen werden sollen.
Database
Transporter
Der Database Transporter wird eingesetzt, um Objekte und kundenspezifische
Anpassungen sowie kundenspezifische Datenbankprozeduren, Trigger, Funktionen und
Views aus einer One Identity Manager-Datenbank (Quellsystem) in eine andere One
Identity Manager-Datenbank (Zielsystem) zu transportieren.
HistoryDB
Manager
Historische Daten der One Identity Manager-Datenbank werden in zyklischen Abständen in
eine History-Datenbank übertragen. Diese History-Datenbank stellt somit das
Veränderungsarchiv dar. Der HistoryDB Manager ist das Werkzeug zur Anzeige der Daten
der History-Datenbank. Nutzen Sie den HistoryDB Manager um den Zugriff auf die
Quelldatenbanken einzurichten.
Job Service
Configuration
Job Service Configuration ist das Werkzeug mit dem die Konfigurationsdatei für den One
Identity Manager Service erstellt und angepasst wird. Mit dieser Datei werden der One
Identity Manager Service selbst und seine Plugins konfiguriert. Die Konfigurationsdatei ist
sowohl für den One Identity Manager Service auf einem Windows® Betriebssystem als auch
für den Linux®-Deamon notwendig.
License Meter
Mit dem Assistenten „License Meter“ führen Sie eine Lizenzvermessung Ihrer One Identity
Manager-Datenbank durch. Der Assistent erstellt einen Bericht mit den Lizenz-relevanten
Informationen.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
15
Werkzeug
Kurzbeschreibung
Software
Loader
Mit dem Software Loader werden neue oder geänderte Dateien, beispielsweise
kundenspezifische Formulararchive, in die One Identity Manager-Datenbank geladen um
diese über die Mechanismen der automatischen Softwareaktualisierung an die
Arbeitsstationen und Jobserver eines One Identity Manager-Netzwerkes zu verteilen.
Server Installer
Mit dem Server Installer können Sie den One Identity Manager Service installieren und
konfigurieren. Das Programm führt eine Remote-Installation des One Identity Manager
Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich.
Verwandte Themen
l
Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? auf Seite 16
Welche Komponenten und Frontends
arbeiten mit einem Anwendungsserver?
Der nachfolgenden Liste entnehmen Sie, welche der Komponenten des One Identity Manager gegen einen
Anwendungsserver arbeiten können. Einige Frontends arbeiten nur mit eingeschränkter Funktionalität gegen
einen Anwendungsserver.
Tabelle 3: One Identity Manager Komponenten und Anwendungsserver
Komponente
Verbindung über
Anwendungsserver
möglich?
Einschränkungen
Launchpad
Ja
Einige der Anwendungen, die aus dem Launchpad gestartet
werden, benötigen eine direkte Verbindung zur Datenbank.
Web Portal
Ja
Manager
Ja
Die Konsistenzprüfung wird nicht unterstützt.
Die Simulation der Complianceregeln wird nicht unterstützt.
Einige Formulare werden nicht unterstützt.
Manager
Ja
Webanwendung
Synchronization
Editor
Ja
Analyzer
Ja
Job Queue Info
Nein
Configuration
Wizard
Nein
Einige Formulare werden nicht unterstützt.
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
16
Komponente
Verbindung über
Anwendungsserver
möglich?
Einschränkungen
Designer
Ja
Die Konsistenzprüfung wird nicht unterstützt.
Die Simulation von Prozessen wird nicht unterstützt.
Das Kompilieren der Datenbank wird nicht unterstützt.
Web Designer
Ja
Data Import
Ja
Crypto
Configuration
Nein
Database
Compiler
Nein
Report Editor
Ja
Schema
Extension
Nein
System
Debugger
Ja
Database
Transporter
Nein
HistoryDB
Manager
Ja
License Meter
Ja
Software
Loader
Ja
Testen von SQL Abfragen wird nicht unterstützt.
SPML
Nein
Webanwendung
SOAP Web
Service
Nein
One Identity
Manager
Service
Nein
Server Installer
Ja
One Identity Manager 7.1.2 Installationshandbuch
Überblick über den One Identity Manager
17
3
Installationsvoraussetzungen
Die nachfolgend beschriebenen Installationsvoraussetzungen stellen lediglich Mindestanforderungen zur
Inbetriebnahme und uneingeschränkten Nutzung des One Identity Manager dar. Abhängig von der
Projektgröße und den unterstützten Geschäftsprozessen und Geschäftsvorfällen können diese
Voraussetzungen als Ansatzpunkt für weitere Planungen verwendet werden. Die Ermittlung und
gegebenenfalls Weiterentwicklung von Hardwarekapazitäten ist Bestandteil der Projektplanung und abhängig
von der Spezifikation des Identity Management Projektes. Besonderes Augenmerk muss auf I/O Performance (in
Durchsatz und Latenz) gelegt werden, insbesondere in SAN Umgebungen empfiehlt sich eine gezielte
Leistungsanalyse der konkreten Infrastruktur vor dem Einsatz.
Jede One Identity Manager Installation kann virtualisiert werden. Stellen Sie sicher, dass der jeweiligen One
Identity Manager-Komponente die laut Systemanforderung spezifizierte Leistung und Ressourcen zur
Verfügung stehen. Idealerweise sollten Ressourcenzuordnungen für den Datenbankserver statisch festgesetzt
werden. Die Virtualisierung einer One Identity Manager Installation sollte von Experten mit einem fundierten
Wissen über Virtualisierungstechniken vorgenommen werden. Weitere Informationen zur
Umgebungsvirtualisierung finden Sie in den Richtlinien für den Produkt-Support.
HINWEIS: Sollten für den Einsatz einzelner One Identity Manager-Module zusätzliche
Systemanforderungen und Berechtigungen erforderlich sein, so werden diese in den entsprechenden
Handbüchern aufgeführt.
Detaillierte Informationen zum Thema
l
Minimale Systemanforderungen für den Datenbankserver auf Seite 19
l
Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank auf Seite 20
l
Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 21
l
Minimale Systemanforderungen für die administrative Arbeitsstation auf Seite 23
l
Minimale Systemanforderungen für den Dienstserver auf Seite 24
l
Minimale Systemanforderungen für den Webserver auf Seite 26
l
Minimale Systemanforderungen für den Anwendungsserver auf Seite 28
l
Benutzer und Berechtigungen für den One Identity Manager auf Seite 29
l
Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31
l
Berechtigungen für Oracle Datenbankbenutzer auf Seite 33
l
Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 34
l
Kommunikationsports und Firewall Konfiguration auf Seite 35
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
18
Minimale Systemanforderungen für den
Datenbankserver
One Identity Manager unterstützt folgende Datenbanksysteme:
l
SQL Server®
l
Oracle® Database
Für die Installation der Datenbank sind auf einem Server folgende Systemvoraussetzungen zu gewährleisten.
Tabelle 4: Minimale Systemanforderungen - Datenbankserver
Prozessor
8 physische Kerne mit 2.5 GHz+ Taktung
HINWEIS: Aus Performancegründen wird der Einsatz von 16 physischen
Kernen empfohlen.
Arbeitsspeicher
16 GB+ RAM
Freier
Festplattenspeicher
100 GB
Betriebssystem
Windows® Betriebssysteme
Unterstützt werden die Versionen:
l
Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2
l
Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
l
Windows Server® 2012
l
Windows Server® 2012 R2
l
Windows Server® 2016
UNIX® und Linux® Betriebssysteme
l
Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für
Oracle Datenbanken.
HINWEIS: In virtuellen Umgebungen muss gesichert sein, dass der VM-Host dem Datenbankserver die
laut Systemanforderung spezifizierte Leistung und Ressourcen zur Verfügung stellt. Idealerweise
sollten Ressourcenzuordnungen für den Datenbankserver statisch festgesetzt werden. Des Weiteren ist
eine optimale I/O Performance insbesondere für den Datenbankserver zwingend erforderlich. Weitere
Informationen zur Umgebungsvirtualisierung finden Sie in den Richtlinien für den Produkt-Support.
Verwandte Themen
l
Weitere Systemanforderungen bei Einsatz einer SQL Server® Datenbank auf Seite 20
l
Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 21
l
Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31
l
Berechtigungen für Oracle Datenbankbenutzer auf Seite 33
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
19
Weitere Systemanforderungen bei Einsatz einer
SQL Server® Datenbank
Wenn Sie eine SQL Server® Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager
Schemas einen installierten und konfigurierten Datenbankserver bereit, der die folgenden
Mindestanforderungen erfüllt.
Tabelle 5: Systemanforderungen bei Einsatz einer SQL Server® Datenbank
Software
l
SQL Server®
Unterstützt werden die Versionen:
l
SQL Server® 2012 Standard Edition, Service Pack 1 oder höher
l
SQL Server® 2014 Standard Edition, Service Pack 1 oder höher
l
SQL Server® 2016 Standard Edition, Service Pack 1 oder höher
HINWEIS: Aus Performancegründen wird dringend der Einsatz von SQL
Server® 2016 in der Enterprise Edition empfohlen.
l
Kompatibilitätsgrad
für Datenbanken
StandardSortierschema
SQL Server® Management Studio (empfohlen)
SQL Server 2012 (110)
l
Case-Insensitiv
l
Empfehlung: SQL_Latin1_General_CP1_CI_AS
HINWEIS: Das Sortierschema "SQL_Latin1_General_CP1_CI_AS" wird bei
der Installation des One Identity Manager Schemas erwartet und
gegebenenfalls für die Datenbank eingestellt.
Standardsprache
für Benutzer des
Datenbankservers
English
Sprache für
Datenbankbenutzer
English
Zusätzliche
Anforderungen
Starten Sie den SQL Server Agent in der Dienstverwaltung des SQL Server®. Sie
können sich am SQL Server Agent sowohl mit einem Domänen-Benutzerkonto (Domain
User) mit Windows® Authentifizierung anmelden als auch mit einem lokalen
Systemkonto.
HINWEIS: Es kann zu einer schlechten Performance bei der Verwendung von Tabellenvariablen
kommen. Hierzu gibt es einen Fix von Microsoft. Dazu muss zusätzlich das Ablaufverfolgungsflag 2453
gesetzt werden. Sie können dazu in den Serverstartoptionen den Startparameter -T2453 setzen.
Weitere Informationen finden Sie unter https://support.microsoft.com/en-us/kb/2952444 und
https://msdn.microsoft.com/en-us/library/ms345416%28v=sql.110%29.aspx.
Verwandte Themen
l
Minimale Systemanforderungen für den Datenbankserver auf Seite 19
l
Berechtigungen für SQL Server® Datenbankbenutzer auf Seite 31
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
20
Weitere Systemanforderungen bei Einsatz einer
Oracle Datenbank
Wenn Sie eine Oracle Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager Schemas
einen installierten und konfigurierten Datenbankserver bereit, der folgende Mindestanforderungen erfüllt.
HINWEIS: Um die einwandfreie Funktion des One Identity Manager sicherzustellen, wird ein
Datenbankserver erwartet, dessen Konfigurationseinstellungen einer Standardinstallation
entsprechen.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
21
Tabelle 6: Systemanforderungen bei Einsatz einer Oracle Datenbank
Software
l
Oracle® Database
Unterstützt werden die Versionen:
l
Oracle® Database 12c Standard Edition oder Enterprise Edition ab Version
12.1.0.2
HINWEIS: Ersetzen Sie diesen Text durch die Beschreibung einer
Eigenschaft, die hervorgehoben werden soll.
HINWEIS: Oracle® Database Version 12.2 oder neuer wird nicht
unterstützt.
Das Patch Level unterscheidet sich je nach Systemplattform.
HINWEIS: Es wird dringend empfohlen die Patches für die Oracle Bugs
18097476 (Doc ID 1683819.1) und 19497286 (Doc ID 19497286.8) anzuwenden.
l
Oracle Client Tools
Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen.
Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden
Client Tools.
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity
Manager nur unter Windows® Betriebssystemen unterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP
möglich ist, kann auf den Oracle Client verzichtet werden. Der im One
Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur
Datenbank her.
HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen
Oracle Datenbankkonfigurationen, die entweder
l
eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_
name“ in der clientseitige tnsnames.ora
oder
l
zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle Client
erfolgen.
Zeichensatz
Unicode (AL32UTF8) und Option „Oracle Text“
Parameter NLS_LENGHT_SEMANTICS mit dem Wert "CHAR"
Tablespace
Es muss ein initialer Tablespace eingerichtet sein. Der Tablespace muss mindestens eine
Block-Size von 8 kByte haben.
HINWEIS: Bei Einsatz vom Systemen mit mehreren Knoten (beispielsweise Clustern) müssen alle Knoten
den gleichen Versionsstand (Patch Level) haben.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
22
Verwandte Themen
l
Minimale Systemanforderungen für den Datenbankserver auf Seite 19
l
Berechtigungen für Oracle Datenbankbenutzer auf Seite 33
Minimale Systemanforderungen für die
administrative Arbeitsstation
Zur Darstellung und Bearbeitung von Daten werden die Administrationswerkzeuge und
Konfigurationswerkzeuge des One Identity Manager auf einer administrativen Arbeitsstation installiert.
Zur Installation der Werkzeuge sind auf der administrativen Arbeitsstation die folgenden
Systemvoraussetzungen zu gewährleisten.
Tabelle 7: Minimale Systemanforderungen - Administrative Arbeitsstation
Prozessor
4 physische Kerne mit 2 GHz+ Taktung
Arbeitsspeicher
4 GB+ RAM
Freier Festplattenspeicher
1 GB
Betriebssystem
Windows® Betriebssysteme
Unterstützt werden die Versionen:
l
l
Zusätzliche Software
Unterstützte
Browserversionen
Windows® Vista mit dem aktuellen Service Pack
Windows® 7 (32 bit oder nicht-Itanium 64 bit) mit dem aktuellen
Service Pack
l
Windows® 8 (32 bit oder 64 bit) mit dem aktuellen Service Pack
l
Windows® 8.1 (32 bit oder 64 bit) mit dem aktuellen Service Pack
l
Windows® 10 (32 bit oder 64 bit) mindestens Version 1511
l
Microsoft® .NET Framework Version 4.5.2 oder 4.6.1
l
Windows® Installer
l
Internet Explorer 10.0 oder höher
l
Firefox® (Release Channel)
l
Chrome™ (Release Channel)
l
Microsoft® Edge (Release Channel)
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
23
Tabelle 8: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank
Zusätzliche
Software
Windows® Betriebssysteme
l
Oracle Client Tools
Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen.
Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden
Client Tools.
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity
Manager nur unter Windows® Betriebssystemen unterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich
ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager
integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her.
HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen
Oracle Datenbankkonfigurationen, die entweder
l
eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_
name“ in der clientseitige tnsnames.ora
oder
l
zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle Client
erfolgen.
Minimale Systemanforderungen für den
Dienstserver
Der Serverdienst "One Identity Manager Service" sorgt für die Verbreitung der in der One Identity ManagerDatenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die
Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von
Aktionen auf Datenbankebene und Dateiebene.
Zur Installation des One Identity Manager Service sind auf einem Server folgende Systemvoraussetzungen zu
gewährleisten.
Tabelle 9: Minimale Systemanforderungen - Dienstserver
Prozessor
8 physische Kerne mit 2.5 GHz+ Taktung
Arbeitsspeicher
16 GB RAM
Freier
Festplattenspeicher
40 GB
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
24
Betriebssystem
Windows® Betriebssysteme
Unterstützt werden die Versionen:
l
Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2
l
Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
l
Windows Server® 2012
l
Windows Server® 2012 R2
l
Windows Server® 2016
Linux® Betriebssysteme
l
Zusätzliche
Software
Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird
oder Docker Images, die vom Mono® Projekt bereitgestellt werden.
Windows® Betriebssysteme
l
Microsoft® .NET Framework Version 4.5.2 oder 4.6.1
l
Windows® Installer
Linux® Betriebssysteme
l
Mono® 4.6 oder höher
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
25
Tabelle 10: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank
Zusätzliche
Software
Windows® Betriebssysteme
l
Oracle Client Tools
Die Version sollte mindestens der Version der eingesetzten Datenbank
entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der
einzusetzenden Client Tools.
In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der
32-Bit-Version benötigt.
HINWEIS: Die Verwendung von Oracle Client Tools wird vom One Identity
Manager nur unter Windows® Betriebssystemen unterstützt.
HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP
möglich ist, kann auf den Oracle Client verzichtet werden. Der im One
Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur
Datenbank her.
HINWEIS: Bei Einsatz von Oracle® Real Application Clusters sowie anderen
Oracle Datenbankkonfigurationen, die entweder
l
eine Angabe mehrerer „ADDRESS“ Einträge für einen „net_service_
name“ in der clientseitige tnsnames.ora
oder
l
zusätzliche Einträge in der clientseitigen sqlnet.ora
erfordern, sollte der Zugriff auf die Oracle Datenbank über den Oracle
Client erfolgen.
Linux® Betriebssysteme
l
Bei Verwendung eines Oracle Datenbanksystem ist der direkte Zugriff auf die
Datenbank per TCP/IP erforderlich. Eine Verbindung zu Oracle® Real Application
Clusters wird unter Linux® Betriebssystemen nicht unterstützt.
Verwandte Themen
l
Benutzer und Berechtigungen für den One Identity Manager auf Seite 29
Minimale Systemanforderungen für
den Webserver
Zur Installation des Web Portals sind auf einem Webserver folgende Systemvoraussetzungen zu gewährleisten.
Tabelle 11: Systemanforderungen - Webserver
Prozessor
4 physische Kerne mit 1.65 GHz+Taktung
Arbeitsspeicher
4 GB RAM
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
26
Freier
Festplattenspeicher
40 GB
Betriebssystem
Windows® Betriebssysteme
Unterstützt werden die Versionen:
l
Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2
l
Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
l
Windows Server® 2012
l
Windows Server® 2012 R2
l
Windows Server® 2016
Linux® Betriebssysteme
l
Zusätzliche
Software
Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird
oder Docker Images, die vom Mono® Projekt bereitgestellt werden. Beachten
Sie die Minimalanforderungen des Betriebssystemherstellers für Apache HTTP
Server™.
Windows® Betriebssystem
l
Microsoft® .NET Framework Version 4.5.2 oder 4.6.1
l
Windows® Installer
l
Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2
und den Role Services:
l
Web Server > Common HTTP Features > Static Content
l
Web Server > Common HTTP Features > Default Document
l
Web Server > Application Development > ASP.NET
l
Web Server > Application Development > .NET Extensibility
l
Web Server > Application Development > ISAPI Extensions
l
Web Server > Application Development > ISAPI Filters
l
Web Server > Security > Basic Authentication
l
Web Server > Security > Windows Authentication
l
Web Server > Performance > Static Content Compression
l
Web Server > Performance > Dynamic Content Compression
Linux® Betriebssysteme
l
NTP - Client
l
Mono® 4.6 oder höher
l
Apache HTTP Server™ 2.0 oder 2.2 mit folgenden Modulen:
l
mod_mono
l
rewrite
l
ssl (optional)
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
27
Minimale Systemanforderungen für den
Anwendungsserver
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung und hält
die Geschäftslogik. Zur Installation des One Identity Manager auf einem Anwendungsserver sind die folgenden
Systemvoraussetzungen zu gewährleisten.
Tabelle 12: Systemanforderungen - Anwendungsserver
Prozessor
8 physische Kerne mit 2.5 GHz+ Taktung
Arbeitsspeicher
8 GB RAM
Freier
Festplattenspeicher
40 GB
Betriebssystem
Windows® Betriebssysteme
Unterstützt werden die Versionen:
l
Windows Server® 2008 (nicht-Itanium 64 bit) ab Service Pack 2
l
Windows Server® 2008 R2 (nicht-Itanium 64 bit) ab Service Pack 1
l
Windows Server® 2012
l
Windows Server® 2012 R2
l
Windows Server® 2016
Linux® Betriebssysteme
l
Linux® Betriebssystem (64 bit), welches vom Mono® Projekt unterstützt wird
oder Docker Images, die vom Mono® Projekt bereitgestellt werden. Beachten
Sie die Minimalanforderungen des Betriebssystemherstellers für Apache HTTP
Server™.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
28
Zusätzliche
Software
Windows® Betriebssystem
l
Microsoft® .NET Framework Version 4.5.2 oder 4.6.1
l
Windows® Installer
l
Microsoft Internet Information Service 7, 7.5, 8, 8.5 oder 10 mit ASP.NET 4.5.2
und den Role Services:
l
Web Server > Common HTTP Features > Static Content
l
Web Server > Common HTTP Features > Default Document
l
Web Server > Application Development > ASP.NET
l
Web Server > Application Development > .NET Extensibility
l
Web Server > Application Development > ISAPI Extensions
l
Web Server > Application Development > ISAPI Filters
l
Web Server > Security > Basic Authentication
l
Web Server > Security > Windows Authentication
l
Web Server > Performance > Static Content Compression
l
Web Server > Performance > Dynamic Content Compression
Linux® Betriebssysteme
l
NTP - Client
l
Mono® 4.6 oder höher
l
Apache HTTP Server™ 2.0 oder 2.2 mit folgenden Modulen:
l
mod_mono
l
rewrite
l
ssl (optional)
Benutzer und Berechtigungen für den
One Identity Manager
Tabelle 13: Benutzer für den One Identity Manager
Benutzer
Berechtigungen
Datenbankbenutzer
zur Installation des
One Identity
Manager
SQL Server®:
Weitere Informationen finden Sie unter Berechtigungen für SQL Server®
Datenbankbenutzer auf Seite 31.
Oracle:
Weitere Informationen finden Sie unter Berechtigungen für Oracle
Datenbankbenutzer auf Seite 33.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
29
Benutzer
Berechtigungen
Datenbankbenutzer
für den laufenden
Betrieb des One
Identity Manager
SQL Server®:
Weitere Informationen finden Sie unter Berechtigungen für SQL Server®
Datenbankbenutzer auf Seite 31.
Oracle:
Weitere Informationen finden Sie unter Berechtigungen für Oracle
Datenbankbenutzer auf Seite 33.
Datenbankbenutzer
für Endbenutzer
SQL Server®:
Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur
Mitglied der Datenbankrolle „basegroup“ sein.
Oracle:
Weitere Informationen finden Sie unter Berechtigungen für Oracle
Datenbankbenutzer auf Seite 33.
Benutzer zur
Anmeldung am One
Identity Manager
Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity
Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule
ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen
Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die
Bearbeitungsrechte auf Ressourcen der Datenbank.
Weitere Informationen finden Sie unter Anhang: One Identity Manager
Authentifizierungsmodule auf Seite 136.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
30
Benutzer
Berechtigungen
Benutzerkonto für
den One Identity
Manager Service
Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die
Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und
Dateien anlegen und bearbeiten).
Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören.
Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log
on as a service).
Das Benutzerkonto benötigt Rechte für den internen Webservice.
HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des
Network Service (NT Authority\NetworkService) laufen, so können Sie die
Rechte für den internen Webservice über folgenden Kommandozeilenaufruf
vergeben:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/
user="NT AUTHORITY\NETWORKSERVICE"
Für die automatische Aktualisierung des One Identity Manager Services benötigt das
Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
In der Standardinstallation wird der One Identity Manager installiert unter:
l
%ProgramFiles(x86)%\Dell (auf 32-Bit Betriebssystemen)
l
%ProgramFiles%\Dell (auf 64-Bit Betriebssystemen)
HINWEIS: Für die Synchronisation des One Identity Manager mit den einzelnen
Zielsystemen können weitere zielsystemspezifische Berechtigungen
erforderlich sein. Diese Berechtigungen werden in den entsprechenden
Handbüchern erläutert.
Weitere Informationen finden Sie unter Einrichten der Berechtigung zum Erstellen
eines HTTP Server auf Seite 34.
Berechtigungen für SQL Server®
Datenbankbenutzer
HINWEIS: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen.
Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypen unterschieden werden:
l
Endbenutzer
Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der
Datenbankrolle „basegroup“ sein.
l
Administrative Benutzer
Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen. Hierbei kann
zwischen Berechtigungen für die Installation und Berechtigungen für den laufenden Betrieb
unterschieden werden.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
31
Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden folgende
Berechtigungen benötigt.
Tabelle 14: Berechtigungen für Datenbankbenutzer unter SQL Server®
Berechtigung
Für
Datenbank
Benötigt
für
Installation
Benötigt für
laufenden
Betrieb
Benötigt für
Serverrolle „dbcreator“*
x
-
Erzeugen der Datenbank.
Serverrolle
„processadmin“
-
x
Aktivität von Verbindungen prüfen
und gegebenenfalls schließen der
Verbindung.
Datenbankrolle „db_
owner“
One
Identity
Manager
x
x
Erzeugen der Datenbank. Betreiben
der Datenbank.
Datenbankrolle
„basegroup“**
One
Identity
Manager
-
x
Interne Berechtigungsrolle für
Datenbankobjekte.
Berechtigung „Execute“
Master
x
x
Starten des SQL Server Agent.
Datenbankrolle
„SQLAgentUserRole“
msdb
-
x
Ausführen von Datenbankschedules.
Datenbankrolle „db_
Datareader“
msdb
-
x
Lesen und Ändern von
Datenbankschedules.
Datenbankrolle
msdb
„SQLAgentOperatorRole“
x
x
Definieren von Datenbankschedules.
Berechtigung „Connect“
x
x
Prüfen, ob Einzelbenutzermodus
während der Verbindung erforderlich
ist.
tempdb
*) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den Configuration Wizard erstellt wird.
**) Die Datenbankrolle „basegroup“ wird während der initialen Schemainstallation der One Identity ManagerDatenbank standardmäßig angelegt.
HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migration der Datenbank
gewechselt, dann muss der neue Datenbankbenutzer nachträglich als Eigentümer der
Datenbankschedules eingetragen werden. Ansonsten kommt es zu Fehlermeldungen bei der
Ausführung der Datenbankschedules.
Hinweise zur Nutzung der integrierten Windows® Authentifizierung
Die integrierte Windows® Authentifizierung kann für den One Identity Manager Service und die
Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows
Authentifizierung genutzt werden. Die Nutzung von Windows® Gruppen zur Anmeldung wird unterstützt. Zur
Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server® Anmeldung empfohlen.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
32
Um die integrierte Windows® Authentifizierung einzusetzen
l
Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server® Anmeldung ein.
l
Tragen Sie als Standardschema „dbo“ ein.
l
Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. Weitere Informationen finden
Sie unter Tabelle 14 auf Seite 32.
Berechtigungen für Oracle
Datenbankbenutzer
Für die Nutzung der Datenbank sollte ein eigener Datenbankbenutzer eingerichtet werden. Den
Datenbankbenutzer können Sie über den Configuration Wizard erzeugen oder manuell erstellen.
HINWEIS: Die verwendeten Datenbankbenutzer müssen die Berechtigungen direkt erhalten. Bei der
Zuweisung von Berechtigungen über Datenbankrollen kann es bei der Ausführung von
Datenbankabfragen, aufgrund von Berechtigungseinschränkungen, zu Oracle Fehlermeldungen
kommen.
Berechtigungen für Oracle® Database Installationen
Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden für Oracle® Database
Installationen die folgenden Berechtigungen benötigt.
Tabelle 15: Berechtigungen für Datenbankbenutzer
Berechtigung
Benötigt Für
GRANT ALTER
SESSION TO
<user>
Einstellungen der eigenen Benutzersitzung ändern.
GRANT
ANALYZE ANY
TO <user>
Die Berechtigung wird zum Ausführen der Prozedur DBMS_STATS.FLUSH_DATABASE_
MONITORING_INFO während der Statistikberechnungen verwendet. Sollen keine
Statistiken ermittelt werden, kann auf diese Berechtigung verzichtet werden.
GRANT
CONNECT TO
<user>
Datenbank verbinden.
GRANT CREATE
JOB TO <user>
Datenbankschedules erzeugen.
GRANT CREATE
PROCEDURE TO
<user>
Schemaobjekte erzeugen.
GRANT CREATE
SEQUENCE TO
<user>
Schemaobjekte erzeugen.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
33
Berechtigung
Benötigt Für
GRANT CREATE
SYNONYM TO
<user>
Schemaobjekte erzeugen.
GRANT CREATE
TABLE TO
<user>
Schemaobjekte erzeugen.
GRANT CREATE
TRIGGER TO
<user>
Schemaobjekte erzeugen.
GRANT CREATE Schemaobjekte erzeugen.
TYPE TO <user>
GRANT CREATE
VIEW TO <user>
Schemaobjekte erzeugen.
GRANT
EXCEUTE ON
DBMS_PIPE TO
<user>
Kommunikation der einzelnen Verarbeitungsschritte mit der Hauptroutine des DBQueue
Prozessor im Parallelbetrieb.
GRANT
EXECUTE ON
DBMS_CRYPTO
TO <user>
Zugriff auf Paket für allgemeine Verschlüsselungsroutinen.
GRANT
EXECUTE ON
DBMS_LOCK TO
<user>
Nutzung der Sleep-Methode bei der Weiterschaltung der Verarbeitung im DBQueue
Prozessor, zum Beispiel zum Warten auf Beenden einzelner Verarbeitungsschritte.
GRANT SELECT
ON GV_
$OSSTAT TO
<user>
Informationen zu aktuellen Serverversion auslesen.
GRANT SELECT
ON GV_
$SESSION TO
<user>
Informationen der aktuellen Sitzungen auslesen. Diese Berechtigung wird unter anderem
dazu benötigt, die Datenbank in der Einzelbenutzermodus zu schalten.
Einrichten der Berechtigung zum
Erstellen eines HTTP Server
Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTP Server erfolgen
(http://<Servername>:<Portnummer>).
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
34
Damit ein Benutzer einen HTTP-Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der
Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann über folgenden
Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://*:<Portnummer>/ user=<Domäne>\<Benutzername>
Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT
Authority\NetworkService) laufen, so müssen explizit Rechte für den internen Webservice vergeben werden.
Dies kann über folgenden Kommandozeilenaufruf erfolgen:
netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT
AUTHORITY\NETWORKSERVICE"
Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüft werden:
netsh http show urlacl
Kommunikationsports und Firewall
Konfiguration
Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenen
Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene
Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig
davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie
verschiedene Ports öffnen.
Die folgenden Basisports werden benötigt.
Tabelle 16: Kommunikationsports
Standardport
Beschreibung
SQL Server®: 1433 Port zur Kommunikation mit der Datenbank.
Oracle: 1521
1880
Port für das HTTP- basierte Protokoll des One Identity Manager Service.
2880
Port für die Zugriffstests innerhalb des Synchronization Editor.
80
Port für den Zugriff auf die Webanwendungen.
88
Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierung eingesetzt wird).
135
Microsoft EPMAP (End Point Mapper) (auch DCE/RPC Locator Service)
137
NetBIOS Name Service
139
NetBIOS Session Service
Für die Verbindung zu den Zielsystemen können weitere Ports erforderlich sein. Diese Ports werden in den
entsprechenden Handbüchern aufgeführt.
One Identity Manager 7.1.2 Installationshandbuch
Installationsvoraussetzungen
35
4
Installieren des One Identity Manager
Um den One Identity Manager zu installieren, sind folgende Schritte erforderlich.
1. Installieren der One Identity Manager-Komponenten auf der administrativen Arbeitsstation, auf
welcher die Schemainstallation der One Identity Manager-Datenbank gestartet wird.
2. Installieren des One Identity Manager Schemas mit dem Configuration Wizard.
3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf die
Datenbank.
Dieser Schritt wird während der Schemainstallation durch den Configuration Wizard ausgeführt.
Zusätzlich können folgende Installationen ausgeführt werden.
l
Installieren weiterer Arbeitsstationen.
l
Installieren weiterer Server mit One Identity Manager Service.
l
Installieren eines Anwendungsservers.
l
Installieren des Web Portals auf einem Webserver.
l
Installieren der Manager Webanwendung auf einem Webserver.
l
Installieren weiterer Webservices wie SPML Webservice oder SOAP Web Service.
Den One Identity Manager können Sie auf folgende Arten installieren und aktualisieren.
l
l
l
l
Die Erstinstallation der One Identity Manager-Komponenten auf den Arbeitsstationen nehmen Sie mit
dem Installationsassistenten vor.
Die Erstinstallation des One Identity Manager Service auf den Servern nehmen Sie mit dem
Installationsassistenten oder remote mit dem Server Installer vor.
Zur Aktualisierung vorhandener Installationen setzen Sie die automatische Softwareaktualisierung ein.
Für die manuelle Aktualisierung einzelner Arbeitsstationen und einzelner Server nutzen Sie den
Installationsassistenten.
Ausführliche Informationen zur Aktualisierung des One Identity Manager finden Sie unter Aktualisieren des One
Identity Manager auf Seite 71.
Detaillierte Informationen zum Thema
l
Bevor Sie die Installation des One Identity Manager starten auf Seite 37
l
Installieren der One Identity Manager-Komponenten auf Seite 37
l
Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 41
l
Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 63
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
36
l
Installieren eines One Identity Manager Anwendungsservers auf Seite 89
l
Installieren des Web Portal auf Seite 95
l
Installieren und Aktualisieren der Manager Webanwendung auf Seite 112
Bevor Sie die Installation des One
Identity Manager starten
l
l
Stellen Sie vor der Installation des One Identity Manager sicher, dass die minimalen Hardware- und
Softwarevoraussetzungen auf den Arbeitsstationen und den Servern gewährleistet sind.
Beenden Sie alle Programm- und Dienstkomponenten, da sonst die Installation nicht beginnen kann.
HINWEIS: Für die Aktualisierung von One Identity Manager Version 6.x auf One Identity Manager Version
7.0 wird ein separates Upgrade Package zur Verfügung gestellt. Entsprechende Anfragen richten Sie an
den Support. Das Support Portal ist unter https://support.quest.com/ erreichbar.
Detaillierte Informationen zum Thema
l
Installationsvoraussetzungen auf Seite 18
l
Installieren des One Identity Manager auf Seite 36
l
Aktualisieren des One Identity Manager auf Seite 71
Installieren der One Identity ManagerKomponenten
Bei der Installation der One Identity Manager-Komponenten auf Arbeitsstationen und Servern werden Sie
durch einen Installationsassistenten unterstützt.
HINWEIS: Starten Sie die Installation der Administrationswerkzeuge und Konfigurationswerkzeuge nach
Möglichkeit immer auf einer administrativen Arbeitsstation.
Um die One Identity Manager Komponenten zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie Installieren.
3. Der Installationsassistent wird gestartet. Auf der Startseite wählen Sie die Sprache für den
Installationsassistenten und klicken Sie Weiter.
4. Bestätigen Sie die Lizenzbedingungen.
5. Auf der Seite Einstellungen für die Installation legen Sie die Daten zur Installationsquelle und
Installationsziel fest.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
37
l
l
Wählen Sie unter Installationsquelle das Verzeichnis mit den Installationsdateien.
Wählen Sie unter Installationsverzeichnis das Verzeichnis, in das die Dateien des One Identity
Manager installiert werden sollen.
HINWEIS: Um weitere Konfigurationseinstellungen vorzunehmen, klicken Sie auf die Pfeil
Schaltfläche neben dem Eingabefeld. Hier können Sie festlegen, ob die Installation auf
einem 64 Bit- Betriebssystem oder auf einem 32 Bit-Betriebssystem erfolgt.
Für eine Standardinstallation nehmen Sie keine weiteren Konfigurationseinstellungen
vor.
l
Wenn die Installationsinformationen über die vorhandene One Identity ManagerDatenbank geladen werden sollen, aktivieren Sie die Option Installationsmodule mit
der Datenbank auswählen.
HINWEIS: Für Installation der Arbeitsstation, auf der Sie die Installation des One Identity
Manager Schemas starten, lassen Sie die Option deaktiviert.
l
l
Um zusätzliche One Identity Manager Module zur gewählten Edition hinzuzufügen, aktivieren
Sie die Option Weitere Module zur gewählten Edition hinzufügen.
Klicken Sie Weiter.
6. Auf der Seite Modulauswahl wählen Sie die zusätzlich zu installierenden Module und klicken
Sie Weiter.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module zur gewählten
Edition hinzufügen aktiviert haben.
7. Auf der Seite Datenbank verbinden erfassen Sie die Informationen zur Datenbankverbindung.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Installationsmodule mit der
Datenbank auswählen aktiviert haben.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Verbindung.
- ODER Klicken Sie auf Neue Verbindung erstellen, wählen Sie den Systemtyp und erfassen Sie die
Verbindungsdaten.
Tabelle 17: Verbindungsdaten zur SQL Server® Datenbank
Eingabe
Beschreibung
Server
Datenbankserver.
Windows
Angabe, ob integrierte Windows® Authentifizierung verwendet wird.
Authentifizierung
Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten
Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre
Umgebung Windows® Authentifizierung unterstützt.
Nutzer
Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenbank
Datenbank.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
38
Tabelle 18: Verbindungsdaten zur Oracle Datenbank
Eingabe
Beschreibung
Direktzugriff (ohne
Oracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Sie die Option.
Die erforderlichen Verbindungsdaten sind abhängig von der
Einstellung dieser Option.
Server
Datenbankserver.
Port
Port der Oracle Instanz.
Service Name
Service Name.
Benutzer
Oracle Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenquelle
TNS Alias Name aus der TNSNames.ora.
b. Wählen Sie im Bereich "Authentifizierungsverfahren" das Authentifizierungsmodul und geben
Sie die Anmeldedaten für die Systembenutzerkennung ein.
Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.
c. Klicken Sie Weiter.
8. Auf der Seite Maschinenrolle zuordnen legen Sie die Maschinenrollen fest und klicken Sie Weiter.
HINWEIS: Die zu den One Identity Manager Modulen passenden Maschinenrollen sind aktiviert.
Bei Auswahl einer Maschinenrolle werden alle untergeordneten Maschinenrollen mit
ausgewählt. Sie können einzelne Maschinenrollen abwählen.
9. Auf der letzten Seite des Installationsassistenten können Sie verschiedene Programme für die weitere
Installation starten.
l
Um die Installation des One Identity Manager Schemas auszuführen, starten Sie den
Configuration Wizard und folgen Sie den Anweisungen des Configuration Wizard.
HINWEIS: Führen Sie diesen Schritt nur auf der Arbeitsstation aus, auf der Sie die
Installation des One Identity Manager Schemas starten.
l
Um die Konfiguration des One Identity Manager Service zu erstellen, starten Sie das Programm
Job Service Configuration.
HINWEIS: Führen Sie diesen Schritt nur auf Servern aus, auf denen Sie den One Identity
Manager Service installiert haben.
10. Um den Installationsassistenten zu beenden, klicken Sie Ende.
11. Schließen Sie das Autorun Programm.
Der One Identity Manager wird für alle Benutzerkonten auf der Arbeitsstation oder dem Server installiert. In
der Standardinstallation wird der One Identity Manager installiert unter:
l
%ProgramFiles(x86)%\Dell(auf 32-Bit Betriebssystemen)
l
%ProgramFiles%\Dell (auf 64-Bit Betriebssystemen)
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
39
Verwandte Themen
l
Bevor Sie die Installation des One Identity Manager starten auf Seite 37
l
Installationsvoraussetzungen auf Seite 18
l
Werkzeuge des One Identity Manager auf Seite 11
l
Installieren der One Identity Manager-Komponenten auf einem Windows® Terminalserver auf Seite 40
l
Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 41
l
Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158
Installieren der One Identity ManagerKomponenten auf einem Windows®
Terminalserver
Zur Installation der One Identity Manager-Komponenten auf einem Windows® Terminalserver wird
vorausgesetzt, dass der Windows® Terminalserver vollständig installiert und konfiguriert wurde. Dies
schließt insbesondere das Profilhandling sowie die Berechtigungen zur Benutzung des Windows®
Terminalservers mit ein.
HINWEIS: Beachten Sie, dass in einer Active Directory® Domäne auch der Benutzer selbst das Recht
haben muss, den Windows® Terminalserver benutzen zu dürfen.
Um die One Identity Manager Komponenten auf einem Windows® Terminalserver zu installieren
1. Melden Sie sich mit einem Benutzerkonto, welches über administrative Rechte auf dem Windows®
Terminalserver verfügt, an.
Es wird die Anmeldung über eine Konsolenverbindung empfohlen. Diese wird über
Start/Ausführen: mstsc /Console /v:<servername>
aufgerufen, wobei <servername> durch den Servernamen des Terminalservers (ohne
führende „\“) ersetzt werden muss.
2. Öffnen Sie eine Kommandozeilenkonsole (CMD.exe) und schalten mit Hilfe des Befehls CHANGE USER
/INSTALL den Windows® Terminalserver in den Modus zur Softwareinstallation.
3. Starten Sie den One Identity Manager Installationsassistent und installieren die One Identity Manager
Komponenten wie beschrieben.
4. Beenden Sie den Modus zur Softwareinstallation auf dem Windows® Terminalserver mit dem Befehl
CHANGE USER /EXECUTE in der Kommandozeilenkonsole.
Nach Abschluss der Installation kann jeder hierzu berechtigte Windows® Terminalserver-Benutzer die One
Identity Manager-Werkzeuge starten und nutzen.
Verwandte Themen
l
l
Installieren der One Identity Manager-Komponenten auf Seite 37
Weitere Informationen zur Softwareinstallation auf Windows® Terminalservern entnehmen Sie der
Dokumentation des eingesetzten Windows® Betriebssystems.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
40
Installieren und Konfigurieren einer
One Identity Manager-Datenbank
Auf der Arbeitsstation, von welcher die Einrichtung einer One Identity Manager-Datenbank gestartet werden
soll, müssen die folgenden Voraussetzungen erfüllt sein:
l
Installation des Programms „Configuration Wizard“
Die Installation des Programms erfolgt mit dem Installationsassistenten. Wählen Sie dazu im
Installationsassistenten die Maschinenrolle "Workstation" und das Installationspaket "Configuration".
l
Zugriff auf die Installationsquellen
HINWEIS: Wenn Sie die Installationsquellen auf ein Ablageverzeichnis kopieren, müssen Sie
sicherstellen, dass die relative Verzeichnisstruktur erhalten bleibt.
Mit dem Programm „Configuration Wizard“ richten Sie die Datenbank auf einem Datenbankserver für die
Verwendung in der One Identity Manager-Umgebung ein. Als Datenbanksysteme kommen SQL Server® oder
Oracle® Database zum Einsatz. Die Durchführung der Installation und Konfiguration unter SQL Server® und
Oracle® Database ist ähnlich.
Der Configuration Wizard führt die folgenden Schritte aus.
1. Installieren des One Identity Manager Schemas in eine Datenbank.
Das One Identity Manager Schema kann in eine bereits bestehende Datenbank installiert werden.
Alternativ kann der Configuration Wizard eine neue Datenbank erstellen und das One Identity Manager
Schema installieren.
2. Erstellen der administrativen Systembenutzer und Rechtegruppen.
3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf
die Datenbank.
HINWEIS: Abhängig von der gewählten Edition und den One Identity Manager Modulen können weitere
Schritte im Configuration Wizard ausgeführt werden.
Nach der Schemainstallation sind weitere Schritte zur Konfiguration der One Identity Manager-Datenbank
erforderlich.
l
l
Konfigurieren Sie die Datenbank für eine Testumgebung, Entwicklungsumgebung oder den
produktiven Einsatz.
Für die Inbetriebnahme der einzelner Funktionen im One Identity Manager können weitere
Systemeinstellungen erforderlich sein.
Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der
One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur
Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter
gegebenenfalls an das gewünschte Verhalten an.
Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity
Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle
Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten |
Konfigurationsparameter.
l
Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank
abzulegen. Nutzen Sie dazu das Programm "Crypto Configuration".
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
41
l
Im One Identity Manager können Datenänderungen sowie Informationen aus der Prozessverarbeitung
protokolliert werden. Alle im One Identity Manager protokollierten Aufzeichnungen werden zunächst
in der One Identity Manager-Datenbank gespeichert. Der Anteil der historisierten Daten am
Gesamtvolumen einer One Identity Manager-Datenbank sollte maximal 25 % betragen. Anderenfalls
kann es zu Performance-Problemen kommen. Die Aufzeichnungen sollten in regelmäßigen Abständen
aus der One Identity Manager-Datenbank entfernt und archiviert werden.
Ausführliche Informationen zur Konfiguration der Prozessüberwachung und der Prozesshistorie finden
Sie im Dell One Identity Manager Konfigurationshandbuch. Ausführliche Informationen zur Archivierung
von Daten finden Sie im Dell One Identity Manager Administrationshandbuch für die Datenarchivierung.
Detaillierte Informationen zum Thema
l
Starten des Configuration Wizard auf Seite 42
l
Erstellen einer neuen SQL Server® Datenbank auf Seite 43
l
Verwenden einer bestehenden leeren SQL Server® Datenbank auf Seite 45
l
Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 46
l
Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 48
l
Verarbeiten der Datenbank auf Seite 49
l
Erfassen der Systeminformationen auf Seite 50
l
Installieren des One Identity Manager Service für die Datenbank auf Seite 51
l
Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder
Produktivumgebung auf Seite 54
l
Verschlüsseln von Datenbankinformationen auf Seite 55
l
Lieferantenbenachrichtigung im One Identity Manager auf Seite 61
l
Meldung: Enter email address in configuration parameter auf Seite 130
Verwandte Themen
l
Minimale Systemanforderungen für den Datenbankserver auf Seite 19
l
Installieren der One Identity Manager-Komponenten auf Seite 37
Starten des Configuration Wizard
WICHTIG: Starten Sie den Configuration Wizard immer auf einer administrativen Arbeitsstation! Wenn
Sie den Configuration Wizard auf einem Server starten, auf dem Sie auch einen One Identity Manager
Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines Dienstservers" für den
lokalen Server im Configuration Wizard.
Um den Configuration Wizard direkt aus dem Installationsassistenten zu starten
l
Starten Sie den Configuration Wizard auf der letzten Seite des Installationsassistenten.
Um den Configuration Wizard aus dem Startmenü zu starten
l
Wählen Sie Start | Dell | One Identity Manager | Configuration | Configuration Wizard.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
42
Verwandte Themen
l
Installieren der One Identity Manager-Komponenten auf Seite 37
Erstellen einer neuen SQL Server® Datenbank
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard eine neue Datenbank
erstellen möchten, in die Sie das One Identity Manager Schema installieren.
Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity ManagerDatenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL
Server® Datenbankbenutzer auf Seite 31.
Um eine neue Datenbank im Configuration Wizard zu erstellen
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und
installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur
Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server®.
b. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Tabelle 19: Verbindungsdaten
Eingabe
Beschreibung
Server
Datenbankserver.
Um einen Datenbankserver auszuwählen
l
Tragen Sie den Servernamen ein.
-ODER-
l
Wählen Sie einen Server in der Liste.
Windows
Angabe, ob integrierte Windows® Authentifizierung verwendet wird.
Authentifizierung
Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten
Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre
Umgebung Windows® Authentifizierung unterstützt.
Nutzer
Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den
korrespondierenden Datenbankeintrag im One Identity Manager übernommen.
HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für
die Datenbankverbindung vornehmen.
4. Auf der Seite Datenbank erstellen erfassen Sie die Informationen zur Erstellung einer neuen
Datenbank.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
43
a. Erfassen Sie im Bereich "Datenbankeigenschaften" die folgenden Informationen zur Datenbank.
Tabelle 20: Datenbankeigenschaften
Eingabe
Beschreibung
Datenbankname
Name der Datenbank.
Datenverzeichnis
Verzeichnis, in dem die Datendatei erstellt wird. Zur Auswahl stehen:
Log Verzeichnis
Initiale Größe
<Standard>
Standardinstallationsverzeichnis des
Datenbankservers.
<browse>
Auswahl eines Verzeichnisses über den
Dateibrowser.
Verzeichnisangabe
Verzeichnis, in dem bereits Datendateien
installiert sind.
Verzeichnis, in dem die Transaktionsprotokolldatei erstellt wird. Zur
Auswahl stehen:
<Standard>
Standardinstallationsverzeichnis des
Datenbankservers.
<browse>
Auswahl eines Verzeichnisses über den
Dateibrowser.
Verzeichnisangabe
Verzeichnis, in dem bereits
Transaktionsprotokolldateien installiert sind.
Anfangsgröße der Datenbankdateien. Zur Auswahl stehen:
<Standard>
Standardvorgabe des Datenbankservers.
<custom>
Freie Eingabe.
Verschiedene
empfohlene Größen
Abhängig von der Anzahl der Personen, die
verwaltet werden.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule.
l
l
Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die
Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die
Modulauswahl.
Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die
Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt.
6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte
angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard
automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank
auf Seite 49.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
44
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Verwenden einer bestehenden leeren SQL Server® Datenbank auf Seite 45
l
Anhang: Einstellungen für eine neue SQL Server® Datenbank auf Seite 160
Verwenden einer bestehenden leeren SQL
Server® Datenbank
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity
Manager Schema in eine bestehende Datenbank installieren möchten.
Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity ManagerDatenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL
Server® Datenbankbenutzer auf Seite 31.
Es muss eine Datenbank mit mindestens folgenden Einstellungen zur Verfügung gestellt werden:
l
Sortierschema: SQL_Latin1_General_CP1_CI_AS
l
Kompatibilitätsgrad: SQL Server 2012 (110)
Um eine bestehende leere Datenbank im Configuration Wizard zu verwenden
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und
installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur
Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server®.
b. Aktivieren Sie die Option Erweitert.
c. Aktivieren Sie die Option Eine bereits existierende leere Datenbank verwenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
45
d. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Tabelle 21: Verbindungsdaten zur SQL Server® Datenbank
Eingabe
Beschreibung
Server
Datenbankserver.
Windows
Angabe, ob integrierte Windows® Authentifizierung verwendet wird.
Authentifizierung
Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten
Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre
Umgebung Windows® Authentifizierung unterstützt.
Nutzer
Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenbank
Datenbank.
HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den
korrespondierenden Datenbankeintrag im One Identity Manager übernommen.
HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für
die Datenbankverbindung vornehmen.
e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule.
l
l
Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die
Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die
Modulauswahl.
Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die
Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt.
5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte
angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard
automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank
auf Seite 49.
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Erstellen einer neuen SQL Server® Datenbank auf Seite 43
Erstellen eines neuen Oracle
Datenbankbenutzers
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard einen neuen
Datenbankbenutzer erstellen möchten, für den Sie das One Identity Manager Schema installieren.
Mit dem Configuration Wizard können Sie einen neuen Datenbankbenutzer auf einem Datenbankserver
erstellen. Für diesen Datenbankbenutzer wird während der Schemainstallation das Schema erstellt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
46
HINWEIS: Vor der Erstellung eines neuen Datenbankbenutzers muss ein initialer Tablespace auf dem
Datenbankserver vorhanden sein. Der Tablespace muss mindestens eine Block-Size von 8 kByte haben.
Um einen neuen Datenbankbenutzer zu erstellen
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und
installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur
Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle® Database.
b. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Tabelle 22: Verbindungsdaten
Eingabe
Beschreibung
Server
Datenbankserver.
Port
Port der Oracle Instanz.
Service Name
Service Name.
Nutzer
Oracle Benutzer mit SYSDBA-Rechten.
Kennwort
Kennwort des Benutzers.
4. Auf der Seite Oracle Benutzer anlegen erfassen Sie die Informationen zum Datenbankbenutzer.
a. Erfassen Sie die Eigenschaften des Oracle Datenbankbenutzers.
Tabelle 23: Oracle Benutzer Eigenschaften
Eingabe
Beschreibung
Benutzername
Datenbankbenutzer, für den das Schema erstellt werden soll.
Dieser Datenbankbenutzer wird für die anschließende Migration
verwendet.
Kennwort
Kennwort des Datenbankbenutzers.
Kennwortwiederholung Kennwort des Datenbankbenutzers.
Tablespace
Tablespace, in den das Schema erstellt werden soll.
Temp. Tablespace
Temporärer Tablespace, auf den zugegriffen werden soll.
Der Configuration Wizard erstellt den Datenbankbenutzer mit den benötigten Berechtigungen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule.
l
Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die
Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die
Modulauswahl.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
47
l
Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die
Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt.
6. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte
angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard
automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank
auf Seite 49.
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 48
l
Berechtigungen für Oracle Datenbankbenutzer auf Seite 33
Verwenden eines bestehenden leeren Oracle
Datenbankbenutzers
HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity
Manager Schema für einen bestehenden Datenbankbenutzer installieren möchten.
Es muss ein Datenbankbenutzer mit erforderlichen Berechtigungen zur Verfügung gestellt werden. Weitere
Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 33.
Um einen bestehenden leeren Datenbankbenutzer im Configuration Wizard zu verwenden
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und
installieren.
3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur
Anmeldung am Datenbankserver.
a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle® Database.
b. Aktivieren Sie die Option Erweitert.
c. Aktivieren Sie die Option Einen bereits existierenden leeren Oracle Benutzer verwenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
48
d. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Tabelle 24: Verbindungsdaten zur Oracle Datenbank
Eingabe
Beschreibung
Direktzugriff (ohne
Oracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Sie die Option.
Die erforderlichen Verbindungsdaten sind abhängig von der
Einstellung dieser Option.
Server
Datenbankserver.
Port
Port der Oracle Instanz.
Service Name
Service Name.
Benutzer
Oracle Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenquelle
TNS Alias Name aus der TNSNames.ora.
e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule.
l
l
Wenn Sie den Configuration Wizard über den Installationsassistenten gestartet haben, sind die
Konfigurationsmodule für die gewählte Edition bereits aktiviert. Prüfen Sie in diesem Fall die
Modulauswahl.
Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die
Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt.
5. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte
angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard
automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank
auf Seite 49.
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 46
Verarbeiten der Datenbank
Der Configuration Wizard führt bei der Verarbeitung der Datenbank die folgenden Schritte aus:
l
Schemainstallation
Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. Die Fehlermeldungen werden
in einem separaten Meldungsfenster ausgegeben. Die Fehler sind manuell zu korrigieren. Erst danach
kann die Schemainstallation gestartet werden.
Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen, Datenbankprozeduren in
die Datenbank eingespielt. Die Datenbankrolle „basegroup“ wird angelegt und dieser Rolle werden
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
49
volle Rechte auf die Objekte der Datenbank gegeben. Die gewählten Editionen und
Konfigurationsmodule werden aktiviert. Während einer Schemainstallation werden
Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch den DBQueue Prozessor
verarbeitet.
Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der
Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet.
l
Systemkompilierung
Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekannt gegeben. Es wird das
Authentifizierungsmodul „Systembenutzer“ mit dem Systembenutzer „viadmin“ zum Kompilieren
verwendet.
l
Automatische Aktualisierung
Um die Dateien des One Identity Manager über die Mechanismen der automatischen
Softwareaktualisierung zu verteilen, werden die Dateien in die One Identity Manager-Datenbank
geladen.
Um die Verarbeitung der Datenbank im Configuration Wizard auszuführen
1. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt.
Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch
durchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformance einige Zeit dauern.
l
l
Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll zu
erhalten, aktivieren Sie die Option Erweitert.
Nach Abschluss der Verarbeitung, klicken Sie Weiter.
2. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und
erstellen Sie administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der
Systeminformationen auf Seite 50.
Verwandte Themen
l
Behandlung von Fehlern und Warnungen während der Systemkompilierung auf Seite 127
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
l
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126
Erfassen der Systeminformationen
Für die Authentifizierung am One Identity Manager wird ein Systembenutzer benötigt. One Identity Manager
stellt verschiedene Systembenutzer bereit, deren Berechtigungen auf die verschiedenen Aufgaben
abgestimmt sind. Ausführliche Informationen zu Systembenutzern, Rechtegruppen und zur Vergabe von
Berechtigungen finden Sie im Dell One Identity Manager Konfigurationshandbuch.
Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One Identity Manager. Dieser
Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten
Anmeldung an den Administrationswerkzeugen genutzt werden.
WICHTIG: Der Systembenutzer "viadmin" ist im produktiven Betrieb nicht zu verwenden! Richten Sie
einen eigenen Systembenutzer mit entsprechenden Berechtigungen ein.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
50
Um Systeminformationen im Configuration Wizard zu erfassen
1. Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen Sie
administrative Benutzer.
a. Im Bereich "Kundeninformation" erfassen Sie den vollständiger Name des Unternehmens.
b. Im Bereich "Systembenutzer" konfigurieren Sie die vordefinierten Systembenutzer und erfassen
eigene Systembenutzer.
l
l
Für die vordefinierten Systembenutzer erfassen Sie ein Kennwort und die
Kennwortbestätigung.
Um kundenspezifische Systembenutzer zu erstellen, klicken Sie die Schaltfläche
erfassen Sie die Bezeichnung, Kennwort und Kennwortwiederholung.
und
Die kundenspezifischen Systembenutzer werden durch den Configuration Wizard als
administrative Systembenutzer erstellt. Administrative Systembenutzer werden
automatisch in alle nicht-rollenbasierten Rechtegruppen aufgenommen und erhalten
alle Berechtigungen des Systembenutzers "viadmin".
TIPP: Über die Schaltfläche <...> neben der Bezeichnung eines Systembenutzers können
Sie weitere Einstellungen für den Systembenutzer konfigurieren. Diese Einstellungen
können Sie auch zu einem späteren Zeitpunkt im Designer anpassen.
c. Durch den Configuration Wizard werden bereits kundenspezifische Rechtegruppen erzeugt, die
Sie für die Definition von Berechtigungen auf eventuelle kundenspezifische
Schemaerweiterungen nutzen können.
l
l
Für die nicht-rollenbasierte Anmeldung werden die Rechtegruppen
"CCCViewPermissions" und "CCCEditPermissions" erstellt. Administrative Systembenutzer
werden automatisch in diese Rechtegruppen aufgenommen.
Für die rollenbasierte Anmeldung werden die Rechtegruppen "CCCViewRole" und
"CCCEditRole" erstellt.
d. Erstellen Sie bei Bedarf weitere Rechtegruppen.
l
Aktivieren Sie die Option Erweitert und klicken Sie im Bereich "Rechtegruppen" die
Schaltfläche
l
l
.
Erfassen Sie die Bezeichnung der Rechtegruppe. Kennzeichnen Sie eigene
Rechtegruppen mit dem Präfix 'CCC'.
Für rollenbasierte Rechtegruppen aktivieren Sie die Option Rollenbasiert.
2. Nächster Schritt: Auf der Seite Dienstinstallation installieren und konfigurieren Sie den One
Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank verarbeitet.
Weitere Informationen finden Sie unter Installieren des One Identity Manager Service für die
Datenbank auf Seite 51.
Installieren des One Identity Manager Service
für die Datenbank
Während der initialen Schemainstallation wird in der One Identity Manager-Datenbank ein Jobserver-Eintrag
mit der Serverfunktion "Master SQL Server" erzeugt. Dieser Jobserver verarbeitet die direkten
Datenbankanfragen. Mit dem Configuration Wizard installieren Sie den One Identity Manager Service auf einem
Server, um diese Anfragen zu verarbeiten. Der Configuration Wizard führt dabei folgende Schritte aus.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
51
l
Installieren der One Identity Manager Service Komponenten
l
Konfigurieren des One Identity Manager Service
l
Starten des One Identity Manager Service
HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine
lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur
innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.
HINWEIS: Wenn Sie den Configuration Wizard auf einem Server gestartet haben, auf dem Sie auch einen
One Identity Manager Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines
Dienstservers" für den lokalen Server im Configuration Wizard.
HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie
die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60.
Um die Installation des One Identity Manager Service im Configuration Wizard nicht auszuführen
1. Auf der Seite Dienstinstallation aktivieren Sie die Option Keinen Dienst installieren.
2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
52
Um den One Identity Manager Service im Configuration Wizard einzurichten
1. Auf der Seite Dienstinstallation erfassen Sie die Installationsinformationen für den Dienst.
a. Erfassen Sie folgende Informationen für die Dienst.
Tabelle 25: Installationsinformationen
Eingabe
Beschreibung
Computer
Server, auf dem der Dienst installiert und gestartet wird.
Um einen Server auszuwählen
l
Erfassen Sie den Servernamen.
-ODER-
l
Dienstkonto
Wählen Sie einen Eintrag in der Liste.
Angaben zum Benutzerkonto des One Identity Manager Service.
Um ein Benutzerkonto für den One Identity Manager Service zu
erfassen
l
Aktivieren Sie die Option Lokales Systemkonto.
Damit wird der One Identity Manager Service unter dem Konto „NT
AUTHORITY\SYSTEM“ gestartet.
- ODER-
l
Erfassen Sie Benutzerkonto, Kennwort und
Kennwortwiederholung.
Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des
Dienstes.
Um ein administratives Benutzerkonto für die Installation zu
erfassen
l
Aktivieren Sie die Option Erweitert.
l
Aktivieren Sie die Option Aktueller Benutzer.
Es wird das Benutzerkonto des aktuell angemeldeten Benutzers
verwendet.
- ODER-
l
Maschinenrollen
Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung
ein.
Legen Sie die Maschinenrollen fest. Standardmäßig ist die Maschinenrolle
"Jobserver" festgelegt. Sie können weitere Maschinenrollen hinzufügen.
b. Prüfen Sie die Konfiguration des One Identity Manager Service. Aktivieren Sie die Option
Erweitert.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
53
HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine
erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren
Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration
des Dienstes finden Sie im Dell One Identity Manager Konfigurationshandbuch.
c. Um die Installation des Dienstes zu starten, klicken Sie Weiter.
Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.
2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
HINWEIS: Der One Identity Manager Service wird mit der Bezeichnung „Dell One Identity Manager
Service“ in der Dienstverwaltung des Servers eingetragen.
Verwandte Themen
l
Minimale Systemanforderungen für den Dienstserver auf Seite 24
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
l
Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 63
Konfigurieren einer One Identity ManagerDatenbank für eine Test-, Entwicklungs- oder
Produktivumgebung
Über die Staging Ebene der One Identity Manager-Datenbank legen Sie fest, ob es sich um eine Testdatenbank,
Entwicklungsdatenbank oder produktive Datenbank handelt. Über die Staging Ebene werden einige
Datenbankeinstellungen gesteuert. Diese werden eingestellt, wenn Sie die Staging Ebene anpassen.
Tabelle 26: Datenbankeinstellungen für Entwicklungsumgebung, Testumgebung und Produktivumgebung
Einstellung
Staging Ebene der Datenbank
Entwicklungsumgebung Testumgebung Produktivumgebung
Farbe der Statuszeile der One
Identity Manager-Werkzeuge
keine
Grün
Gelb
Maximale Laufzeit DBQueue
Prozessor
20 Minuten
40 Minuten
120 Minuten
Maximale Anzahl der Slots für
DBQueue Prozessor
3
5
Maximale Anzahl der Slots
laut Hardwarekonfiguration
Um die Staging Ebene einer Datenbank anzupassen
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Staging Ebene der Datenbank. Der
Datenbankeditor des Designer wird gestartet.
2. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebene auf "Testumgebung",
"Entwicklungsumgebung" beziehungsweise "Produktivumgebung".
3. Wählen Sie im Designer den Menüeintrag Datenbank|Übertragung in Datenbank… und klicken
Sie Speichern.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
54
Die Konfigurationseinstellungen des DBQueue Prozessor sind für einen Normalbetrieb ausgelegt und müssen in
der Regel nicht angepasst werden. Für Test- und Entwicklungsumgebungen sind die
Konfigurationseinstellungen reduziert, da sich mehrere Datenbanken auf einem Server befinden können.
Sollen aus Performancegründen die Einstellungen für Test- und Entwicklungsumgebungen angepasst werden,
passen Sie im Designer die Einstellungen der folgenden Konfigurationsparameter an.
Tabelle 27: Konfigurationsparameter für den DBQueue Prozessor
Konfigurationsparameter
Bedeutung
QBM\DBQueue\CountSlotsMax
Der Konfigurationsparameter legt die Anzahl der maximal verfügbaren Slots
fest.
Für die Nutzung der maximal verfügbaren Slots laut Hardwarekonfiguration
geben Sie den Wert 0 an.
QBM\DBQueue\KeepAlive
Der Konfigurationsparameter regelt die maximale Laufzeit des zentralen
Dispatchers. Nach Ablauf der Laufzeit werden die Aufträge aktuell
verwendeter Slots noch abgearbeitet. Anschließend werden die
Datenbankschedules der Slots gestoppt und der zentrale Dispatcher
beendet.
Der minimal zulässige Wert für die Laufzeit ist 5 Minuten, der maximal
zulässige Wert ist 720 Minuten.
Verwandte Themen
l
Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung
aus einer Datenbanksicherung auf Seite 147
Verschlüsseln von Datenbankinformationen
Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank
abzulegen.
l
Legen Sie im Designer über den Konfigurationsparameter „Common\EncryptionScheme“ fest, welches
Verschlüsselungsverfahren eingesetzt wird.
Tabelle 28: Werte des Konfigurationsparameters „Common\EncryptionScheme“
Wert
Beschreibung
RSA
RSA-Verschlüsselung mit AES für größere Daten (Standard).
FIPSCompliantRSA FIPS zertifizierter RSA mit AES für größere Daten. Das Verfahren ist einzusetzen,
wenn die Verschlüsselung dem FIPS 1040-2 Standard entsprechen muss. Die
lokale Sicherheitsrichtlinie „Use FIPS compliant algorithms for encryption,
hashing, and signing“ muss aktiviert sein.
HINWEIS: Ist der Konfigurationsparameter „Common\EncryptionScheme“ nicht aktiviert, wird
RSA als Verfahren genutzt.
l
Die Verschlüsselung erfolgt mit dem Programm „Crypto Configuration“. Mit diesem Programm wird eine
Schlüsseldatei erzeugt und die Inhalte der betroffenen Datenbankspalten werden konvertiert. Die
Schlüsselinformationen werden in der Datenbanktabelle DialogDatabase abgelegt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
55
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine
Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu
können.
Detaillierte Informationen zum Thema
l
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56
l
Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57
l
Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58
l
Entschlüsseln der Datenbankinformationen auf Seite 59
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
Erzeugen eines neuen Datenbankschlüssels und
Verschlüsseln der Datenbankinformationen
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine
Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu
können.
Um einen neuen Datenbankschlüssel zu erzeugen und die One Identity Manager-Datenbank zu
verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto
Configuration" wird gestartet.
2. Auf der Startseite klicken Sie Weiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One
Identity Manager-Datenbank ein und klicken Sie Weiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und
klicken Sie Weiter.
5. Auf der Seite Privater Schlüssel wählen Sie Bisher war keine Verschlüsselung aktiviert und
klicken Sie Weiter.
6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.
a. Klicken Sie Erzeuge Schlüssel.
b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der
Schlüsseldatei ein.
c. Klicken Sie Speichern.
Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und
Dateiname werden unter <Privater Schlüssel> angezeigt.
d. Klicken Sie Weiter.
Die zu verschlüsselnden Daten werden ermittelt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
56
7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt.
c. Klicken Sie Weiter.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l
Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57
l
Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58
l
Entschlüsseln der Datenbankinformationen auf Seite 59
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
Ändern eines Datenbankschlüssels und Verschlüsseln der
Datenbankinformationen
HINWEIS: Um einen Datenbankschlüssel zu ändern, benötigen Sie die Schlüsseldatei mit dem alten
Datenbankschlüssel. Der Schlüssel wird geändert und in einer neuen Schlüsseldatei gespeichert.
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine
Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu
können.
Um einen Datenbankschlüssel zu ändern und die One Identity Manager-Datenbank zu
verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto
Configuration" wird gestartet.
2. Auf der Startseite klicken Sie Weiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One
Identity Manager-Datenbank ein und klicken Sie Weiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und
klicken Sie Weiter.
5. Auf der Seite Privater Schlüssel laden Sie den vorhandenen Schlüssel.
a. Wählen Sie Die Verschlüsselung war aktiviert.
b. Klicken Sie Lade Schlüssel.
c. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem alten Datenbankschlüssel.
d. Klicken Sie Öffnen.
Der Dateibrowser wird geschlossen. Pfad und Dateiname werden angezeigt.
e. Klicken Sie Weiter.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
57
6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel.
a. Klicken Sie Erzeuge Schlüssel.
b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der
Schlüsseldatei ein.
c. Klicken Sie Speichern.
Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und
Dateiname werden unter <Privater Schlüssel> angezeigt.
d. Klicken Sie Weiter.
Die zu verschlüsselnden Daten werden ermittelt.
7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt.
c. Klicken Sie Weiter.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56
l
Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58
l
Entschlüsseln der Datenbankinformationen auf Seite 59
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
Erneutes Verschlüsseln der Datenbankinformationen
Verwenden Sie dieses Verfahren, wenn Sie weitere Datenbankspalten mit der Option Verschlüsselt versehen
und die Datenbank bereits verschlüsselt ist.
HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine
Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu
können.
Um die One Identity Manager-Datenbank mit einem vorhandenen Datenbankschlüssel erneut zu
verschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto
Configuration" wird gestartet.
2. Auf der Startseite klicken Sie Weiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One
Identity Manager-Datenbank ein und klicken Sie Weiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Verschlüsselung mittels des bestehenden Schlüssels
und klicken Sie Weiter.
Die zu verschlüsselnden Daten werden ermittelt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
58
5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt.
c. Klicken Sie Weiter.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56
l
Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57
l
Entschlüsseln der Datenbankinformationen auf Seite 59
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
Entschlüsseln der Datenbankinformationen
HINWEIS: Sie benötigen Sie die Datei mit dem Datenbankschlüssel.
HINWEIS: Es wird empfohlen, vor der Entschlüsselung der Datenbankinformationen eine
Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu
können.
Um die One Identity Manager-Datenbank zu entschlüsseln
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto
Configuration" wird gestartet.
2. Auf der Startseite klicken Sie Weiter.
3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One
Identity Manager-Datenbank ein und klicken Sie Weiter.
4. Auf der Seite Auswahl der Aktion wählen Sie Entschlüsselung der Daten und klicken Sie Weiter.
Die zu verschlüsselnden Daten werden ermittelt.
5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt.
a. Klicken Sie Konvertiere.
b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja.
c. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt.
d. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem Datenbankschlüssel.
e. Klicken Sie Öffnen.
Der Dateibrowser wird geschlossen. Die Entschlüsselung der Daten wird gestartet. Der
Fortschritt der Konvertierung wird angezeigt.
f. Klicken Sie Weiter.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
59
Verwandte Themen
l
Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 56
l
Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 57
l
Erneutes Verschlüsseln der Datenbankinformationen auf Seite 58
l
Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60
Hinweise zum Arbeiten mit einer verschlüsselten One
Identity Manager-Datenbank
Wenn Sie die One Identity Manager-Datenbank verschlüsseln, müssen Sie dem One Identity Manager Service
den Datenbankschlüssel bekanntgeben.
VORSICHT: Wenn der One Identity Manager Service beim Start einen privaten Schlüssel im
Installationsverzeichnis findet, so legt er diesen im Windows internen Schlüsselcontainer seines
Dienstkontos ab und löscht die Datei auf der Festplatte. Sichern Sie daher den privaten Schlüssel
zusätzlich an einer anderen Stelle als dem Installationsverzeichnis des Dienstes!
Um den Datenbankschlüssel bekanntzugeben
l
Geben Sie in der Konfigurationsdatei des One Identity Manager Service folgenden Informationen
bekannt. Verwenden Sie den Jobservereditor im Designer oder das Programm "Job Service
Configuration" zur Bearbeitung der Konfigurationsdatei.
Tabelle 29: Konfiguration des One Identity Manager Service für die Verschlüsselung
Konfigurationsmodul
Parameter
Bedeutung
JobServiceDestination
Datei mit privatem Schlüssel
(PrivateKey)
Datei mit dem privaten Schlüssel.
Standardwert ist private.key.
JobServiceDestination
Verschlüsselungsverfahren
(EncryptionScheme)
Eingesetztes Verschlüsselungsverfahren.
l
Legen Sie die erzeugte Schlüsseldatei im Installationsverzeichnis des Dienstes ab.
l
Öffnen Sie die Dienstverwaltung und starten Sie den Dienst "Dell One Identity Manager Service" neu.
HINWEIS: Die Datei mit dem privaten Schlüssel muss auf allen Servern mit aktivem One Identity
Manager Service im Installationsverzeichnis des Dienstes vorhanden sein.
HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die
Schlüsseldatei neu im Installationsverzeichnis des Dienstes ablegen.
Detaillierte Informationen zum Thema
l
Verschlüsseln von Datenbankinformationen auf Seite 55
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
60
Lieferantenbenachrichtigung im One Identity
Manager
Geben Sie uns die Gelegenheit, Sie auf dem Laufenden zu halten. Die Schnittstellen zu anderen Systemen
werden kontinuierlich weiterentwickelt. Aktivieren Sie Lieferantenbenachrichtigungen, um Nachrichten über
wichtige Programmaktualisierungen für Ihr System zu erhalten.
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat eine Liste
der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine personenbezogenen
Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft, welches nach wesentlichen
Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich auf Ihrem System verwirklichen. Die
Listen können von unseren F&E-Mitarbeitern für die Analyse, Diagnose und Replikation zu Testzwecken
verwendet werden. Diese Informationen behalten Gültigkeit, solange Ihr Unternehmen weiterhin
Pflegeleistungen für dieses Produkt bezieht.
HINWEIS: Sie können die aktuellsten Systeminformationen jederzeit aus dem Menü Hilfe | Info...
überprüfen.
Detaillierte Informationen zum Thema
l
Aktivieren der Lieferantenbenachrichtigung auf Seite 61
l
Prüfen der Lieferantenbenachrichtigung auf Seite 62
l
Deaktivieren der Lieferantenbenachrichtigung auf Seite 62
Aktivieren der Lieferantenbenachrichtigung
Voraussetzung für die Lieferantenbenachrichtigung
l
Im One Identity Manager ist ein Jobserver als SMTP-Host für den Mailversand konfiguriert.
l
Die Konfigurationsparameter für die E-Mail-Benachrichtigung sind konfiguriert.
Ausführliche Informationen zum Einrichten des E-Mail-Benachrichtigungssystems im One Identity Manager
finden Sie im Dell One Identity Manager Konfigurationshandbuch.
Um die Lieferantenbenachrichtigung zu aktivieren
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity
Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren.
1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klicken Sie Starten.
Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.
3. Aktivieren Sie den Konfigurationsparameter "Common\MailNotification\VendorNotification" und tragen
Sie die E-Mail-Adresse Ihres Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet.
4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken
Sie Speichern.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
61
Verwandte Themen
l
Prüfen der Lieferantenbenachrichtigung auf Seite 62
l
Deaktivieren der Lieferantenbenachrichtigung auf Seite 62
l
Meldung: Enter email address in configuration parameter auf Seite 130
Prüfen der Lieferantenbenachrichtigung
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity
Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren.
Um zu prüfen, ob die Lieferantenbenachrichtigung aktiviert ist
l
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
In der Installationsübersicht wird im Eintrag Lieferantenbenachrichtigung konfigurieren angezeigt, ob
die Funktion aktiviert ist.
Verwandte Themen
l
Aktivieren der Lieferantenbenachrichtigung auf Seite 61
l
Deaktivieren der Lieferantenbenachrichtigung
Deaktivieren der Lieferantenbenachrichtigung
HINWEIS: Die Lieferantenbenachrichtigung können Sie im Launchpad nur auf einer One Identity
Manager-Datenbank mit der Staging Ebene "Produktivumgebung" konfigurieren.
Um die Lieferantenbenachrichtigung zu deaktivieren
1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
2. Wählen Sie den Eintrag Lieferantenbenachrichtigung konfigurieren und klicken Sie Starten.
Der Designer wird gestartet und der Konfigurationsparametereditor geöffnet.
3. Deaktivieren Sie den Konfigurationsparameter "Common\MailNotification\VendorNotification".
4. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken
Sie Speichern.
Verwandte Themen
l
Aktivieren der Lieferantenbenachrichtigung auf Seite 61
l
Prüfen der Lieferantenbenachrichtigung auf Seite 62
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
62
Installieren und Konfigurieren des One
Identity Manager Service für weitere
Server
Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service. Zur
Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein.
Die Server müssen in der One Identity Manager-Datenbank als Jobserver bekannt gegeben werden.
Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige QueueBezeichnung erhalten. Mit exakt diesem Queue-Bezeichnung werden die Prozessschritte an der Jobqueue
angefordert. Die Queue-Bezeichnung tragen Sie in die Konfigurationsdatei des One Identity Manager Service
ein. Erzeugen Sie für jede Queue einen korrespondieren Jobserver-Eintrag.
HINWEIS: Mit dem Configuration Wizard richten Sie bereits einen Server mit One Identity Manager
Service für den direkten Zugriff auf die One Identity Manager-Datenbank ein. Der Configuration Wizard
führt dabei die erforderlichen Schritte zur Installation und Konfiguration aus.
HINWEIS: Einige Prozesse und Skripte in One Identity Manager benötigen eine direkte Verbindung zur
Datenbank. Dazu gehören unter anderem Synchronisationen mit den an One Identity Manager
angeschlossenen Zielsystemen oder Prozessschritte wie das physische Löschen von Datenbankobjekten.
Stellen Sie sicher, das für Server, die diese Prozesse abarbeiten, der Aufbau einer direkten
Datenbankverbindung möglich ist.
HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie
die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60.
Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm
führt die folgenden Schritte aus.
l
Erstellen eines Jobservers.
l
Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.
l
Remote-Installation der One Identity Manager Service Komponenten entsprechend der
Maschinenrollen.
l
Konfigurieren des One Identity Manager Service.
l
Starten des One Identity Manager Service.
HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine
lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur
innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.
Um den One Identity Manager Service remote auf einem Server zu installieren und zu
konfigurieren
1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.
2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity
Manager-Datenbank ein und klicken Sie Weiter.
3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager
Service installiert werden soll.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
63
a. Wählen Sie in der Auswahlliste Server einen Jobserver aus.
- ODER Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.
b. Bearbeiten Sie folgende Informationen für den Jobserver.
Tabelle 30: Eigenschaften eines Jobservers
Eigenschaft
Beschreibung
Server
Bezeichnung des Jobservers.
Queue
Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One
Identity Manager Service innerhalb des gesamten Netzwerkes muss eine
eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser QueueBezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die
Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager
Service eingetragen.
Vollständiger
Servername
Vollständiger Servername gemäß DNS Syntax.
Beispiel:
<Name des Servers>.<Vollqualifizierter Domänenname>
HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver
bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem
Designer bearbeiten.
4. Auf der Seite Maschinenrollen legen Sie fest, welche Rolle der Jobserver im One Identity Manager
übernimmt. Abhängig von der gewählten Maschinenrolle werden die Installationspakete ermittelt, die
auf dem Jobserver installiert werden.
5. Auf der Seite Serverfunktionen legen Sie die Funktion des Servers in der One Identity ManagerUmgebung fest. Abhängig von der Serverfunktion wird die Verarbeitung der One Identity ManagerProzesse ausgeführt.
Die Serverfunktionen sind abhängig von den gewählten Maschinenrollen bereits ausgewählt. Sie können
die Serverfunktionen hier weiter einschränken.
6. Auf der Seite Dienstkonfiguration prüfen Sie die Konfiguration des One Identity Manager Service.
HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte
Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem
Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im
Dell One Identity Manager Konfigurationshandbuch.
7. Zur Konfiguration der Remoteinstallation, klicken Sie Weiter.
8. Bestätigen Sie die Sicherheitsabfrage mit Ja.
9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.
10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.
HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
64
11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.
Tabelle 31: Installationsinformationen
Eingabe
Beschreibung
Computer
Server, auf dem der Dienst installiert und gestartet wird.
Um einen Server auszuwählen
l
Erfassen Sie den Servernamen.
-ODER-
l
Dienstkonto
Wählen Sie einen Eintrag in der Liste.
Angaben zum Benutzerkonto des One Identity Manager Service.
Um ein Benutzerkonto für den One Identity Manager Service zu
erfassen
l
Aktivieren Sie die Option Lokales Systemkonto.
Damit wird der One Identity Manager Service unter dem Konto „NT
AUTHORITY\SYSTEM“ gestartet.
- ODER-
l
Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.
Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.
Um ein administratives Benutzerkonto für die Installation zu erfassen
l
Aktivieren Sie die Option Erweitert.
l
Aktivieren Sie die Option Angemeldeter Benutzer.
Es wird das Benutzerkonto des aktuell angemeldeten Benutzers
verwendet.
- ODER-
l
Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.
12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.
Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.
13. Auf der letzten Seite des Server Installer klicken Sie Fertig.
HINWEIS: Der One Identity Manager Service wird mit der Bezeichnung „Dell One Identity
Manager Service“ in der Dienstverwaltung des Servers eingetragen.
Um den One Identity Manager Service manuell auf einem Server zu installieren und zu
konfigurieren
l
Installieren Sie die One Identity Manager-Komponenten mit dem Installationsassistenten.
l
Konfigurieren Sie den One Identity Manager Service mit dem Programm "Job Service Configuration".
l
Geben Sie den Jobserver im Designer bekannt. Erzeugen Sie für jede Queue einen korrespondieren
Jobserver-Eintrag.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
65
Verwandte Themen
l
Minimale Systemanforderungen für den Dienstserver auf Seite 24
l
Anzeigen der Protokolldatei des One Identity Manager Service auf Seite 66
l
Ändern des Benutzerkontos oder der Startart des One Identity Manager Service auf Seite 67
l
Installieren der One Identity Manager-Komponenten auf Seite 37
l
Der One Identity Manager Service im Cluster auf Seite 67
l
Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158
Anzeigen der Protokolldatei des One Identity
Manager Service
Die Anzeige der One Identity Manager Service Protokolldatei ist über ein Browserfrontend möglich.
Um die Protokolldatei des One Identity Manager Service über einen Browser anzuzeigen
l
Der Aufruf der Protokolldatei erfolgt mit der entsprechenden URL.
http://<Servername>:<Portnummer>
Standard ist der Port 1880.
Um die Protokolldatei des One Identity Manager Service im Job Queue Info zu öffnen
l
Wählen Sie in der Ansicht Serverstatus den Jobserver und wählen Sie den Kontextmenüeintrag Im
Browser öffnen.
Es wird für einen Jobserver der HTTP-Server des One Identity Manager Service angesprochen und die
verschiedenen Dienste des One Identity Manager Service werden angezeigt.
Abbildung 3: Protokolldatei des One Identity Manager Service
Die auf der Webseite anzuzeigenden Meldungen können interaktiv gefiltert werden. Dazu gibt es auf der
Webseite eine Auswahlliste. Dabei können nur Texte angezeigt werden, die auch in der Protokolldatei
vorhanden sind. Steht beispielsweise der Meldungstyp auf „Warning“ können auch bei entsprechender
Filterwahl keine Meldungen mit dem Meldungstyp „Info“ eingeblendet werden.
Zur besseren Übersichtlichkeit werden die Protokollausgaben farbig gekennzeichnet.
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
66
Tabelle 32: Farbcode in der Protokolldatei
Farbe
Bedeutung
Grün
Die Verarbeitung war erfolgreich.
Gelb
Bei der Verarbeitung wurden Warnung ausgegeben.
Rot
Bei der Verarbeitung sind schwerwiegende Fehler aufgetreten.
TIPP: Um die Farbinformationen der Protokolldatei für den Mailversand zu erhalten, speichern Sie die
komplette Webseite.
Ändern des Benutzerkontos oder der Startart
des One Identity Manager Service
Bei der Installation des One Identity Manager Service wird der Dienst in die Dienstverwaltung des Rechners
eingetragen.
Um die Anmeldedaten und die Startart des Dienstes anzupassen
1. Öffnen Sie die Dienstverwaltung des Servers und wählen Sie in der Liste der Dienste den Eintrag „Dell
One Identity Manager Service “.
2. Öffnen Sie über den Kontextmenüeintrag Eigenschaften die Eigenschaften des Dienstes.
3. Ändern Sie auf dem Tabreiter Allgemein den Starttyp (sofern erforderlich).
Es wird der Starttyp „Automatisch“ empfohlen.
4. Ändern Sie auf dem Tabreiter Anmelden das Benutzerkonto, unter dem der Dienst läuft.
5. Klicken Sie auf Übernehmen.
6. Schließen Sie die Eigenschaften des Dienstes über OK.
7. Starten Sie den Dienst über den Kontextmenüeintrag Starten.
Kann der One Identity Manager Service nicht gestartet werden, wird eine entsprechende Meldung in
das Ereignisprotokoll des Servers geschrieben.
HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die
Konfigurationsdatei des Dienstes erneut im Installationsverzeichnis des Dienstes ablegen.
HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie
die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 60.
Verwandte Themen
l
Minimale Systemanforderungen für den Dienstserver auf Seite 24
l
Benutzer und Berechtigungen für den One Identity Manager auf Seite 29
Der One Identity Manager Service im Cluster
Sinn einer Clusterlösung ist die Hochverfügbarkeit eines Systems. Es wird angestrebt, beim Versagen einer
Hardware- oder Softwarekomponente, den Systemausfall auf einige Sekunden zu beschränken. Mit der
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
67
Installation einer Windows®-Clusterlösung (nur mit Enterprise–Servern möglich) kann dies erreicht werden. Die
folgende Grafik zeigt ein Beispiel für eine derartige Lösung.
Abbildung 4: Beispiel einer Clusterlösung
Dieser Cluster besteht aus 2 physikalischen Maschinen „Server A“ und „Server B“, die ein gemeinsames
Diskarray nutzen und jeweils über eine eigene Systemfestplatte verfügen. Jeder Server ist mit einem
Windows® Betriebssystem ausgestattet. Beide Server sind identisch installiert, so dass im Falle eines Ausfalls
der eine Server die Arbeit des anderen Servers übernehmen kann.
Alle redundanten Systemkomponenten werden durch den Cluster-Manager verwaltet. Nach außen wird der
Cluster als ein einzelner, virtueller Server „Server C“ angesprochen. Hierbei wird der zugreifende Dienst oder
Benutzer automatisch zu dem physikalischen Server verbunden, der momentan die Arbeit im Cluster ausführt.
Tritt ein Versagen auf einem der physikalischen Server ein, so übernimmt automatisch der redundante Server
im Cluster. Ansprechpartner bleibt weiter der virtuelle Server, nur der physikalische Server, der die Arbeit
ausführt, wechselt.
Detaillierte Informationen zum Thema
l
Registrieren des One Identity Manager Service im Cluster auf Seite 68
l
Installieren und Konfigurieren des One Identity Manager Service im Cluster auf Seite 69
Registrieren des One Identity Manager Service im Cluster
Mit der Registrierung unterliegt der One Identity Manager Service der Clusterbehandlung für Ausfallsicherheit
und Load Balancing. Der Dienst wird auf dem virtuellen Server installiert, den der Cluster simuliert. Alle
rechnerbezogenen Operationen und Informationen des Dienstes gehen, für den Dienst transparent, gegen den
virtuellen Server statt gegen den realen aktuellen Rechner (Cluster Knoten). Das gilt auch für die Clients, die
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
68
den Dienst über den Server Namen kontaktieren, beispielsweise via RPC (ORPC, DCOM), TCP/IP (Winsock,
Named Pipes), HTTP.
Da der Dienst sich im Kontext des virtuellen Servers befindet, sind die folgenden Fakten zu beachten:
l
l
l
l
Die dienstspezifischen Einstellungen auf dem Knoten, auf dem sich der virtuelle Server befindet,
werden auf alle anderen Knoten repliziert! Der Dienst hat somit immer die gleiche Konfiguration,
unabhängig von dem Knoten, auf dem er aktuell gestartet ist.
Der Dienst ist immer nur auf dem aktuellen Knoten des virtuellen Servers (der Knoten, der aktuell den
virtuellen Server trägt) gestartet. Auf allen anderen Knoten ist der Dienst gestoppt.
Der Dienst wird mit dem virtuellen Server herunter- und hochgefahren. Ist der Cluster inaktiv, ist der
Dienst auf allen Knoten gestoppt.
Die Dienste auf den Knoten werden automatisch vor der Registrierung durch das Programm in den
erforderlichen Zustand (Manual und Stopped) gebracht.
Verwandte Themen
l
Der One Identity Manager Service im Cluster auf Seite 67
l
Installieren und Konfigurieren des One Identity Manager Service im Cluster auf Seite 69
Installieren und Konfigurieren des One Identity Manager
Service im Cluster
Die Installation und Konfiguration der Serverkomponenten vom One Identity Manager-Installationsmedium
führen Sie auf allen physikalischen Knoten eines Clusters durch.
HINWEIS: Bei der Konfiguration der JobServiceDestination muss der Parameter „Queue“ den Namen des
virtuellen Servers enthalten.
Nach dem Speichern der Konfiguration kopieren Sie die Konfigurationsdatei in das Installationsverzeichnis des
One Identity Manager Services auf allen physikalischen Knoten. Dabei dürfen Sie auch den Namen der
Konfigurationsdatei nicht ändern!
HINWEIS: Die Konfiguration des One Identity Manager Service ist nicht Bestandteil einer
Clusterressource. Somit hält jeder Knoten seine eigene Konfiguration. Achten Sie aus diesem Grund
darauf, dass die Konfigurationsdateien auf allen physikalischen Knoten des Clusters konsistent sind. Ist
dies nicht der Fall, kann nicht für die korrekte Funktionsweise nach einem Wechsel des Clusterknotens
garantiert werden.
Einrichten einer Clusterressource für den One Identity Manager Service
Richten Sie im Programm „Cluster Administrator“ eine neue Clusterressource für den One Identity Manager
Service ein und bringen diese Online. Die Vorgehensweise entnehmen Sie der Microsoft Technet
(http://technet.microsoft.com/en-us/library/cc787285(WS.10).aspx). Beachten Sie bei der Erstellung der
Clusterressource Folgendes:
l
Wählen Sie „Generic Service“ als Ressourcentyp.
l
Wählen Sie mindestens folgende Abhängigkeiten des One Identity Manager Services.
l
Cluster IP-Address
l
Cluster Name
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
69
l
l
Quorum (zum Beispiel Disk: D)
Geben Sie keine weiteren Registrierungsschlüssel an.
HINWEIS: Nach der Einrichtung des One Identity Manager Service in einem Clusterverbund ist es
ratsam, ein Failover zu simulieren, damit eventuell vorhandene Probleme am Cluster nicht erst im
produktiven Betrieb zu Tage treten.
Auslagern der Protokolldatei des One Identity Manager Service in ein Shared Volume
l
Richten Sie im Programm „Cluster Administrator“ eine neue Clusterressource ein und bringen Sie diese
Online. Beachten Sie bei der Erstellung der Clusterressource Folgendes.
l
Wählen Sie „File Share“ als Ressourcentyp.
l
Wählen Sie mindestens die folgende Abhängigkeit aus:
- Dell One Identity Manager Service
l
l
Passen Sie in der Konfigurationsdatei des One Identity Manager Service die Verzeichnisangabe im
Parameter „Protokolldatei“ (OutPutFile) des Logwriters an.
Kopieren Sie die Konfigurationsdatei nach der Änderung auf alle physischen Knoten des Clusters in das
Installationsverzeichnis des One Identity Manager Service.
Verwandte Themen
l
Der One Identity Manager Service im Cluster auf Seite 67
l
Registrieren des One Identity Manager Service im Cluster auf Seite 68
One Identity Manager 7.1.2 Installationshandbuch
Installieren des One Identity Manager
70
5
Aktualisieren des One Identity
Manager
Die Aktualisierung des One Identity Manager beinhaltet die Aktualisierung der One Identity ManagerDatenbank und die Aktualisierung der vorhandenen Installationen auf den Arbeitsstationen und Servern eines
One Identity Manager-Netzwerkes.
Zur Aktualisierung des One Identity Manager werden einzelne Hotfixes und Service Packs zu einer
Hauptversion oder vollständige Versionsänderungen zur Verfügung gestellt.
l
Hotfix
Ein Hotfix enthält einzelne Korrekturen an der Standardkonfiguration der eingesetzten Hauptversion
jedoch keine Erweiterungen der Funktionalität. Ein Hotfix kann Patches für gelöste Probleme in
Synchronisationsprojekten bereitstellen.
l
Service Pack
Ein Service Pack enthält geringfügige Erweiterungen der Funktionalität sowie alle Änderungen seit der
letzten Hauptversion, die bereits in den Hotfixes enthalten waren. Ein Service Pack kann Patches mit
neuen Funktionen für Synchronisationsprojekte bereitstellen.
l
Versionsänderung
Eine Versionsänderung ist verbunden mit signifikanten Erweiterungen der Funktionalität und umfasst
eine Komplettänderung der Installation. Eine Versionsänderung kann Meilensteine für die
Aktualisierung von Synchronisationsprojekten bereitstellen. Meilensteine fassen alle Patches für
gelöste Probleme und notwendige Patches für neue Funktionen der Vorversion zusammen.
Um den One Identity Manager zu aktualisieren, sind folgende Schritte erforderlich
1. Aktualisieren Sie die administrative Arbeitsstation, auf welcher die Schemaakualisierung der One
Identity Manager-Datenbank gestartet wird.
l
Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Beenden Sie den One Identity Manager Service auf dem Server, der die direkten Anfragen der
Datenbank verarbeitet.
3. Erstellen Sie eine Sicherung der One Identity Manager-Datenbank.
4. Führen Sie die Schemaaktualisiserung der One Identity Manager-Datenbank auf der administrativen
Arbeitsstation aus.
5. Aktualisieren Sie den Server, der die direkten Anfragen der Datenbank verarbeitet.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
71
l
Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
6. Starten Sie den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank
verarbeitet.
7. Aktualisieren Sie weitere Installationen auf Arbeitsstationen und Servern.
Für die Aktualisierung vorhandener Installationen können Sie das Verfahren der automatischen
Softwareaktualisierung einsetzen.
HINWEIS: Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen und
Jobserver manuell zu aktualisieren. Dies ist beispielsweise erforderlich, wenn sich mit einem
One Identity Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz der
automatischen Softwareaktualisierung nicht zulassen.
8. Beim Aktualisieren des One Identity Manager werden gegebenenfalls Änderungen an den
Systemkonnektoren oder der Synchronization Engine bereitgestellt. Damit alle bereits eingerichteten
Zielsystemsynchronisationen weiterhin fehlerfrei ausgeführt werden, müssen diese Änderungen auf
bestehende Synchronisationsprojekte angewendet werden. Detaillierte Informationen zum Anwenden
von Patches finden Sie im Dell One Identity Manager Referenzhandbuch für die
Zielsystemsynchronisation.
Detaillierte Informationen zum Thema
l
Aktualisieren der One Identity Manager-Komponenten auf Seite 72
l
Aktualisieren der One Identity Manager-Datenbank auf Seite 73
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
Aktualisieren der One Identity ManagerKomponenten
Die Arbeitsstation, auf der die Schemaaktualisierung der One Identity Manager-Datenbank gestartet wird, und
der Server, der die direkten Anfragen der Datenbank verarbeitet, werden manuell aktualisiert.
Für die Aktualisierung weiterer Arbeitsstationen und Server können Sie das Verfahren der automatischen
Softwareaktualisierung einsetzen. Unter Umständen kann es erforderlich sein, die weiteren Arbeitsstationen
und Server manuell zu aktualisieren. Dies ist beispielsweise erforderlich, wenn sich mit einem One Identity
Manager-Versionswechsel signifikante Neuerungen ergeben, die den Einsatz der automatischen
Softwareaktualisierung nicht zulassen.
Um die One Identity Manager-Komponenten auf einer Arbeitsstation manuell zu aktualisieren
l
Installieren Sie die neue Version mit dem Installationsassistenten.
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie
Installieren.
Der Installationsassistent wird gestartet.
3. Folgen Sie den Installationsanweisungen.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
72
Um den One Identity Manager Service auf einem Server manuell zu aktualisieren
1. Öffnen Sie die Dienstverwaltung des Servers und beenden Sie den Dienst „Dell One Identity
Manager Service“.
2. Installieren Sie die neue Version mit dem Installationsassistenten.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie
Installieren.
Der Installationsassistent wird gestartet.
c. Folgen Sie den Installationsanweisungen.
3. Starten Sie den Dienst „Dell One Identity Manager Service“ in der Dienstverwaltung.
Detaillierte Informationen zum Thema
l
Installieren der One Identity Manager-Komponenten auf Seite 37
Aktualisieren der One Identity
Manager-Datenbank
Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einen konsistenten Stand der
Bestandteile des One Identity Manager untereinander als auch zur Datenbank sichert. Werden
Programmerweiterungen implementiert, die die Struktur verändern, beispielsweise Tabellenerweiterungen,
ist eine Aktualisierung der Datenbank erforderlich.
Die Aktualisierung der Datenbank ist dann notwendig, wenn Hotfixes und Service Packs zur eingesetzten One
Identity Manager-Version oder vollständige Versionsänderungen verfügbar sind. Des Weiteren ist es immer
wieder erforderlich, dass kundenspezifische Änderungen aus einer Entwicklungsdatenbank in die Datenbank
des Produktivsystems zu übernehmen sind.
Die Anpassung des One Identity Manager Schemas erfolgt durch das Einspielen so genannter Transportpakete.
Der One Identity Manager kennt die folgenden Arten von Transportpaketen, die je nach Anforderung in die
Datenbank zu importieren sind.
WICHTIG: Bevor Sie ein Transportpaket in ein Produktivsystem einspielen, testen Sie die Änderungen
zunächst in einer Testumgebung.
Tabelle 33: Transportpakete
Art des Transportpaketes
Beschreibung
Verwendetes
Werkzeug
Migrationspaket
Migrationspakete werden für die initiale Schemainstallation der
Datenbank, bei einem Service Pack und einer vollständigen
Versionsänderung zur Verfügung gestellt. Ein Migrationspaket
enthält alle benötigten Tabellen, Datentypen,
Datenbankprozeduren sowie die Standardkonfiguration des One
Identity Manager.
Configuration
Wizard
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
73
Art des Transportpaketes
Beschreibung
Verwendetes
Werkzeug
Hotfixpaket
Hotfixpakete werden zur Verfügung gestellt, um einzelne
Korrekturen an der Standardkonfiguration wie beispielsweise
Bildungsregeln, Skripte, Prozesse oder Dateien in die
Datenbank einzuspielen.
Database
Transporter
Software
Loader
HINWEIS: Enthält ein Hotfixpaket nur geänderte
Dateien, laden Sie diese Dateien mit dem Programm
„Software Loader“ in die Datenbank.
Kundenkonfigurationspaket
Ein Kundenkonfigurationspaket dient zum Austausch
kundenspezifischer Änderungen zwischen
Entwicklungsdatenbank, Testdatenbank und Datenbank des
Produktivsystems. Diese Transportpakete werden vom Kunden
erstellt und in die Datenbanken eingespielt.
Database
Transporter
HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifische Konfigurationsanpassungen
in eine One Identity Manager-Datenbank übernommen werden, dann erstellen Sie dafür ein
Kundenkonfigurationspaket und importieren Sie dieses Transportpaket mit dem Database Transporter in
die Zieldatenbank. Das Zusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes
zu einem Transportpaket wird nicht unterstützt.
Verwandte Themen
l
Aktualisieren einer SQL Server® Datenbank auf Seite 75
l
Aktualisieren eines Oracle Datenbankbenutzers auf Seite 77
l
Einspielen eines Hotfixes in die One Identity Manager-Datenbank auf Seite 80
Aktualisieren der One Identity ManagerDatenbank mit dem Configuration Wizard
WICHTIG: Bevor Sie ein Migrationspaket in ein Produktivsystem einspielen, testen Sie die Änderungen
zunächst in einer Testumgebung.
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration
Wizard zur Aktualisierung der One Identity Manager-Datenbank.
Das Programm „Configuration Wizard“ führt die Aktualisierung der Datenbank in Abhängigkeit vom aktuellen
Stand der One Identity Manager-Datenbank durch und überträgt den aktuellen Stand in die Versionshistorie.
Während der Aktualisierung werden Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch
den DBQueue Prozessor verarbeitet. Abhängig von Datenumfang und Systemperformance kann die
Verarbeitung der Berechnungsaufträge einige Zeit dauern. Dies ist insbesondere der Fall, wenn Sie große
Mengen historisierter Daten, wie beispielsweise Datenänderungen oder Informationen aus der
Prozessverarbeitung in der One Identity Manager-Datenbank speichern. Stellen Sie daher vor der
Aktualisierung der Datenbank sicher, das Sie ein entsprechendes Verfahren zur Datenarchivierung konfiguriert
haben. Ausführliche Informationen zur Archivierung von Daten finden Sie im Dell One Identity Manager
Administrationshandbuch für die Datenarchivierung.
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
74
Detaillierte Informationen zum Thema
l
Aktualisieren einer SQL Server® Datenbank auf Seite 75
l
Aktualisieren eines Oracle Datenbankbenutzers auf Seite 77
l
Verarbeiten der Datenbank während der Aktualisierung auf Seite 79
Aktualisieren einer SQL Server® Datenbank
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration
Wizard zur Aktualisierung der One Identity Manager-Datenbank.
HINWEIS:
l
l
l
Die Aktualisierung der Datenbank wird im Einzelbenutzermodus ausgeführt. Beenden Sie alle
bestehenden Verbindungen zur Datenbank vor dem Start der Migration.
Nach Beenden der Aktualisierung wird die Datenbank automatisch in den Mehrbenutzermodus
geschaltet. Sollte dies nicht möglich sein, erhalten Sie eine Meldung, über die Sie die
Datenbank manuell in den Mehrbenutzermodus schalten können.
Bei Einsatz einer Datenbankspiegelung kann es zu Problemen bei der Aktivierung des
Einzelbenutzermodus kommen.
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation.
Um eine Datenbank zu aktualisieren:
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbank aktualisieren und klicken
Sie Weiter.
3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und das Installationsverzeichnis.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in der Liste.
-ODERWählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem SQL Server® und erfassen
Sie die Verbindungsdaten zum Datenbankserver.
Tabelle 34: Verbindungsdaten zur SQL Server® Datenbank
Eingabe
Beschreibung
Server
Datenbankserver.
Windows
Angabe, ob integrierte Windows® Authentifizierung verwendet wird.
Authentifizierung
Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten
Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre
Umgebung Windows® Authentifizierung unterstützt.
Nutzer
Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenbank
Datenbank.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
75
HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für
die Datenbankverbindung vornehmen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
c. Klicken Sie Weiter.
4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und Versionsinformationen
angezeigt.
a. Wählen Sie die Module, die Sie aktualisieren möchten.
b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.
c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie die Option Weitere
Module hinzufügen.
d. Klicken Sie Weiter.
5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichen Module und
klicken Sie Weiter.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module hinzufügen
aktiviert haben.
HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihre kundenspezifischen
administrativen Benutzer die Berechtigungen auf diese Module.
6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden diese auf der Seite
Aktive Datenbankverbindungen angezeigt.
l
Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartet werden kann.
7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eine Verarbeitung der Datenbank
verhindern. Beheben Sie die Fehler bevor Sie mit der Aktualisierung fortfahren.
8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation
und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt.
TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll
zu erhalten, aktivieren Sie die Option Erweitert.
a. Für die Kompilierung des Systems ist die Anmeldung mit einem administrativen Benutzer
erforderlich.
l
Erfassen Sie den Benutzername und Kennwort des administrativen Systembenutzers.
l
Klicken Sie Anmelden.
b. Nach Abschluss der Verarbeitung, klicken Sie Weiter.
9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie die Lieferantenbenachrichtigung
einrichten.
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat
eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine
personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft,
welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich
auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse,
Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit,
solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
76
a. Um die Funktion zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung aktivieren
und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres
Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet.
b. Um die Funktion nicht zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung
deaktivieren.
10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Verarbeiten der Datenbank während der Aktualisierung auf Seite 79
l
Fehlerbehebung auf Seite 126
l
Lieferantenbenachrichtigung im One Identity Manager auf Seite 61
Aktualisieren eines Oracle Datenbankbenutzers
Wenn Sie ein Service Pack oder eine vollständige Versionsänderung erhalten, verwenden Sie den Configuration
Wizard zur Aktualisierung der One Identity Manager-Datenbank.
HINWEIS: Starten Sie den Configuration Wizard auf einer administrativen Arbeitsstation.
Um einen Datenbankbenutzer zu aktualisieren
1. Starten Sie den Configuration Wizard.
2. Auf der Startseite des Configuration Wizard wählen Sie die Option Datenbank aktualisieren und klicken
Sie Weiter.
3. Auf der Seite Datenbank auswählen wählen Sie Datenbank und das Installationsverzeichnis.
a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Datenbank in der Liste.
-ODERWählen Sie unter Neue Verbindung hinzufügen das Datenbanksystem Oracle® Database und
erfassen Sie die Verbindungsdaten zum Datenbankserver.
Tabelle 35: Verbindungsdaten zur Oracle Datenbank
Eingabe
Beschreibung
Direktzugriff (ohne
Oracle Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Sie die Option.
Die erforderlichen Verbindungsdaten sind abhängig von der
Einstellung dieser Option.
Server
Datenbankserver.
Port
Port der Oracle Instanz.
Service Name
Service Name.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
77
Eingabe
Beschreibung
Benutzer
Oracle Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenquelle
TNS Alias Name aus der TNSNames.ora.
HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für
die Datenbankverbindung vornehmen.
b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien.
c. Klicken Sie Weiter.
4. Auf der Seite Produktbeschreibung werden die Konfigurationsmodule und Versionsinformationen
angezeigt.
a. Wählen Sie die Module, die Sie aktualisieren möchten.
b. Bestätigen Sie, dass von der Datenbank eine aktuelle Sicherung erstellt wurde.
c. Sollte es erforderlich sein weitere Module auszuwählen, aktivieren Sie die Option Weitere
Module hinzufügen.
d. Klicken Sie Weiter.
5. Wählen Sie auf der Seite Konfigurationsmodule auswählen die zusätzlichen Module und
klicken Sie Weiter.
HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module hinzufügen
aktiviert haben.
HINWEIS: Wenn Sie zusätzliche Module hinzufügen, erhalten Ihre kundenspezifischen
administrativen Benutzer die Berechtigungen auf diese Module.
6. Falls noch Verbindungen anderer Benutzer zur Datenbank bestehen, werden diese auf der Seite
Aktive Datenbankverbindungen angezeigt.
l
Trennen Sie die Verbindungen, damit die Verarbeitung der Datenbank gestartet werden kann.
7. Auf der Seite Datenbanküberprüfung werden Fehler angezeigt, die eine Verarbeitung der Datenbank
verhindern. Beheben Sie die Fehler bevor Sie mit der Aktualisierung fortfahren.
8. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation
und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt.
TIPP: Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll
zu erhalten, aktivieren Sie die Option Erweitert.
a. Für die Kompilierung des Systems ist die Anmeldung mit einem administrativen Benutzer
erforderlich.
l
Erfassen Sie den Benutzername und Kennwort des administrativen Systembenutzers.
l
Klicken Sie Anmelden.
b. Nach Abschluss der Verarbeitung, klicken Sie Weiter.
9. Auf der Seite Lieferantenbenachrichtigung konfigurieren können Sie die Lieferantenbenachrichtigung
einrichten.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
78
Wenn die Lieferantenbenachrichtigung aktiviert ist, erzeugt One Identity Manager einmal im Monat
eine Liste der Systemeinstellungen und sendet die Liste an One Identity. Diese Liste enthält keine
personenbezogenen Daten. Die Liste wird von unserem Kunden-Support-Team proaktiv überprüft,
welches nach wesentlichen Änderungen schaut um mögliche Probleme zu identifizieren bevor sie sich
auf Ihrem System verwirklichen. Die Listen können von unseren F&E-Mitarbeitern für die Analyse,
Diagnose und Replikation zu Testzwecken verwendet werden. Diese Informationen behalten Gültigkeit,
solange Ihr Unternehmen weiterhin Pflegeleistungen für dieses Produkt bezieht.
a. Um die Funktion zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung aktivieren
und geben Sie unter E-Mail-Adresse für Kontakt die E-Mail-Adresse Ihres
Unternehmenskontaktes ein.
Die E-Mail-Adresse wird als Absenderadresse für die Lieferantenbenachrichtigung verwendet.
b. Um die Funktion nicht zu nutzen, aktivieren Sie die Option Lieferantenbenachrichtigung
deaktivieren.
10. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig.
Verwandte Themen
l
Starten des Configuration Wizard auf Seite 42
l
Verarbeiten der Datenbank während der Aktualisierung auf Seite 79
l
Fehlerbehebung auf Seite 126
l
Lieferantenbenachrichtigung im One Identity Manager auf Seite 61
Verarbeiten der Datenbank während der Aktualisierung
Die Aktualisierung der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Der Vorgang
kann abhängig von Datenumfang und Systemperformance einige Zeit dauern.
Der Configuration Wizard führt dabei die folgenden Schritte aus:
l
Schemainstallation
Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. Die Fehlermeldungen werden
in einem separaten Meldungsfenster ausgegeben. Die Fehler sind manuell zu korrigieren. Erst danach
kann die Schemainstallation gestartet werden.
Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen, Datenbankprozeduren in
die Datenbank eingespielt. Beim Import eines Migrationspaketes in eine One Identity ManagerDatenbank werden die folgenden Operationen ausgeführt:
Tabelle 36: Operationen beim Import eines Migrationspaketes
Operationen
Beschreibung
Einfügen
Wird in der Zieldatenbank kein Objekt über einen alternativen Schlüssel gefunden, so
wird ein neues Objekt mit den Schlüsselwerten erzeugt.
Aktualisieren
Wird in der Zieldatenbank ein Objekt über einen alternativen Schlüssel gefunden, so
wird das Objekt aktualisiert.
Löschen
Nicht mehr benötigte Objekte werden in der Zieldatenbank gelöscht.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
79
Während einer Schemainstallation werden Berechnungsaufträge in die Datenbank eingestellt. Diese
werden durch den DBQueue Prozessor verarbeitet.
Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der
Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet.
l
Systemkompilierung
Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekannt gegeben. Es wird das
Authentifizierungsmodul „Systembenutzer“ mit dem angegebenen Systembenutzer zum Kompilieren
verwendet.
l
Automatische Aktualisierung
Um die Dateien des One Identity Manager über die Mechanismen der automatischen
Softwareaktualisierung zu verteilen, werden die Dateien in die One Identity Manager-Datenbank
geladen.
Verwandte Themen
l
Fehlerbehebung auf Seite 126
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
l
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126
Einspielen eines Hotfixes in die One Identity
Manager-Datenbank
WICHTIG: Bevor Sie ein Hotfixpaket in ein Produktivsystem einspielen, testen Sie die Änderungen
zunächst in einer Testumgebung.
Hotfixpakete enthalten:
l
l
Transportpakete, die Änderungen an der Standardkonfiguration wie beispielsweise Bildungsregeln,
Skripte, Prozesse in die One Identity Manager-Datenbank enthalten
Geänderte Dateien, wie beispielsweise *.exe, *.dll oder *.vif
Wenn Sie mit einem Hotfixpaket ein Transportpaket erhalten, verwenden Sie das Programm "Database
Transporter" zur Aktualisierung der One Identity Manager-Datenbank.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die
Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der
Transporthistorie der Zieldatenbank aufgezeichnet.
Wenn ein Hotfixpaket geänderte Dateien enthält, kopieren Sie die Dateien zum Testen in das
Installationsverzeichnis auf der Testmaschine. Um die Dateien über die automatische Softwareautomatisierung
an alle Arbeitsstationen und Server zu verteilen, importieren Sie die Dateien mit dem Programm "Software
Loader" in die One Identity Manager-Datenbank.
HINWEIS: Sollen zusätzlich zu einem Hotfixpaket weitere kundenspezifische Konfigurationsanpassungen
in eine One Identity Manager-Datenbank übernommen werden, dann erstellen Sie dafür ein
Kundenkonfigurationspaket und importieren Sie dieses Transportpaket mit dem Database Transporter in
die Zieldatenbank. Das Zusammenführen eines Hotfixpaketes und eines Kundenkonfigurationspaketes
zu einem Transportpaket wird nicht unterstützt.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
80
Detaillierte Informationen zum Thema
l
Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 81
l
Importieren eines Transportpaketes mit dem Database Transporter auf Seite 81
l
Importieren von Dateien mit dem Software Loader auf Seite 82
l
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126
Inhalt eines Transportpaketes mit dem Database
Transporter anzeigen
Vor dem Import eines Transportpaketes mit dem Database Transporter können Sie den Inhalt der
Datei anzeigen.
HINWEIS: Starten Sie den Database Transporter auf einer administrativen Arbeitsstation.
Um den Inhalt eines Transportpaketes anzuzeigen
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Kundenspezifische Änderungen transportieren.
Das Programm "Database Transporter" wird gestartet.
2. Auf der Startseite wählen Sie Transportdatei anzeigen.
3. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.
4. Auf der Seite Transportdatei auswählen klicken Sie Weiter.
5. Auf der Seite Transportdatei anzeigen wird der Inhalt der Transportdatei angezeigt.
l
Um die Importreihenfolge der Objekte anzuzeigen
a. Öffnen Sie über + einen Eintrag in der Transportdatei und wählen Sie das Kontextmenü
Sortieren nach Importreihenfolge.
b. Klicken Sie OK und erfassen Sie die Verbindungsdaten zur Datenbank. Dieser Schritt ist
nur bei der ersten Ermittlung einer Reihenfolge notwendig.
Es wird die Reihenfolge ermittelt, in der die Objekte dieses Eintrags in die Datenbank
importiert werden.
c. Wiederholen Sie Schritt a) für alle Einträge, für die Sie die Reihenfolge
ermitteln möchten.
6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Verwandte Themen
l
Importieren eines Transportpaketes mit dem Database Transporter auf Seite 81
Importieren eines Transportpaketes mit dem Database
Transporter
HINWEIS: Um Transportpakete mit dem Database Transporter zu importieren, muss der angemeldete
Benutzer zur Nutzung der Programmfunktion "Erlaubt den Import von Transportpaketen in die
Datenbank. (Transport_Import)" berechtigt sein.
HINWEIS: Starten Sie den Database Transporter auf einer administrativen Arbeitsstation.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
81
Um ein Transportpaket zu importieren
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Kundenspezifische Änderungen transportieren.
Das Programm "Database Transporter" wird gestartet.
2. Auf der Startseite wählen Sie Transportdatei importieren.
3. Auf der Seite Datenbankverbindung wählen geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an, in welche Sie das Transportpaket importieren möchten.
4. Wählen Sie im Dateibrowser das Transportpaket und klicken Sie Öffnen.
5. Auf der Seite Transportdatei auswählen legen Sie Importoptionen fest.
a. Um eine Protokolldatei für den Import zu erstellen, aktivieren Sie die Option Protokolldatei
zum Datenimport erzeugen.
Die Protokolldatei wird im Ausgabeverzeichnis der Transportdatei abgelegt.
b. Um Objekte einzeln zu importieren, aktivieren Sie die Option Objekte einzeln importieren und
Fehler ignorieren.
Eventuell auftretende Fehler beim Import werden ignoriert und am Ende des Importvorgangs
angezeigt. Ist die Option nicht aktiviert, wird der Importvorgang bei Fehlern abgebrochen.
6. Auf der Seite Systemdaten importieren werden die auszuführenden Importschritte und der
Importfortschritt angezeigt. Der Importvorgang kann einige Zeit in Anspruch nehmen. Zum Abschluss
werden Berechnungsaufträge für den DBQueue Prozessor eingestellt.
7. Wurden mit dem Transportpaket Änderungen an der Systemkonfiguration vorgenommen, beispielsweise
Prozesse oder Skripte importiert, dann müssen Sie nach der Abarbeitung dieser Aufträge die Datenbank
kompilieren. Nach dem Import wird die Kompilierung der Datenbank automatisch gestartet.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Sind während des Importes Fehler aufgetreten, können Sie diese über die
Schaltfläche
speichern.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die
Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der
Transporthistorie der Zieldatenbank aufgezeichnet.
Verwandte Themen
l
Inhalt eines Transportpaketes mit dem Database Transporter anzeigen auf Seite 81
l
Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 126
Importieren von Dateien mit dem Software Loader
HINWEIS: Starten Sie den Software Loader auf einer administrativen Arbeitsstation.
Um Dateien zu importieren
1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Dateien für Softwareaktualisierung. Das
Programm "Software Loader" wird gestartet.
2. Auf der Startseite wählen Sie In Datenbank importieren.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
82
3. Auf der Seite Verbindung zur Datenbank herstellen geben Sie die Verbindungsdaten zur One Identity
Manager-Datenbank an.
4. Auf der Seite Dateien auswählen legen Sie fest, welche Dateien importiert werden.
a. Wählen Sie das Basisverzeichnis, in welchem sich die Dateien befinden.
In der Dateiliste werden alle Dateien des gewählten Verzeichnisses mit ihrem Status und der
Dateigröße angezeigt. Der Status wird aus den Dateiinformation in der Datenbank ermittelt. Zur
Prüfung der Version einer Datei werden die Dateigröße und der Hashwert ermittelt und mit dem
Eintrag in der Datenbank verglichen.
HINWEIS: Achten Sie bei der Auswahl des Basisverzeichnisses darauf, das nicht
unbeabsichtigt eine Verzeichnishierarchie erzeugt wird.
Tabelle 37: Bedeutung der Status
Status
Bedeutung
Version
unbekannt
Die Datei gehört zu den bekannten Dateien, wurde jedoch noch nicht in die
Datenbank geladen. Es liegen keine Versionsinformationen in der Datenbank vor.
Datei
unbekannt
Die Datei ist neu. Die Datei ist in der Liste der bekannten Dateien nicht
vorhanden und wurde noch nicht in die Datenbank geladen. Es liegen keine
Versionsinformationen in der Datenbank vor.
Version OK
Die Version der Datei stimmt mit der Version in der Datenbank überein.
Version
geändert
Die Version der Datei hat sich gegenüber der Version in der Datenbank geändert.
b. Markieren Sie die Dateien, die in die One Identity Manager-Datenbank zu laden sind. Mit Shift +
Auswahl bzw. Strg + Auswahl können Sie mehrere Dateien auswählen.
TIPP: Über Mausklick auf eine Spalte im Tabellenkopf sortieren Sie die Anzeige nach der
gewählten Spalte.
TIPP: Eine Vorauswahl geänderte Dateien ist über das Kontextmenü möglich.
Tabelle 38: Bedeutung der Einträge im Kontextmenü
Eintrag im
Bedeutung
Kontextmenü
Alle
Verzeichnisse
öffnen
Es werden alle Verzeichnisse geöffnet.
Alle
geänderten
Dateien
öffnen
Es werden alle Dateien mit dem Status „Version geändert“ ausgewählt.
Dateien in Unterverzeichnissen werden nur ausgewählt, wenn vorher das
Verzeichnis geöffnet wurde.
5. Auf der Seite Änderungskennzeichen wählen vergeben Sie ein Änderungskennzeichen.
Um den Austausch neuer Dateien zwischen verschiedenen Datenbanken (Testdatenbank,
Entwicklungsdatenbank, Produktivdatenbank) zu erleichtern, vergeben Sie ein Änderungskennzeichen,
mit dem die Dateien gekennzeichnet werden. Diese Änderungskennzeichen werden im Programm
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
83
„Database Transporter“ bei der Erstellung eines Kundentransportpaketes als Exportkriterium
angeboten.
a. Wählen Sie Die Dateien sollen folgendem Änderungskennzeichen zugeordnet werden.
b. Wählen Sie das Änderungskennzeichen über die Schaltfläche neben der Option.
6. Die Dateien werden in die One Identity Manager-Datenbank geladen. Nach dem erfolgreichen Laden der
Dateien in die Datenbank, wird der Semaphorwert „Softwarerevision“ in der Datenbank durch den
DBQueue Prozessor aktualisiert. Beim nächsten Semaphortest werden die Dateien somit in die Liste der
zu aktualisierenden Dateien aufgenommen und an die Arbeitsstationen und Server verteilt.
7. Auf der Seite Maschinenrollen zuordnen legen Sie weitere Einstellungen für die Dateien fest.
a. Ordnen Sie die Dateien einer Maschinenrolle zu.
b. Um weitere Einstellungen festzulegen, klicken Sie die Schaltfläche ... neben den Dateinamen.
Tabelle 39: Weitere Dateieinstellungen
Einstellung
Beschreibung
Quellverzeichnis
Verzeichnispfad in der Installationsquelle.
Sicherungskopie
erstellen
Beim der automatischen Softwareaktualisierung ist von der Datei eine
Kopie anzufertigen.
Keine Aktualisierung Die Datei wird durch die automatische Softwareaktualisierung nicht
aktualisiert.
8. Auf der letzten Seite klicken Sie Ende, um das Programm zu schließen.
Verwandte Themen
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
l
Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158
Automatisches Aktualisieren des One
Identity Manager
Aufgrund der räumlichen Verteilung der Server und Arbeitsstationen gestaltet sich vor allem das
manuelle lokale Installieren und Aktualisieren von Software als problematisch. Um einen erträglichen
Arbeitsaufwand der Netzwerkadministratoren zu gewährleisten, wurde für den One Identity Manager ein
Verfahren zur automatischen Aktualisierung des One Identity Manager entwickelt. Neben der
Aktualisierung bekannter Dateien einer One Identity Manager-Installation können neue, kundenspezifische
Dateien auf einfache Weise in das Verfahren aufgenommen werden und somit über die Mechanismen der
automatischen Softwareaktualisierung an die Arbeitsstationen und Server eines One Identity ManagerNetzwerkes verteilt werden.
Detaillierte Informationen zum Thema
l
Grundlagen zur automatischen Aktualisierung auf Seite 85
l
Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 87
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
84
Grundlagen zur automatischen Aktualisierung
Alle Dateien einer One Identity Manager-Installation sind mit Namen und ihrem Binärcode in der One Identity
Manager-Datenbank abgelegt. Für jede Datei ist die Zugehörigkeit zu den Maschinenrollen und
Installationspaketen erfasst. Zusätzlich sind in der Datenbank für jede Datei die Dateigröße und ein Hashwert
zur Dateierkennung hinterlegt.
Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service Packs oder einer
Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.
In der Datenbank wird ein Semaphor „Softwarerevision“ gepflegt. Beim Hinzufügen, Ändern oder Löschen einer
Datei in der Datenbank wird der Semaphorwert durch den DBQueue Prozessor neu berechnet. Im
Installationsverzeichnis aller One Identity Manager-Installationen liegt eine Datei Softwarerevision.viv.
Diese Datei enthält die folgenden Informationen:
l
den Revisionsstand der Installation
Der Revisionsstand wird aus dem Wert des Semaphors „Softwarerevision“ in der Datenbank ermittelt.
l
den Startzeitpunkt der letzten Änderung
Zusätzlich befindet sich im Installationsverzeichnis aller One Identity Manager-Installationen eine Datei
InstallState.config. Diese Datei enthält die Informationen über die installierten Maschinenrollen,
Installationspakete und Dateien.
Durch den Vergleich der Semaphorwerte aus der Datenbank und der Datei wird festgestellt, ob eine
Softwareaktualisierung notwendig ist. Unterscheiden sich die Semaphorwerte, wird anhand der
InstallState.config ermittelt, welche Maschinenrollen für den Computer oder den Server definiert sind.
Für jede Datei, die zu einer Maschinenrolle gehört, wird geprüft, ob diese Datei in der Datenbank bekannt ist.
Gibt es die Datei in der Datenbank, wird geprüft:
l
Hat sich die Dateigröße geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen.
l
Hat sich der Hashwert geändert?
Ist dies der Fall, wird die Datei in die Liste der zu aktualisierenden Dateien aufgenommen.
Neue Dateien, die durch das Einspielen eines Hotfixes, eines Service Packs, einer Versionsänderung oder durch
Einspielen einer kundenspezifischen Datei in die One Identity Manager-Datenbank geladen wurden, werden
ebenfalls in die Liste aufgenommen. Alle in der Liste aufgeführten Dateien werden aktualisiert. Alle Aktionen
werden in der Datei update.log protokolliert. Nach Abschluss der Aktualisierung wird der aktuelle
Semaphorwert aus der Datenbank in die Datei Softwarerevision.viv übernommen.
Automatische Aktualisierung der One Identity Manager-Werkzeuge
Beim Start eines Programms stellt die VI.DB.dll die Verbindung zur Datenbank her und führt den
Semaphortest aus. Wird die Datei SoftwareRevision.viv nicht gefunden, so wird eine neue Datei angelegt.
Ist im Installationsverzeichnis des One Identity Manager kein Schreibrecht vorhanden, wird eine
Fehlermeldung ausgegeben und die Softwareaktualisierung fortgesetzt.
Das Aktualisierungsprogramm (Updater.exe) erwartet bei aktivierter Benutzerkontensteuerung die Angabe
einer administrativen Anmeldung, sofern der angemeldete Benutzer keine administrativen Berechtigungen
auf das Installationsverzeichnis besitzt (zum Beispiel %ProgramFiles%). Erfolgt die Installation in ein
Verzeichnis, dass nicht über die Benutzerkontensteuerung verwaltet wird, entfällt diese Abfrage.
Anschließend wird der Aktualisierungsprozess gestartet.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
85
Um den Start weiterer Anwendungen während der Aktualisierungsphase zu unterbinden, wird im
Installationsverzeichnis eine Datei Update.Lock erzeugt. Das auslösende Programm und das
Aktualisierungsprogramm (Updater.exe) schreiben ihre Prozess-ID’s in die Datei. Nach erfolgreichem
Abschluss der Aktualisierung wird die Update.Lock-Datei aus dem Installationsverzeichnis gelöscht. Das
Programm wird anschließend neu gestartet. Um sicherzustellen, dass nach einem unerwarteten
Programmabbruch in der Aktualisierungsphase, die automatische Aktualisierung bei Neustart einer Anwendung
erneut startet, wird eine Update.Lock-Datei, die älter als zwei Stunden ist, ignoriert. Ist bei Neustart einer
Anwendung keiner der Prozesse, deren ID’s in der Update.Lock-Datei stehen, auf der Arbeitsstation
vorhanden, so wird die Update.Lock-Datei ebenfalls ignoriert und die Aktualisierung erneut gestartet.
Im laufenden Betrieb wird durch die VI.DB.dll zyklisch der Semaphortest ausgeführt. Wird eine Datei zum
Austausch erkannt, so wird der Aktualisierungsprozess gestartet.
Eingreifen des Benutzers in die automatische Aktualisierung der One Identity ManagerWerkzeuge
Wird die Aktualisierung der One Identity Manager-Komponenten auf einer Arbeitsstation erkannt, erfolgt der
Hinweis alle geöffneten Programme zu schließen. Nachdem der Benutzer alle Programme geschlossen hat,
wird die Aktualisierung ausgeführt.
Ob die Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann die Aktualisierung ihrer
Arbeitsstationen erfolgt, wird über den Konfigurationsparameter "Common\AutoUpdate\AllowOutOfTimeApps"
gesteuert.
l
l
Ist der Konfigurationsparameter nicht aktiviert, hat ein Benutzer keine Möglichkeit in die Aktualisierung
einzugreifen. Die Aktualisierung wird sofort ausgeführt.
Ist der Konfigurationsparameter aktiviert, wird dem angemeldeten Benutzer ein Meldungsfenster
angezeigt. Der Benutzer kann entscheiden, ob die Aktualisierung der One Identity Manager-Werkzeuge
auf seiner Arbeitsstation sofort oder zu einem späteren Zeitpunkt ausgeführt wird.
Lehnt der Benutzer die sofortige Aktualisierung ab, so kann er weiterarbeiten. Die Aktualisierung kann
dann mit dem nächsten Start des Programms durchgeführt werden.
Automatische Aktualisierung des One Identity Manager Service
Die automatische Softwareaktualisierung ist das Standardverfahren zur Aktualisierung des One Identity
Manager Service auf den Servern. Im Aktualisierungsverfahren wurde jedoch berücksichtigt, dass es unter
Umständen unumgänglich ist, einzelne Server von der automatischen Aktualisierung auszuschließen und
manuell zu aktualisieren.
Der One Identity Manager Service liefert bei jeder Anfrage nach Prozessschritten seinen aktuellen Stand des
Semaphors „SoftwareRevision“ zurück. Sollte dieser Wert von dem in der Datenbank gefundenen Wert
abweichen, so wird der Jobserver in der Datenbank als „in Aktualisierung befindlich“ gekennzeichnet und es
werden keine normalen Prozessschritte für diesen Jobserver mehr geliefert.
Abhängig vom eingestellten Verfahren im Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“
wird die Aktualisierung der Jobserver durchgeführt.
Es wird zunächst der Startzeitpunkt der letzten Änderung aus der Datei SoftwareRevision.viv ermittelt.
Es wird eine Liste aller Dateien mit der Zusatzinformation, ob es sich um eine neue Datei handelt,
zusammengestellt. Diese Liste wird auf dem zu aktualisierenden Jobserver ausgewertet und eine Liste
erstellt, welche der Dateien zu aktualisieren sind. Wurde mindestens eine Datei auf dem Jobserver
ausgetauscht, erfolgt ein Neustart des One Identity Manager Service. Nach Abschluss der Aktualisierung wird
die Kennzeichnung des Jobservers in der Datenbank wieder zurückgesetzt.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
86
Automatische Aktualisierung von Webanwendungen
Grundsätzlich unterstützen die Webanwendungen die automatische Softwareaktualisierung. Für die einzelnen
Webanwendungen können jedoch eigene Konfigurationseinstellungen erforderlich sein, um an der
automatischen Softwareaktualisierung teilzunehmen.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:
l
l
l
Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das
Anwendungsverzeichnis.
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als
Stapelverarbeitungsauftrag".
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen
Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von
Speicherkontingenten für einen Prozess".
Die Aktualisierung einer Webanwendung erfordert einen Neustart der Webanwendung. Der Neustart der
Webanwendung erfolgt durch den Webserver automatisch, wenn die Webanwendung eine definierte
Zeitspanne keine Benutzeraktivität aufweist. Dies kann einige Zeit dauern oder gar durch ununterbrochene
Benutzeranfragen verhindert werden. Einige Webanwendungen bieten die Möglichkeit den Neustart manuell
auszuführen.
Wird die Aktualisierung der Webanwendung erkannt, werden neue Dateien aus der Datenbank in vorläufige
Verzeichnisse auf den Server kopiert. Die Updater.exe wird gestartet. Es wartet bis der
Webanwendungsprozess herunter gefahren wird. Die Updater.exe kopiert die Dateien aus dem vorläufigen
Verzeichnis in das Verzeichnis der Webanwendung.
Verwandte Themen
l
Inbetriebnahme der automatischen Softwareaktualisierung auf Seite 87
l
Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93
l
Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109
l
Aktualisieren der Manager Webanwendung auf Seite 115
Inbetriebnahme der automatischen
Softwareaktualisierung
WICHTIG:
l
l
Die Arbeitsstation, auf der die Schemainstallation der One Identity Manager-Datenbank
gestartet wird, aktualisieren Sie mit dem Installationsassistenten.
Den One Identity Manager Service auf dem Server, der die direkten Anfragen der Datenbank
verarbeitet, aktualisieren Sie mit dem Installationsassistenten.
l
Schließen Sie diesen Server von der automatische Aktualisierung aus. Aktivieren Sie dazu
für den korrespondierenden Jobserver mit der Serverfunktion "Master SQL Server" im
Designer die Option kein automatisches Softwareupdate.
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
87
Berechtigungen für die automatische Softwareaktualisierung
l
l
Für die automatische Aktualisierung der One Identity Manager-Werkzeuge werden volle Zugriffsrechte
auf das One Identity Manager-Installationsverzeichnis empfohlen.
Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto des
Dienstes Vollzugriff auf das One Identity Manager-Installationsverzeichnis.
Um die automatische Softwareaktualisierung einzusetzen
1. Aktivieren Sie im Designer den Konfigurationsparameter "Common\Autoupdate".
l
l
Ist der Konfigurationsparameter aktiviert, dann werden Dateien des One Identity Manager, die
nicht dem erforderlichen Revisionsstand entsprechen, automatisch aktualisiert.
Ist der Konfigurationsparameter deaktiviert, erfolgt keine automatische Softwareaktualisierung.
2. Legen Sie über den Konfigurationsparameter "Common\AutoUpdate\AllowOutOfTimeApps" fest, ob die
Benutzer der One Identity Manager-Werkzeuge entscheiden können, wann die Aktualisierung ihrer
Arbeitsstation erfolgt.
l
l
Ist der Konfigurationsparameter aktiviert, wird den Benutzern der One Identity ManagerWerkzeuge ein Meldungsfenster angezeigt, mit dem sie festlegen, ob die Aktualisierung sofort
oder zu einem späteren Zeitpunkt erfolgen soll.
Ist der Konfigurationsparameter nicht aktiviert, werden die One Identity Manager-Werkzeuge
sofort aktualisiert.
3. Legen Sie im Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“ fest, welches
Verfahren für die Aktualisierung des One Identity Manager Service genutzt wird.
Tabelle 40: Verfahren laut Konfigurationsparameter „Common\Autoupdate\ServiceUpdateType“
Verfahren Bedeutung
Queue
Es wird ein Prozess in die Jobqueue eingestellt, über den die Dateien verteilt werden.
DB
Die Dateien werden direkt aus der Datenbank geladen. Dieses Verfahren setzen Sie ein,
wenn alle Jobserver eine direkte Datenbankverbindung haben.
Auto
Alle Kopfserver werden direkt aus der Datenbank befüllt. Für alle Blattserver wird ein
Prozess in die Jobqueue eingestellt. Für dieses Verfahren müssen die Kopfserver eine
direkte Datenbankverbindung haben.
4. Um einzelne Jobserver von der automatischen Aktualisierung auszuschließen, aktivieren Sie für die
Jobserver im Designer die Option kein automatisches Softwareupdate.
5. Für die Aktualisierung der Webanwendungen können eigene Konfigurationseinstellungen notwendig
sein. Prüfen Sie diese Konfigurationseinstellungen.
Verwandte Themen
l
Grundlagen zur automatischen Aktualisierung auf Seite 85
l
Aktualisieren der One Identity Manager-Komponenten auf Seite 72
l
Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109
l
Aktualisieren der Manager Webanwendung auf Seite 115
One Identity Manager 7.1.2 Installationshandbuch
Aktualisieren des One Identity Manager
88
6
Installieren und Aktualisieren eines
One Identity Manager
Anwendungsservers
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung. Die
Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie
beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die
Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die
Datenbank übergeben.
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem
Server erfüllt sind.
Detaillierte Informationen zum Thema
l
Minimale Systemanforderungen für den Anwendungsserver auf Seite 28
l
Installieren eines One Identity Manager Anwendungsservers auf Seite 89
l
Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93
l
Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93
l
Deinstallieren eines One Identity Manager Anwendungsservers auf Seite 94
Installieren eines One Identity Manager
Anwendungsservers
Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung. Die
Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie
beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die
Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die
Datenbank übergeben.
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem
Server erfüllt sind.
WICHTIG: Starten Sie die Installation des Anwendungsservers lokal auf dem Server.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
89
Um einen Anwendungsserver zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten
und klicken Sie Installieren. Der Web Installer wird gestartet.
3. Auf der Startseite des Web Installer wählen Sie Anwendungsserver installieren und klicken Sie Weiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter.
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie
Weiter.
Tabelle 41: Einstellungen für das Installationsziel
Einstellung
Beschreibung
Anwendungsname
Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers
verwendet werden soll.
Zielpfad im IIS
Webseite auf dem Internet Information Services, auf dem die Anwendung
installiert wird.
SSL erzwingen
Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten
werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert
sind, zur Installation verwendet werden. Diese Einstellung ist der
Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur
Installation verwendet werden.
URL
Uniform Resource Locator (URL) der Anwendung.
Dedizierter
Anwendungspool
einrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert
werden soll. Diese Option ermöglicht es, Anwendungen unabhängig
voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in
ihren eigenen Anwendungspool installiert.
Anwendungspool
Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich,
wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wird
der Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL
Identität
Berechtigung für die Ausführung des Anwendungspool. Es kann eine
Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet
werden.
Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das
Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die
Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein
Kennwort.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
90
Einstellung
Beschreibung
WebAuthentifizierung
Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur
Auswahl stehen:
l
Windows® Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet Information Services
mithilfe seines Windows® Benutzerkontos authentifiziert und die
Webanwendung meldet die diesem Benutzerkonto zugeordnete
Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich
sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese
Authentifizierung ist nur wählbar, wenn die Windows®
Authentifizierung installiert ist.
l
Anonym
Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der
Benutzer wird gegenüber dem Internet Information Services und der
Webanwendung anonym authentifiziert und die Webanmeldung leitet
auf eine Anmeldeseite um.
DatenbankAuthentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der
Ansicht Datenbankverbindung eine SQL-Datenbankverbindung
ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen:
l
Windows® Authentifizierung
Die Webanwendung authentifiziert sich gegenüber der One Identity
Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem
ihr Anwendungspool läuft. Eine Anmeldung ist über ein
benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für
den Anwendungspool möglich.
l
SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto
möglich. Die Authentifizierung erfolgt mittels Benutzername und
Kennwort. Diese Zugangsdaten werden maschinenspezifisch
verschlüsselt in der Konfiguration der Webanwendung gespeichert.
6. Auf der Seite Maschinenrollen zuordnen legen Sie die Maschinenrollen fest und klicken Sie Weiter.
Die Maschinenrollen für den Anwendungsserver sind aktiviert. Die Maschinenrollen "Search Service"
und "Search Indexing Service" werden für die Suchindizierung für die Volltextsuche benötigt. Diese
Maschinenrollen sind immer gemeinsam zu verwenden.
HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, wird ein
Anwendungsserver benötigt, auf dem der Suchdienst installiert ist.
7. Auf der Seite Setze das Session-Token-Zertifikat legen Sie das Zertifikat für die Erstellung und Prüfung
von Sitzungstoken fest und klicken Sie Weiter.
HINWEIS: Das Zertikat muss mindestens eine Schlüssellänge von 1024 Bit haben.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
91
a. Um ein neues Zertifikat zu erzeugen
l
Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Erzeuge neues
Zertifikat".
l
Erfassen Sie unter Zertifikatsherausgeber den Aussteller des Zertifikats.
l
Legen Sie unter Schlüssellänge die Schlüssellänge für das Zertifikat fest.
Das Zertifikat wird in die Zertifikatsverwaltung des Anwendungsservers eingetragen.
b. Um ein bestehendes Zertifikat zu verwenden
l
l
Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Nutze bestehendes
Zertifikat".
Wählen Sie unter Zertifikat auswählen das Zertifikat. c. Um eine neue Zertifikatsdatei zu erzeugen
l
Wählen Sie unter Zertifikat für das Session-Token den Eintrag "Erzeuge neue
Zertifikatsdatei".
l
Erfassen Sie unter Zertifikatsherausgeber den Aussteller des Zertifikats.
l
Legen Sie unter Schlüssellänge die Schlüssellänge für das Zertifikat fest.
8. Auf der Seite Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die automatische
Aktualisierung des Anwendungsservers fest.
Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder
auszutauschen.
l
l
Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für die
Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IIS-Berechtigungen für
Aktualisierungen.
Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze ein
spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den Benutzernamen und
das Kennwort des Benutzers an.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:
l
l
l
Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf
das Anwendungsverzeichnis.
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie
"Anmelden als Stapelverarbeitungsauftrag".
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen
Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von
Speicherkontingenten für einen Prozess".
9. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der
Vorgang abgeschlossen wurde, klicken Sie Weiter.
Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien
(web.config) zu jedem Verzeichnis.
10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Bei der Installation werden Standardwerte für die Konfigurationseinstellungen verwendet.
Sie können diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen überprüfen.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
92
Verwandte Themen
l
Minimale Systemanforderungen für den Anwendungsserver auf Seite 28
l
Aktualisieren eines One Identity Manager Anwendungsservers auf Seite 93
l
Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93
l
Installieren des Web Portal auf Seite 95
l
Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 158
Aktualisieren eines One Identity
Manager Anwendungsservers
HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern
durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der
Anwendung gefahrlos manuell durchgeführt werden kann.
Die Aktualisierung der Anwendung erfolgt automatisch. Um eine Aktualisierung durchzuführen, sind zunächst
die zu aktualisierenden Dateien in die One Identity Manager-Datenbank einzuspielen. Die benötigten Dateien
werden beim Einspielen eines Hotfixes, eines Service Packs oder einer Versionsänderung in die One Identity
Manager-Datenbank eingefügt und aktualisiert.
Die Prüfung wird beim Start der Anwendung und danach aller 5 Minuten durchgeführt. Werden neue Dateien
erkannt, so werden diese aus der Datenbank geladen. Die Dateien können nicht aktualisiert werden, solange
die Anwendung läuft, da diese die Dateien blockiert bzw. deren Änderung einen Neustart der Anwendung und
einen Verlust aller aktiver Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis
die Anwendung neu gestartet wird.
Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte
Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder gar durch
ununterbrochene Benutzeranfragen verhindert werden.
Um die Aktualisierung manuell zu starten, öffnen Sie die Statusseite des Anwendungsservers im Browser und
verwenden Sie den Eintrag Update immediately im Menü des angemeldeten Benutzers.
Verwandte Themen
l
Anzeigen des Status eines One Identity Manager Anwendungsservers auf Seite 93
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
Anzeigen des Status eines One Identity
Manager Anwendungsservers
Der Anwendungsserver ist über einen Browser erreichbar unter:
http://<Server>/<Anwendungsname>
https://<Server>/<Anwendungsname>
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
93
TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job
Queue Info das Menü Ansicht | Serverstatus und öffnen Sie auf dem Tabreiter Webserver die
Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen.
Für den Anwendungsserver werden verschiedene Statusinformationen angezeigt. Die Statusinformationen des
Anwendungsservers stehen auch als Leistungsindikatoren zur Verfügung.
Zusätzlich ist hier eine API Dokumentation verfügbar.
Deinstallieren eines One Identity
Manager Anwendungsservers
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte
Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet.
- ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration |
Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager
Webanwendung und klicken Sie Weiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten
Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und
authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken Sie Weiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem
der Vorgang abgeschlossen wurde, klicken Sie Weiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren eines One Identity Manager Anwendungsservers
94
7
Installieren, Konfigurieren und
Warten des Web Portal
Mit Hilfe des Web Installers können Sie das Web Portal installieren, konfigurieren und aktualisieren.
Nachfolgend wird auf die Schritte eingegangen, die nötig sind, um das Web Portal auf einem Windows® Server
zu installieren und in der Standardkonfiguration in Betrieb zu nehmen. Die Konfigurationseinstellungen
werden mit ihren entsprechend möglichen Werten erläutert.
Detaillierte Informationen zum Thema
l
Installieren des Web Portal auf Seite 95
l
Installieren des Web Portal über die Kommandozeilenkonsole auf Seite 99
l
Deinstallieren des Web Portal auf Seite 102
l
Konfigurieren des Web Portal auf Seite 103
l
Warten des Web Portal auf Seite 108
Installieren des Web Portal
Stellen Sie vor der Installation sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem
Server erfüllt sind.
HINWEIS: Wenn Sie die Volltextsuche im Web Portal nutzen möchten, stellen Sie einen
Anwendungsserver bereit, auf dem der Suchdienst installiert ist.
WICHTIG: Starten Sie die Installation des Web Portal lokal auf dem Server.
Um das Web Portal zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten
und klicken Sie Installieren. Der Web Installer wird gestartet.
3. Auf der Startseite des Web Installer wählen Sie Web Portal installieren und klicken Sie Weiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter.
Abhängig davon welche Datenbankverbindung gewählt wurde, werden auf der Seite Installationsziel
wählen unterschiedliche Einstellungen angezeigt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
95
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie
Weiter.
Tabelle 42: Einstellungen für das Installationsziel
Einstellung
Beschreibung
Anwendungsname
Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers
verwendet werden soll.
Zielpfad im IIS
Webseite auf dem Internet Information Services, auf dem die Anwendung
installiert wird.
SSL erzwingen
Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten
werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert
sind, zur Installation verwendet werden. Diese Einstellung ist der
Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur
Installation verwendet werden.
URL
Uniform Resource Locator (URL) der Anwendung.
Dedizierter
Anwendungspool
einrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert
werden soll. Diese Option ermöglicht es, Anwendungen unabhängig
voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in
ihren eigenen Anwendungspool installiert.
Anwendungspool
Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich,
wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wird
der Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL
Identität
Berechtigung für die Ausführung des Anwendungspool. Es kann eine
Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet
werden.
Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das
Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die
Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein
Kennwort.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
96
Einstellung
Beschreibung
WebAuthentifizierung
Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur
Auswahl stehen:
l
Windows® Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet Information Services
mithilfe seines Windows® Benutzerkontos authentifiziert und die
Webanwendung meldet die diesem Benutzerkonto zugeordnete
Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich
sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese
Authentifizierung ist nur wählbar, wenn die Windows®
Authentifizierung installiert ist.
l
Anonym
Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der
Benutzer wird gegenüber dem Internet Information Services und der
Webanwendung anonym authentifiziert und die Webanmeldung leitet
auf eine Anmeldeseite um.
DatenbankAuthentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der
Ansicht Datenbankverbindung eine SQL-Datenbankverbindung
ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen:
l
Windows® Authentifizierung
Die Webanwendung authentifiziert sich gegenüber der One Identity
Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem
ihr Anwendungspool läuft. Eine Anmeldung ist über ein
benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für
den Anwendungspool möglich.
l
SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto
möglich. Die Authentifizierung erfolgt mittels Benutzername und
Kennwort. Diese Zugangsdaten werden maschinenspezifisch
verschlüsselt in der Konfiguration der Webanwendung gespeichert.
Wenn Sie in Schritt 4 eine direkte Datenbankverbindung ausgewählt haben, wird Ihnen die Seite
Anwendungsserver wählen angezeigt. Die Angabe eines Anwendungsservers ist erforderlich, wenn Sie
die Volltextsuche verwenden möchten. Sie können den Anwendungsserver auch zu einem späteren
Zeitpunkt in die Konfigurationsdatei eintragen.
6. Erfassen Sie auf der Seite Anwendungsserver eintragen den Anwendungsserver, auf dem der
Suchdienst für die Volltextsuche installiert ist.
a. Klicken Sie auf den Link Anwendungsserver eintragen.
a. Erfassen Sie im Textfeld URL: die Webadresse, bestätigen Sie Ihre Eingabe mit OK und klicken
Sie Weiter.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
97
7. Auf der nächsten Seite legen Sie folgende erweiterte Einstellungen zur Installation fest und
klicken Sie Weiter.
a. Im Bereich Installationsquelle wählen Sie die Quelle für die Installation.
l
l
Wenn die Dateien aus der Datenbank ermittelt werden, wählen Sie Aus der
Datenbank laden.
Wenn die Dateien vom Installationsmedium ermittelt werden, wählen Sie Aus lokalem
Ordner installieren und geben Sie den Pfad an.
b. Wählen Sie im Auswahlfeld Webprojekt das gewünschte Webprojekt.
Sollten keine weiteren Einstellungen erforderlich sein, wird Ihnen die Meldung Keine
Authentifizierungsdaten benötigt angezeigt.
Werden weitere Einstellungen benötigt, gehen Sie wie folgt vor:
l
l
l
l
Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sind nicht
eingetragen auf die Schaltfläche.
Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.
Wählen Sie im Bereich Authentifizierungsverfahren das gewünschte
Authentifizierungsverfahren und erfassen Sie die erforderlichen Anmeldeinformationen.
Klicken Sie OK.
HINWEIS: Weitere Informationen finden Sie unter Webprojekt auf Seite 104.
c. Im Bereich Setze das Konto für Aktualisierung legen Sie das Benutzerkonto für die
automatische Aktualisierung des Web Portal fest.
Das Benutzerkonto wird verwendet, um die Dateien im Anwendungsverzeichnis anzulegen oder
auszutauschen.
l
l
Wenn Sie die Benutzerkonto, unter welcher der Anwendungspool ausgeführt wird, für
die Aktualisierungen nutzen möchten, setzen Sie die Option Nutze die IISBerechtigungen für Aktualisierungen.
Wenn Sie ein anderes Benutzerkonto verwendet möchten, setzen Sie die Option Nutze
ein spezielles Konto für die Aktualisierungen und geben Sie die Domäne, den
Benutzernamen und das Kennwort des Benutzers an.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen
erforderlich:
l
l
l
Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum
Schreiben auf das Anwendungsverzeichnis.
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie
"Anmelden als Stapelverarbeitungsauftrag".
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen
Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen
von Speicherkontingenten für einen Prozess".
8. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der
Vorgang abgeschlossen wurde, klicken Sie Weiter.
Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien zu
jedem Ordner. Sie sollten in der Lage sein, die Webanwendung sofort verwenden zu können.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
98
HINWEIS: Wenn Sie die Webanwendung mit HTTPS installieren, wird die Übertragungsart der
Cookies in HTTPS im Web Installer eingerichtet werden. Berücksichtigen Sie, dass dieser Wert
manuell eingestellt werden muss, wenn Sie Änderungen der SSL-Einstellungen an der
Webanwendung zu einem späteren Zeitpunkt vornehmen.
9. Auf der Seite Installation prüfen können Sie den Start der Webanwendung testen. Die Basis-URL für
den Mailversand wird angezeigt. Wählen Sie gegebenenfalls im Auswahlfeld Ändern in eine andere URL
und klicken Sie Weiter.
10. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
Um eine Änderung vorzunehmen
l
Schreiben Sie zum Beispiel den Wert <httpCookies requireSSL=”true”> in die web.config unter
dem Element <system.web>.
Der Web Installer verwendet Standardwerte für die meisten Konfigurationseinstellungen. Meistens
können Sie diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe des Web
Designer Configuration Editor überprüfen.
Verwandte Themen
l
Minimale Systemanforderungen für den Webserver auf Seite 26
l
Installieren eines One Identity Manager Anwendungsservers auf Seite 89
l
Konfigurieren des Web Portal auf Seite 103
Installieren des Web Portal über die
Kommandozeilenkonsole
Eine Alternative zur Installation über die autorun.exe ist die Installation über die
WebDesigner.InstallerCMD.exe in der Kommandozeilenkonsole. Diese Variante installiert oder
deinstalliert ausschließlich das Web Portal.
HINWEIS: Bei der Installation mithilfe der Kommandozeilenkonsole ist darauf zu achten, die Installation
als Administrator auszuführen.
Den Hilfetext können Sie über die Eingabe von /? aufrufen.
Aufrufsyntax "Hilfe aufrufen"
WebDesigner.InstallerCMD.exe
Aufrufsyntax "Web Portal installieren"
WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops
{authentication} /appname {appname}
/site {Site} [/sourcedir {dir}] [/apppool {AppPool}] [/webproject {Webproject}]
[/constauthproj {subproject name}
/constauth {authentication}] [/searchserviceurl {url}] [/updateuser {username}
[/updateuserdomain {domain}] [/updateuserpassword {password}]] [/allowhttp
{true|false}] [-f] [-w] [-s]
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
99
Tabelle 43: Parameter des Programms
Parameter
Beschreibung
/prov
Datenbankprovider.
/conn
Verbindungsparameter zur Datenbank.
/authprops
Authentifizierung mit Dialogauthentifizierung.
/appname
Anwendungsname.
/site
Webseite.
/sourcedir
Quellverzeichnis bei Installation vom Dateisystem.
/apppool
Anwendungspool.
/webproject
Name des Webprojekts.
/constauthproj
Name des Subprojekts.
/constauth
Authentifizierungseinstellungen für das Subprojekt.
/searchserviceurl
Anwendungsserver für die Verfügbarkeit der Suchfunktion.
/allowhttp
Zulassen von http.
/updateuser
Update-Benutzer.
/updateuserdomain
Active Directory®-Domäne des Update-Benutzers.
/updateuserpassword
Update-Benutzer Kennwort
-w
Windows® Authentifizierung statt anonym am IIS.
Beispiel einer Installation mit direkter Verbindung gegen eine SQL Server®-Datenbank
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l
SQL Server®-Datenbankverbindung
l
in die Default Web Site
l
Anwendungsname "testqs"
l
Authentifizierung mit Systembenutzer "testadmin"
l
l
als Anwendungsserver für die Verfügbarkeit der Suchfunktion
https://dbserver.testdomain.lan/TestAppServer
http zulassen
WebDesigner.InstallerCMD.exe /conn "Data Source=dbserver.testdomain.lan;Initial
Catalog=IdentityManager;
Integrated Security=False;User ID=admin;Password=password"
/site "Default Web Site" /appname testqs
/authprops "Module=DialogUser;User=testadmin;Password="
/searchserviceurl https://dbserver.testdomain.lan/TestAppserver /allowhttp true
Beispiel einer Installation mit direkter Verbindung gegen eine Oracle®-Datenbank
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
100
l
Oracle® Datenbankverbindung
l
in die Default Web Site
l
Anwendungsname "testoraqs"
l
Authentifizierung mit Systembenutzer "testadmin"
l
Authentifizierung für das Subprojekt "test_UserRegistration_Web"
mit Systembenutzer "Subadmin"
WebDesigner.InstallerCMD.exe /prov "VI.DB.Oracle.ViOracleFactory, VI.DB.Oracle"
/conn "User Id=IdentityManager;
Password=Password;Server=testoraqs.lan;Direct=True;Service Name=test;Port=1521"
/site "Default Web Site" /appname testoraqs /authprops
"Module=DialogUser;User=testadmin;Password="
/constauthproj test_UserRegistration_Web
/constauth "Module=DialogUser;User=Subadmin;Password="
Beispiel einer Installation mit Verbindung gegen den Anwendungsserver
In dem Beispiel sind folgende Einstellungen an den Parametern vorzunehmen.
l
Verbindung zum Anwendungsserver
l
in die Default Web Site
l
Anwendungsname "testviaappserver"
l
mit Windows® Authentifizierung als Web-Authentifizierung
l
mit dem Update-Benutzer "JohnDoe"
l
und der Update-Anwendung "MyDomain.lan"
WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,
QBM.AppServer.Client"
/conn "URL=https://test.lan/IdentityManagerAppServer/" /site "Default Web Site"
/appname testviaappserver
/authprops "Module=DialogUser;User=testadmin;Password=" -w /updateuser JohnDoe
/updateuserdomain MyDomain.lan /updateuserpassword topsecret
Aufrufsyntax "Web Portal deinstallieren"
WebDesigner.InstallerCMD.exe [/prov {provider}] /conn {connectionstring} /authprops
{authentication}
/appname {appname} [/site {Site}] -R
Tabelle 44: Parameter des Programms
Parameter
Beschreibung
/prov
Datenbankprovider.
/conn
Verbindungsparameter zur Datenbank.
/authprops
Authentifizierung mit Dialogauthentifizierung.
/appname
Anwendungsname.
/site
Webseite.
-R
Entfernen der Anwendung.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
101
Beispiel einer Deinstallation der Webanwendung bei Verbindung gegen einen
Anwendungsserver
WebDesigner.InstallerCMD.exe /prov "QBM.AppServer.Client.ServiceClientFactory,
QBM.AppServer.Client"
/conn "URL=https://test.lan/IdentityManagerAppServer/"
/appname testviaappserver
/authprops "Module=DialogUser;User=testadmin;Password=" -R
Aufrufsyntax "Frühere Web Portal Versionen (<=6.x) deinstallieren"
WebDesigner.InstallerCMD.exe /appname {appname} [/site {Site}] -R
Tabelle 45: Parameter des Programms
Parameter
Beschreibung
/appname
Anwendungsname.
/site
Webseite.
-R
Entfernen der Anwendung.
Deinstallieren des Web Portal
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte
Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet.
- ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration |
Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager
Webanwendung und klicken Sie Weiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten
Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und
authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken Sie Weiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem
der Vorgang abgeschlossen wurde, klicken Sie Weiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
102
Konfigurieren des Web Portal
Die Konfiguration des Web Portal umfasst eine Reihe von Einstellungen. Die Konfiguration einer Webanwendung
wird in den Konfigurationsdateien web.config, NLog.config und monitor.config der Webanwendung
gespeichert, die sich im Root-Verzeichnis der Webanwendung befindet, sowie in der Tabelle
QBMWebApplication der One Identity Manager-Datenbank.
Verwenden Sie den Web Designer Configuration Editor (WebDesigner.ConfigFileEditor.exe), um die
Konfigurationsdatei zu bearbeiten.
Verbindungszeichenfolgen und Anmeldeinformationen werden automatisch in den Konfigurationsdateien mit
der Standard MicrosoftASP.NET Kryptographie verschlüsselt.
Um eine Webanwendung zu konfigurieren
1. Starten Sie den Web Designer Configuration EditorWebDesigner.ConfigFileEditor.exe, der sich im
Setup-Ordner befindet.
Das Fenster Konfigurationsdatei öffnen wird angezeigt.
2. In der Ansicht Konfigurationsdatei öffnen wählen Sie die Konfigurationsdatei web.config und klicken
Sie Öffnen.
3. Wählen Sie das erforderlichen Authentifizierungsverfahren und melden Sie sich an.
Das Dialogfenster Web Designer Configuration Editor wird angezeigt. In den einzenen Bereichen nehmen
Sie die Konfigurationseinstellungen vor.
Detaillierte Informationen zum Thema
l
Datenbankverbindung auf Seite 103
l
Webprojekt auf Seite 104
l
Log auf Seite 105
l
Automatische Aktualisierung auf Seite 106
l
Webeinstellungen auf Seite 107
l
Cache auf Seite 107
l
Debugger Service auf Seite 107
l
Suchdienst auf Seite 107
Datenbankverbindung
Für gewöhnlich ist hier bereits eine Datenbankverbindung ausgewählt. Sie können aber auch eine neue
Datenbankverbindung auswählen.
Um eine neue Datenbankverbindung auszuwählen
1. Klicken Sie im Bereich Datenbankverbindung den Link Neue Datenbankverbindung eintragen.
Das Dialogfenster Neue Verbindung erstellen wird angezeigt.
2. Treffen Sie eine Auswahl zwischen den zur Verfügung gestellten Systemtypen und klicken Sie Weiter.
Eine Ansicht mit weiteren Einstellungsmöglichkeiten wird Ihnen angezeigt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
103
HINWEIS: Abhängig von Ihrer Auswahl wird Ihnen eine Ansicht mit entsprechend
unterschiedlichen Einstellungsmöglichkeiten angezeigt.
3. Sie haben den Systemtyp SQL Server gewählt, werden Ihnen folgende Einstellungen zur
Bearbeitung angezeigt:
a. Wählen Sie im Auswahlfeld Server den gewünschten Server.
b. Aktivieren Sie das Kontrollkästchen Windows Authentifizierung, um diese Authentifizierung zu
verwenden.
c. Schreiben Sie im Textfeld Nutzer den Benutzernamen, mit dem Sie sich an der Datenbank
anmelden möchten.
d. Schreiben Sie im Textfeld Kennwort das entsprechende Kennwort zum Benutzernamen.
e. Wählen Sie im Auswahlfeld Datenbank die gewünschte Datenbank.
- ODER Sie haben den Systemtyp Oracle gewählt, werden Ihnen folgende Einstellungen zur
Bearbeitung angezeigt:
HINWEIS: An dieser Stelle sollen nur die Bearbeitungsmöglichkeiten erwähnt werden, die bei
der Vorgehensweise des Systemtyps SQL Server nicht erwähnt werden.
a. Aktivieren Sie bei Bedarf die Option Direktzugriff (ohne Oracle-Client).
b. Schreiben Sie in die Textfelder Server, Port, Service Name, Benutzer und Kennwort die
erforderlichen Informationen.
- ODER Sie haben den Systemtyp Anwendungsserver gewählt, wird Ihnen folgende Einstellung zur
Bearbeitung angezeigt.
a. Schreiben Sie im Textfeld URL die gewünschten Verbindungsdaten.
4. Klicken Sie Fertig.
Ihrer Einstellungen werden gespeichert und Sie befinden sich wieder im Web Designer
Configuration Editor.
HINWEIS: Wählen Sie bei Bedarf im Auswahlfeld Optionen entweder Verbindung testen oder
Erweiterte Optionen.
Verwandte Themen
l
Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118
Webprojekt
Um ein Webprojekt und ein Authentifizierungsmodul auszuwählen
1. Wählen Sie im Auswahlfeld Webprojekt das gewünschte Projekt, das in der Webanwendung verwendet
werden soll.
HINWEIS: Im Normalfall müssen die Login-Informationen der Subprojekte des ausgewählten
Webprojektes separat erfasst werden. Fehlen den Subprojekten die Authentifizierungsdaten,
wird eine Hinweismeldung und eine Schaltfläche angezeigt.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
104
2. Wählen Sie im Auswahlfeld Authentifizierungsmodul das gewünschte Modul.
HINWEIS: Dieses Modul ist die hauptsächliche Authentifizierungseinheit, welches zur
Authentifizierung von Personen verwendet wird. Einige Module unterstützen Single-Sign-On. In
solchen Fällen wird unterhalb des Auswahlfeldes eine Meldung mit entsprechendem Hinweis
angezeigt. Sollte das ausgewählte Authentifizierungsmodul kein Single-Sign-On unterstützen,
können Sie über ein weiteres Auswahlfeld ein zusätzliches Modul für ein manuelles Login
auswählen.
3. Aktivieren Sie das Kontrollkästchen Debugging, wenn Sie die Debugging-Umgebung verwenden
möchten.
4. Schreiben Sie in das Textfeld Client-ID für OAuth-Authentifizierung die Client-ID, wenn Sie dieses
Authentifizierungsverfahren einsetzen.
HINWEIS: Mit der OAuth-Authentifizierung wird die Webanwendung automatisch identifiziert.
Um Authentifizierungsdaten für ein Subprojekt zu erfassen oder zu ändern
1. Klicken Sie neben der Meldung Authentifizierungsdaten für Subprojekte sind nicht eingetragen auf
die Schaltfläche.
Das Dialogfenster Authentifizierungsdaten wird angezeigt.
2. Markieren Sie im Bearbeitungsfenster das rot markierte Projekt.
Der Bereich Authentifizierungsverfahren wird aktiv und kann bearbeitet werden.
3. Klicken Sie gegebenenfalls Systembenutzer, um nachträglich ein anderes
Authentifizierungsverfahren zu wählen.
4. Schreiben Sie in die Textfelder Benutzer und Kennwort die Anmeldedaten.
5. Klicken Sie die Schaltfläche Login speichern.
6. Klicken Sie OK.
Log
Der Bereich Log ist weiter unterteilt in folgende Bereiche:
l
Allgemein
l
Applikationslog
l
Event Log
l
Datenbanklog
Im Bereich Allgemein stehen allgemeine Informationen zu Ihrer Webanwendung, die Sie in Textfeldern
bearbeiten können. Diese Informationen sind:
l
Applikation: Hier steht der Name Ihrer Webanwendung
l
Firmennamen: Hier steht der Name des Unternehmens, das die Webanwendung verwendet
l
Produktnamen: Hier steht der Name des Softwareherstellers
l
Protokollverzeichnis: Hier steht das Verzeichnis, in dem die Log-Dateien Ihrer Webanwendung
gespeichert werden sollen. Der Web Server Prozess muss Schreibrechte auf diesen Ordner haben.
Im Bereich Applikationslog können Sie folgende Einstellungen vornehmen:
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
105
l
l
l
Schweregrad: Hier sind Einstellungen von Aus bis Trace möglich. Dieser Filter steuert, welche
Meldungen in die Protokolldatei geschrieben werden sollen.
Archivierungsintervall: Hier können Sie einstellen, wie oft das Applikationslog archiviert werden soll.
Einstellungen von niemals bis Minute sind möglich.
Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Applikationslog auf- oder
absteigend nummeriert werden sollen.
Im Bereich Event Log stehen Ihnen folgende Einstellungen zur Verfügung:
l
Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein, welche Meldungen
protokolliert werden sollen.
Im Bereich Datenbanklog wird nur die Abarbeitung der Datenbankstatements protokolliert. Folgende
Einstellungen stehen zur Verfügung:
l
l
l
Schweregrad: Wie bereits im Bereich Applikationslog erwähnt, stellen Sie hier ein, welche Meldungen
protokolliert werden sollen. Es sind Einstellungen von Aus bis Trace möglich.
Archivierungsintervall: Hier können Sie einstellen, wie oft das Datenbanklog archiviert werden soll.
Einstellungen von niemals bis Minute sind möglich.
Nummerierung: Hier können Sie einstellen, ob die Archivdateien des Datenbanklog auf- oder
absteigend nummeriert werden sollen.
Automatische Aktualisierung
HINWEIS: Bei der automatischen Aktualisierung der Anwendung, muss neben der Aktivierung der
Funktion Anwendung automatisch aktualisieren außerdem der Konfigurationsparameter
"Common\Autoupdate" eingeschaltet sein.
Um eine Anwendung automatisch zu aktualisieren
1. Aktivieren Sie das Kontrollkästchen Anwendung automatisch aktualisieren.
2. Wählen Sie zwischen den Optionen.
a. Nutze die IIS-Berechtigungen für Aktualisierungen.
b. Nutze ein spezielles Konto für Aktualisierungen
Wenn Sie die Option Nutze ein spezielles Konto für Aktualisierungen gewählt haben, erfassen Sie
weitere Informationen in den folgenden Eingabefeldern.
Tabelle 46: erforderliche Informationen bei der Nutzung eines speziellen Kontos für
Aktualisierungen
Eingabe
Beschreibung
Domäne
Domäne des Active Directory® Benutzerkontos.
TIPP: Möchten Sie ein lokales Benutzerkonto verwenden, geben
Sie als Domäne entweder . oder den Rechnernamen an.
Benutzername
Name des Active Directory® Benutzerkontos.
Kennwort
Kennwort des Active Directory® Benutzerkontos.
Kennwortwiederholung
Wiederholung des Kennwortes.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
106
Webeinstellungen
Sie befinden sich im Bereich Webeinstellungen des Web Designer Configuration Editors.
Um Einstellungen im Bereich "Webeinstellungen" vorzunehmen
1. Wählen Sie im Auswahlfeld Produkt das gewünschte Produkt, für das die Einstellungen gelten sollen.
2. Schreiben Sie in das Textfeld HTML-Kopfzeilen die gewünschte Information.
3. Wählen Sie Sie im Auswahlfeld Nach der Abmeldung, welche Seite nach dem Abmelden angezeigt
werden soll.
4. Schreiben Sie in das Eingabefeld Schließung der Sitzung nach Inaktivität (Min.) die Zeit der Inaktivität
nachdem die Sitzung abgelaufen ist.
HINWEIS: Möchten Sie das die Sitzung trotz Inaktivität bestehen bleibt, schreiben Sie in das
Eingabefeld den Wert 0.
5. Aktivieren Sie das Kontrollkästchen HTTP-Übertragung komprimieren.
Mit dieser Einstellung findet die HTTP-Übertragung komprimiert statt.
Cache
In diesem Bereich können Sie nachsehen, wo sich das Cache- und das Assembly-Verzeichnis befindet. Beide
Textfelder sind bearbeitbar.
Um den Ablageort für das Cache- und Assembly-Verzeichnisses zu bearbeiten
1. Klicken Sie in eines der Eingabefelder.
a. Cache-Verzeichnis
b. Assembly-Verzeichnis
2. Überschreiben Sie den eingetragenen Pfad mit dem Pfad, in dem die gecachten Daten zukünftig
abgelegt werden sollen.
Debugger Service
Mithilfe dieser Einstellung konfigurieren Sie die WCF-Verbindung.
Um die WCF-Verbindung zu konfigurieren
1. Aktivieren Sie das Kontrollkästchen Portbereich einschränken.
2. Schränken Sie die Werte in den beiden Zahlenfeldern ein.
Suchdienst
Voraussetzung für die Nutzung der Volltextsuche im Web Portal ist ein Anwendungsserver, auf dem der
Suchdienst installiert ist.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
107
l
l
Wenn Sie das Web Portal direkt über einen Anwendungsserver mit installiertem Suchdienst betreiben,
können Sie die Volltextsuche sofort nutzen.
Wenn Sie das Web Portal mit einem Anwendungsserver ohne installierten Suchdienst oder mit
einer direkten Datenbankverbindung betreiben, tragen Sie in diesem Konfigurationsbereich einen
Anwendungsserver mit installiertem Suchdienst ein. Erst dann ist die Volltextsuche im Web
Portal verfügbar.
Um einen Anwendungsserver nachträglich einzutragen
1. Klicken Sie auf Anwendungsserver eintragen.
2. Erfassen Sie im Textfeld URL die Webadresse des Anwendungsservers.
3. Testen Sie die Verbindung über den Eintrag Verbindung testen aus dem Kontextmenü Optionen.
4. Bearbeiten Sie weitere optionale Einstellungen über den Eintrag Erweiterte Optionen aus dem
Kontextmenü Optionen.
5. Um die Einstellungen zu übernehmen, klicken Sie OK.
In der Standardinstallation sind bereits einige wichtige Spalten für die Volltextsuche indiziert. Bei Bedarf
können Sie weitere Spalten für die Volltextsuche konfigurieren. Ausführliche Informationen zur Konfiguration
von Spalten für die Volltextsuche finden Sie im Dell One Identity Manager Konfigurationshandbuch.
Ausführliche Informationen zur Nutzung der Volltextsuche im Web Portal finden Sie im Dell One Identity
Manager Anwenderhandbuch für das Web Portal.
Verwandte Themen
l
Installieren eines One Identity Manager Anwendungsservers auf Seite 89
Warten des Web Portal
Nachfolgend werden alle Wartungsmöglichkeiten aufgeführt und beschrieben, die für eine One Identity
Manager Webanwendung zur Verfügung stehen.
Detaillierte Informationen zum Thema
l
Runtime Monitoring auf Seite 108
l
Sicherheit auf Seite 109
l
Ansehen der Protokolldateien und Exceptions auf Seite 109
l
Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109
l
Wartungsmodus auf Seite 110
l
Manuelle Aktualisierung auf Seite 110
l
Überwachung mithilfe von Leistungsindikatoren auf Seite 110
Runtime Monitoring
Die One Identity Manager Webanwendung beinhaltet ein Runtime Monitoring Tool. Dieses Tool kann durch
Zugriff auf eine spezielle URL auf die Web-Anwendung zugreifen:
http://<server>/<application>/monitor.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
108
Sicherheit
Der Zugriff auf diese Seite ist konfiguriert worden durch folgende Einstellungen in der Konfigurationsdatei
(web.config) der Webanwendung. Die Standard-Einstellung erlaubt nur Mitgliedern der Administrator-Rolle
auf den Runtime Monitor zuzugreifen.
<?xml version="1.0"?>
<!-- Permission to use WebDesigner runtime monitor -->
<authorization>
<allow roles="BUILTIN\Administrators" />
<deny users="*" />
</authorization>
Für weitere Informationen über das Ändern dieser Einstellung, lesen Sie in der ASP.NET Dokumentation.
Ansehen der Protokolldateien und Exceptions
Der Tab Logdateien des Runtime Monitors ermöglicht Ihnen das Ansehen der Protokolldateien, die von den
Webanwendungen generiert wurden. Sie können diese Dateien filtern und nach Begriffen suchen. Die
Protokolldateien befinden sich in physischer Form im Protokollverzeichnis, das durch die Konfiguration
festgelegt wurde. (typischerweise, “./Logs”).
Der Tab Exceptions des Runtime Monitors ermöglicht Ihnen das Ansehen der Log-Meldungen im Bezug auf
Exceptions. Diese Meldungen werden gesammelt nach Exceptions und absteigender Frequenz sortiert. Die
oberste Exception in der Liste wird die am häufigsten vorkommende Exception sein.
HINWEIS: Der Web Installer schreibt wichtige Ereignisse in die Protokolldatei der Windows Anwendung.
Sie können sich diese Protokolldatei in der Windows Ereignisanzeige (Windows Event Viewer) ansehen,
wenn es Probleme oder einen Fehler während der Installation des Web Portals gibt.
Anwenden automatischer Aktualisierungen für
das Web Portal
Die One Identity Manager Webanwendung ist integriert in die automatische Aktualisierung des One
Identity Manager.
Es ist wichtig zu verstehen, dass die Aktualisierung einer Software einen kompletten Neustart der
Webanwendung bedeutet. Die automatische Aktualisierung der Webanwendung beinhaltet folgende Schritte:
l
Die Webanwendung erkennt, dass eine neue Softwareversion in der Datenbank vorliegt.
l
Neue Dateien werden aus der Datenbank in vorläufige Verzeichnisse auf den Server kopiert.
l
l
Die Updater.exe wird gestartet. Es wartet bis der Webanwendungsprozess herunter gefahren wird.
(Für weitere Informationen zum automatischen Herunterfahren, lesen Sie in der IIS Dokumentation.)
Updater.exe kopiert die Dateien aus dem vorläufigen Verzeichnis in das Verzeichnis der
Webanwendung.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
109
Verwandte Themen
l
Manuelle Aktualisierung auf Seite 110
l
Automatische Aktualisierung auf Seite 106
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
Wartungsmodus
Eine Webanwendung kann auf Wartungsmodus geschaltet werden, um Wartungsarbeiten auszuführen.
Im Wartungsmodus sind laufende Sessions nicht betroffen. Jedoch werden keine neuen Sessions zugelassen.
Benutzer, die sich die Webanwendung ansehen, werden die Inhalte der Datei Maintenance.html angezeigt,
die sich im Wurzel-Ordner der Webanwendung befindet. Sie können ungehindert diese Datei bearbeiten, um
Details über die Wartungsarbeit für den Benutzer anzuzeigen.
Der Wartungsmodus wird durch das Anlegen der Datei Maintenance.mode im Ordner App_Data der
Webanwendung eingeschaltet (und durch ihr Entfernen beendet). Der Wartungsmodus kann auch auf der Seite
Runtime Monitor umgestellt werden.
Sie können den Wartungsmodus benutzen, um eine automatische Aktualisierung zu einem bestimmten
Zeitpunkt zu erlauben.
Manuelle Aktualisierung
Vorzugsweise sollte der oben beschriebene Aktualisierungsprozess verwendet werden. Sie können jedoch die
Webanwendung auch manuell aktualisieren, indem Sie die aktualisierten Dateien aus der Datenbank in den
bin Ordner der Webanwendung kopieren.
Beachten Sie, dass jeder Schreibvorgang auf dem bin Ordner der Webanwendung sofort zu einem Neustart der
Webanwendung führt. Dies bedeutet, dass alle aktiven Sessions auf der Anwendung beendet werden und alle
nicht gespeicherten Daten verloren gehen. Aus diesem Grund sollten Sie manuelle Aktualisierungen der
Webanwendung nur durchführen, wenn keine aktive Session statt findet.
Nur Dateien im bin Ordner der Webanwendung werden durch die automatische Aktualisierung gesteuert.
Verwandte Themen
l
Anwenden automatischer Aktualisierungen für das Web Portal auf Seite 109
Überwachung mithilfe von Leistungsindikatoren
Bei der Installation einer Webanwendung werden grundsätzlich Leistungsindikatoren (PerformanceCounter)
registriert, die Auskunft über den Zustand der Anwendung geben.
Eine nachträgliche Installation der Leistungsindikatoren ist möglich.
HINWEIS: Voraussetzungen hierfür sind, dass die Webanwendung auf einem Windows Server® installiert
ist und über ausreichend Rechte verfügt, um Leistungsindikatoren anzubieten. Hierfür kann es
erforderlich sein, das Benutzerkonto des Anwendungspools in die lokale Gruppe
Leistungsüberwachungsbenutzer aufzunehmen. Außerdem muss die Webanwendung gestartet sein,
um die Leistungsindikatoren auswählen zu können.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
110
Um Leistungsindikatoren nachträglich zu installieren
1. Öffnen Sie den Web Designer Configuration Editor.
2. Klicken Sie auf Webeinstellungen und Windows Leistungsindikatoren anlegen.
Nach erfolgreicher Ausführung wird ein Hinweis zur Installation angezeigt.
3. Bestätigen Sie die Hinweismeldung mit OK.
Um Leistungsindikatoren einzusehen
1. Melden Sie sich an dem Server an, auf dem die Webanwendung installiert ist.
2. Starten Sie die Leistungsüberwachung von Windows®.
3. Wählen Sie im Dialogfenster auf der linken Seite den Eintrag Leistungsüberwachung.
4. Klicken Sie im Anzeigebereich der Leistungsüberwachung auf
.
5. Markieren Sie im Dialogfenster Leistungsindikatoren hinzufügen unter Verfügbare
Leistungsindikatoren den Eintrag One Identity ManagerWeb Portal und klappen Sie den Eintrag auf.
Die Leistungsindikatoren der Webanwendung werden angezeigt. Es stehen folgende Indikatoren
zur Verfügung.
l
AJAX calls: Anzahl der asynchron bearbeiteten HTTP-Anfragen
l
Objects: Anzahl der aktiven Datenbankobjekte
l
Exceptions: Anzahl der aufgetretenen Ausnahmefehler
l
Forms: Anzahl der aktiven Formulare
l
HTML requests: Anzahl der HTML-Seitenanfragen
l
PID: Anzahl der Prozess-IDs
l
Contexts: Anzahl der aktiven Modulobjekte
l
Sessions: Anzahl der aktiven Sitzungen
l
Sessions total: Gesamtanzahl der Sitzungen seit Anwendungsstart
6. Fügen Sie die gewünschten Leistungsindikatoren hinzu und wählen Sie unter Instanzen des
ausgewählten Objekts: Ihre gewünschte Webanwendung aus.
TIPP: Es werden nur die Webanwendungen zur Auswahl angezeigt, die gestartet sind. Bei der
Installation einer neuen Webanwendung, ist es möglich, dass die zur Auswahl stehenden
Webanwendungen inklusive der neu installierten Webanwendung erst nach einigen Minuten zur
Verfügung stehen.
One Identity Manager 7.1.2 Installationshandbuch
Installieren, Konfigurieren und Warten des Web Portal
111
8
Installieren und Aktualisieren der
Manager Webanwendung
Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Stellen Sie vor der Installation
sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf dem Server erfüllt sind.
Detaillierte Informationen zum Thema
l
Minimale Systemanforderungen für den Webserver auf Seite 26
l
Installieren der Manager Webanwendung auf Seite 112
l
Aktualisieren der Manager Webanwendung auf Seite 115
l
Deinstallieren der Manager Webanwendung auf Seite 116
l
Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149
Installieren der Manager
Webanwendung
Der One Identity Manager erfordert, dass jede Webanwendung auf genau eine Sprache festgelegt wird. Wenn
Sie die Anwendung in zwei Sprachen veröffentlichen möchten, dann müssen Sie mindestens zwei separate
Anwendungen installieren. Standardmäßig installiert der Web Installer eine Anwendung pro Sprache.
Wenn mehrere Anwendungen gleichzeitig laufen, können Sie einen Sprachen-Pool für diese Anwendungen
definieren. Wenn der Benutzer eine Webanwendung des Sprachen-Pools aufruft, wird er automatisch auf die
gemäß seiner Sprache passende Webanwendung des Sprachen-Pools umgeleitet. Es ist also nicht nötig, die
URLs aller Webanwendungen im Sprachen-Pool bekannt zu machen.
Über diesen Mechanismus lässt sich auch ein einfaches Load-Balancing realisieren.
WICHTIG: Starten Sie die Installation der Manager Webanwendung lokal auf dem Server.
Um die Manager Webanwendung zu installieren
1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
2. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte Komponenten
und klicken Sie Installieren. Der Web Installer wird gestartet.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung
112
3.
Auf der Startseite des Web Installer wählen Sie Manager Webanwendung installieren und
klicken Sie Weiter.
4. Auf der Seite Datenbankverbindung geben Sie die Verbindungsdaten zur One Identity ManagerDatenbank an und klicken Sie Weiter.
5. Auf der Seite Installationsziel wählen nehmen Sie die folgenden Einstellungen vor und klicken Sie
Weiter.
Tabelle 47: Einstellungen für das Installationsziel
Einstellung
Beschreibung
Anwendungsname
Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers
verwendet werden soll.
Zielpfad im IIS
Webseite auf dem Internet Information Services, auf dem die Anwendung
installiert wird.
SSL erzwingen
Angabe, ob sichere oder unsichere Webseiten zur Installation angeboten
werden. Ist die Option aktiviert, können nur Seiten, die per SSL gesichert
sind, zur Installation verwendet werden. Diese Einstellung ist der
Standardwert. Ist die Option nicht aktiviert, können unsichere Webseiten zur
Installation verwendet werden.
URL
Uniform Resource Locator (URL) der Anwendung.
Dedizierter
Anwendungspool
einrichten
Angabe, ob für jede Anwendung ein eigener Anwendungspool installiert
werden soll. Diese Option ermöglicht es, Anwendungen unabhängig
voneinander einzustellen. Ist die Option aktiviert, wird jede Anwendung in
ihren eigenen Anwendungspool installiert.
Anwendungspool
Anwendungspool, der verwendet werden soll. Die Eingabe ist nur möglich,
wenn die Option Dedizierter Anwendungspool einrichten deaktiviert ist.
Bei Verwendung des Standardwertes "DefaultAppPool" wird
der Anwendungspool nach folgender Syntax gebildet:
<Anwendungsname>_POOL
Identität
Berechtigung für die Ausführung des Anwendungspool. Es kann eine
Standard-Identität oder ein benutzerdefiniertes Benutzerkonto verwendet
werden.
Bei Verwendung des Standardwertes "ApplicationPoolIdentity "wird das
Benutzerkonto nach folgender Syntax gebilet:
IIS APPPOOL\<Anwendungsname>_POOL
Wenn Sie einen anderen Benutzer berechtigen möchten, klicken Sie die
Schaltfläche ... neben dem Eingabefeld und erfassen den Benutzer und sein
Kennwort.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung
113
Einstellung
Beschreibung
WebAuthentifizierung
Angabe der Authentifizierungsart gegenüber der Webanwendung. Zur
Auswahl stehen:
l
Windows® Authentifizierung (Single Sign-On)
Der Benutzer wird gegenüber dem Internet Information Services
mithilfe seines Windows® Benutzerkontos authentifiziert und die
Webanwendung meldet die diesem Benutzerkonto zugeordnete
Person rollenbasiert an. Sollte dieses Single Sign-On nicht möglich
sein, wird der Benutzer auf eine Anmeldeseite umgeleitet. Diese
Authentifizierung ist nur wählbar, wenn die Windows®
Authentifizierung installiert ist.
l
Anonym
Eine Anmeldung ohne Windows® Authentifizierung ist möglich. Der
Benutzer wird gegenüber dem Internet Information Services und der
Webanwendung anonym authentifiziert und die Webanmeldung leitet
auf eine Anmeldeseite um.
DatenbankAuthentifizierung
HINWEIS: Dieser Bereich wird Ihnen nur angezeigt, wenn Sie in der
Ansicht Datenbankverbindung eine SQL-Datenbankverbindung
ausgewählt haben.
Angabe der Authentifizierungsart gegenüber der One Identity ManagerDatenbank. Zur Auswahl stehen:
l
Windows® Authentifizierung
Die Webanwendung authentifiziert sich gegenüber der One Identity
Manager-Datenbank mit dem Windows® Benutzerkonto, unter dem
ihr Anwendungspool läuft. Eine Anmeldung ist über ein
benutzerdefiniertes Benutzerkonto oder einer Standard-Identität für
den Anwendungspool möglich.
l
SQL-Authentifizierung
Eine Anmeldung ist nur über ein benutzerdefiniertes Benutzerkonto
möglich. Die Authentifizierung erfolgt mittels Benutzername und
Kennwort. Diese Zugangsdaten werden maschinenspezifisch
verschlüsselt in der Konfiguration der Webanwendung gespeichert.
6. Auf der Seite Konfiguration legen Sie weitere anwendungsspezifische Einstellungen fest.
a. Wählen Sie in der Auswahlliste Kultur die Sprachkultur der Anwendung. Die Sprachkultur hat
unter anderem Einfluss auf die Darstellung von Datumswerten und sowie Zahlen.
b. Die Webanwendung benötigt Zugriffsberechtigungen auf sich selbst. Wenn Sie als
Authentifizierungsart "Windows®-Authentifizierung (Single Sign-On)" für die WebAuthentifizierung gewählt haben, geben Sie Domäne, Benutzerkonto und Kennwort des
Benutzers. Bei anomymer Web-Authentifizierung sind keine weiteren Angaben erforderlich.
c. Klicken Sie Weiter.
7. Auf der Seite Installation läuft werden die einzelnen Installationsschritte angezeigt. Nachdem der
Installationsvorgang abgeschlossen wurde, klicken Sie Weiter.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung
114
Der Web Installer generiert die Webanwendung und die entsprechenden Konfigurationsdateien
(web.config) zu jedem Verzeichnis.
8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
HINWEIS: Der Web Installer verwendet Standardwerte für die Konfigurationseinstellungen. Sie können
diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe des Manager Web
Configuration Editor überprüfen.
Die Manager Webanwendung ist über einen Browser erreichbar unter:
http://<Server>/<Anwendungsname>
https://<Server>/<Anwendungsname>
TIPP: Sie können die Statusanzeige des Webservers im Job Queue Info öffnen. Wählen Sie dazu im Job
Queue Info das Menü Ansicht | Serverstatus und öffnen Sie auf dem Tabreiter Webserver die
Statusanzeige des Webservers über das Kontextmenü Im Browser öffnen.
Verwandte Themen
l
Aktualisieren der Manager Webanwendung auf Seite 115
l
Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149
Aktualisieren der Manager
Webanwendung
HINWEIS: Es wird empfohlen die automatische Aktualisierung nur in speziellen Wartungsfenstern
durchzuführen, in denen die Anwendung von den Benutzern nicht erreichbar ist und der Neustart der
Anwendung gefahrlos manuell durchgeführt werden kann.
Die Aktualisierung der Anwendung erfolgt automatisch, wenn das Plugin „Automatische Aktualisierung“ für die
Webanwendung aktiviert wurde.
HINWEIS: Für die automatische Aktualisierung sind folgende Berechtigungen erforderlich:
l
l
l
Das Benutzerkonto für die Aktualisierung benötigt die Berechtigung zum Schreiben auf das
Anwendungsverzeichnis.
Das Benutzerkonto für die Aktualisierung benötigt die lokale Sicherheitsrichtlinie "Anmelden als
Stapelverarbeitungsauftrag".
Das Benutzerkonto, unter dem der Anwendungspool läuft, benötigt die lokalen
Sicherheitsrichtlinien "Ersetzen eines Tokens auf Prozessebene" und "Anpassen von
Speicherkontingenten für einen Prozess".
Um eine Aktualisierung durchzuführen, sind zunächst die zu aktualisierenden Dateien in die One Identity
Manager-Datenbank einzuspielen. Die benötigten Dateien werden beim Einspielen eines Hotfixes, eines Service
Packs oder einer Versionsänderung in die One Identity Manager-Datenbank eingefügt und aktualisiert.
Das Plugin „Automatische Aktualisierung“ führt eine Prüfung beim Start der Anwendung und danach etwa alle
5 Minuten durch. Werden neue Dateien erkannt, so werden diese aus der Datenbank geladen. Das Plugin
„Automatische Aktualisierung“ kann die Dateien nicht aktualisieren, solange die Anwendung läuft, da diese die
Dateien blockiert bzw. deren Änderung einen Neustart der Anwendung und einen Verlust aller aktiven
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung
115
Benutzersitzungen zur Folge hat. Aus diesem Grund wartet die Aktualisierung bis die Anwendung neu
gestartet wird.
Der Neustart der Anwendung erfolgt durch den Webserver automatisch, wenn die Anwendung eine definierte
Zeitspanne keine Benutzeraktivität aufweist. Dies kann aber einige Zeit dauern oder gar durch
ununterbrochene Benutzeranfragen verhindert werden.
Verwandte Themen
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
l
Anhang: Erweiterte Konfiguration der Manager Webanwendung auf Seite 149
Deinstallieren der Manager
Webanwendung
Um eine Webanwendung zu deinstallieren
1. Um eine Webanwendung zu deinstallieren, verwenden Sie den Web Installer.
a. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity ManagerInstallationsmediums aus.
b. Wechseln Sie auf den Tabreiter Installation und wählen Sie den Eintrag Web-basierte
Komponenten und klicken Sie Installieren. Der Web Installer wird gestartet.
- ODER c. Starten Sie den Web Installer über Start | Dell | One Identity Manager | Configuration |
Web Installer.
2. Auf der Startseite des Web Installer wählen Sie Deinstallieren einer One Identity Manager
Webanwendung und klicken Sie Weiter.
3. Auf der Seite Deinstallieren einer One Identity Manager Webanwendung werden alle installierten
Webanwendungen angezeigt.
a. Wählen Sie per Maus-Doppelklick die Webanwendung, die Sie entfernen möchten.
b. Wählen Sie im Bereich Authentifizierungsverfahren das Authentifizierungsmodul und
authentifizieren Sie sich.
c. Um die Deinstallation zu starten, klicken Sie Weiter.
d. Bestätigen Sie die Sicherheitsabfrage mit Ja.
4. Auf der Seite Installation läuft werden die einzelnen Schritte zur Deinstallation angezeigt. Nachdem
der Vorgang abgeschlossen wurde, klicken Sie Weiter.
5. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
One Identity Manager 7.1.2 Installationshandbuch
Installieren und Aktualisieren der Manager Webanwendung
116
9
Anmelden an den One Identity
Manager-Werkzeugen
Bei Start eines One Identity Manager-Werkzeugs wird der Standardverbindungsdialog geöffnet.
Abbildung 5: Standardverbindungsdialog
Bei der Anmeldung wird zwischen dem Benutzer der Datenbank und dem Benutzer der einzelnen One Identity
Manager-Werkzeuge (Systembenutzer) unterschieden. Es können mehrere Systembenutzer mit einem
Datenbankkonto arbeiten.
Die Anmeldung erfolgt in zwei Schritten:
l
Auswählen der Datenbankverbindung zur Anmeldung an der Datenbank
l
Auswählen des Authentifizierungsverfahrens und Ermittlung des Systembenutzers für die Anmeldung
Die zulässigen Systembenutzerkennungen werden über das eingesetzte Authentifizierungsmodul
ermittelt. Der One Identity Manager stellt dafür verschiedene Authentifizierungsmodule zur
Verfügung.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
117
TIPP: Bei Programmstart wird versucht die zuletzt verwendete Verbindung wiederherzustellen. Dies
kann bei häufig wechselnden Verbindungen zu anderen Datenbankservern, zu langen Wartezeiten mit
anschließenden Fehlermeldungen führen.
Um die Wiederherstellung der letzten Verbindung zu unterdrücken, erzeugen Sie folgenden
Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Dell\One Identity Manager\Global\Settings\
[RestoreLastConnection]="false"
Detaillierte Informationen zum Thema
l
Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118
l
Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung auf Seite 122
l
Aktivieren weiterer One Identity Manager Authentifizierungsmodule auf Seite 124
l
Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136
l
Aktivieren weiterer Anmeldesprachen auf Seite 124
Anmelden an der One Identity ManagerDatenbank mit einem
Datenbankbenutzer
Um eine vorhandene Verbindung auszuwählen
l
Wählen Sie im Verbindungsdialog die Verbindung unter "Datenbankverbindung auswählen".
HINWEIS: Neu erstellte Verbindungen werden erst nach erneutem Start des Programms im
Verbindungsdialog angezeigt.
Um eine neue Verbindung zur One Identity Manager-Datenbank unter SQL Server® zu erstellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie
den Systemtyp SQL Server®.
2. Klicken Sie Weiter.
3. Erfassen Sie die Verbindungsdaten zum Datenbankserver.
Tabelle 48: Verbindungsdaten zur SQL Server® Datenbank
Eingabe
Beschreibung
Server
Datenbankserver.
Windows
Angabe, ob integrierte Windows® Authentifizierung verwendet wird.
Authentifizierung
Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie
dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung
Windows® Authentifizierung unterstützt.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
118
Eingabe
Beschreibung
Nutzer
Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenbank
Datenbank.
4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es
wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere
Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
5. Klicken Sie Fertig.
Abbildung 6: Eingabemaske mit Verbindungsdaten unter SQL Server®
Um eine neue Verbindung zur One Identity Manager-Datenbank unter Oracle zu erstellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie
das Systemtyp Oracle.
2. Klicken Sie Weiter.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
119
3. Erfassen Sie die Verbindungsdaten zur Oracle Instanz.
Tabelle 49: Verbindungsdaten zur Oracle Datenbank
Eingabe
Beschreibung
Direktzugriff (ohne Oracle
Client)
Für den direkten Zugriff aktivieren Sie die Option.
Für den Zugriff über Oracle Clients deaktivieren Sie die Option.
Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung
dieser Option.
Server
Datenbankserver.
Port
Port der Oracle Instanz.
Service Name
Service Name.
Benutzer
Oracle Datenbankbenutzer.
Kennwort
Kennwort des Datenbankbenutzers.
Datenquelle
TNS Alias Name aus der TNSNames.ora.
4. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es
wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere
Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
5. Klicken Sie Fertig.
Abbildung 7: Eingabemasken mit Verbindungsdaten unter Oracle
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
120
Um eine neue Verbindung zum Anwendungsserver herzustellen
1. Klicken Sie unter "Datenbankverbindung auswählen" auf Neue Verbindung erstellen und wählen Sie
den Systemtyp Anwendungsserver.
2. Klicken Sie Weiter.
3. Erfassen Sie die Adresse (URL) zum Anwendungsserver.
4. Wenn Sie auf einen per SSL/TLS gesicherten Anwendungsserver zugreifen, konfigurieren Sie
zusätzliche Einstellungen zum Zertifikat.
l
l
l
l
Stimmen Servername des Zertifikats und die Adresse (URL) zum Anwendungsserver überein und
konnte das Serverzertifikat erfolgreich geprüft werden, wird der Servername neben dem
Eingabefeld für die URL grün hinterlegt. Per Klick auf den Servernamen neben dem Eingabefeld
für die URL können Sie Informationen zum Zertifikat anzeigen. Sie können unter Serverzertifikat
festlegen ein Zertifikat auswählen, was bei der Anmeldung vorhanden sein muss.
Stimmen Servername des Zertifikats und die Adresse (URL) zum Anwendungsserver nicht
überein oder konnte das Serverzertifikat erfolgreich geprüft werden, wird der
Servername neben dem Eingabefeld für die URL rot hinterlegt. Legen Sie fest, ob Sie
dem Zertifikat vertrauen.
Wird laut SSL Einstellungen ein Client-Zertifikat erwartet, wählen Sie unter Clientzertifikat
festlegen, das Zertifikat aus und legen Sie fest, wie das Zertifikat geprüft werden soll. Zur
Auswahl stehen "Nach Antragsteller suchen", "Nach Herausgeber suchen" und "Nach
Fingerabdruck suchen".
Wenn Sie mit einem selbstsignierten Zertifikat zugreifen wollen, aktivieren Sie die Option
Akzeptiere selbstsigniertes Zertifikat.
5. Wählen Sie über die Schaltfläche Optionen den Eintrag Verbindung testen.
Es wird versucht die Datenbankverbindung mit den angegebenen Verbindungsdaten aufzubauen. Es
wird eine Meldung zum Test ausgegeben, die Sie bestätigen.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
121
HINWEIS: Über den Eintrag Optionen | Erweiterte Optionen können Sie weitere
Konfigurationseinstellungen für die Datenbankverbindung vornehmen.
6. Klicken Sie Fertig.
Abbildung 8: Eingabemaske für Verbindung zum Anwendungsserver
Um eine Verbindung zu löschen
1. Wählen Sie unter "Datenbankverbindung auswählen "die Verbindung.
2. Drücken Sie Entf.
3. Bestätigen Sie die Sicherheitsabfrage mit Ja.
Die ausgewählte Datenbankverbindung wird nun nicht mehr im Verbindungsdialog angezeigt.
Verwandte Themen
l
Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung auf Seite 122
Anmelden an den One Identity
Manager-Werkzeugen mit einer
Systembenutzerkennung
Im Anschluss an die Datenbankanmeldung meldet sich der Benutzer mit einer Systembenutzerkennung am
gestarteten Programm an. Die zulässigen Systembenutzerkennungen werden über das eingesetzte
Authentifizierungsmodul ermittelt.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
122
Um sich an den One Identity Manager Werkzeugen mit einer Systembenutzerkennung anzumelden
1. Wählen Sie im Verbindungsdialog unter "Authentifizierungsverfahren" das Authentifizierungsmodul.
Es wird eine Auswahlliste eingeblendet, die alle freigeschalteten Authentifizierungsmodule enthält.
2. Erfassen Sie die Anmeldedaten für die Systembenutzerkennung.
Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul.
3. Klicken Sie Anmelden.
Die Verbindungsdaten werden gespeichert und stehen bei der nächsten Anmeldung zur Verfügung.
Abbildung 9: Anmeldefenster mit Anmeldung an den Administrationswerkzeugen
Haben Sie eine Systembenutzerkennung eingegeben, die durch das gewählte Authentifizierungsmodul nicht
unterstützt wird, erscheint folgende Fehlermeldung.
[810284] Der Benutzer konnte nicht authentifiziert werden.
[810015] Die Anmeldung des Benutzers xyz ist gescheitert.
[810017] Falscher Benutzername oder falsches Kennwort.
Wiederholen Sie die Anmeldung, indem Sie ein anderes Authentifizierungsmodul oder eine andere
Systembenutzerkennung wählen.
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die
Authentifizierungsmodule „Systembenutzer“ und „ComponentAuthenticator“ sowie die rollenbasierten
Authentifizierungsmodule aktiviert.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
123
Verwandte Themen
l
Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer auf Seite 118
l
Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136
Aktivieren weiterer One Identity
Manager Authentifizierungsmodule
Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche
Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und
laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die
Bearbeitungsrechte auf Ressourcen der Datenbank.
HINWEIS: Nach der initialen Schemainstallation sind im One Identity Manager nur die
Authentifizierungsmodule „Systembenutzer“ und „Component Authenticator“ sowie die
rollenbasierten Authentifizierungsmodule aktiviert.
HINWEIS: An One Identity Manager-Werkzeugen ist die Anmeldung mit allen
Authentifizierungsmodulen möglich, die im Verbindungsdialog wählbar sind. Gegebenenfalls müssen Sie
sicherstellen, dass der Benutzer, der durch das Authentifizierungsmodul ermittelt wird, die
benötigten Berechtigungen besitzt, die Anwendung zu nutzen.
Um weitere Authentifizierungsmodule zu aktivieren
1. Wählen Sie im Designer die Kategorie Basisdaten | Authentifizierungsmodule.
2. Wählen Sie das Authentifizierungsmodul und setzen Sie die Option Aktiviert auf den Wert "True".
3. Übernehmen Sie die Änderungen über Datenbank | Übertragung in die Datenbank....
4. Klicken Sie Speichern.
Damit ist die Anmeldung mit diesem Authentifizierungsmodul an den zugewiesenen Anwendungen
möglich. Stellen Sie sicherstellen, dass die Benutzer, die durch das Authentifizierungsmodul ermittelt
werden, auch die benötigten Berechtigungen besitzen, die Anwendung zu benutzen.
Verwandte Themen
l
Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136
Aktivieren weiterer Anmeldesprachen
Die Darstellung der Anzeigetexte in der Benutzeroberfläche erfolgt abhängig von der Sprache, mit der sich ein
Benutzer an den Administrationswerkzeugen anmeldet. Bei der erstmaligen Anmeldung an den Werkzeugen
wird die Systemsprache zur Anzeige der Benutzeroberfläche verwendet. Der Benutzer kann seine
Anmeldesprache in jedem Administrationswerkzeug ändern. Dabei wird die Anmeldesprache global für alle
Werkzeuge, mit denen der Benutzer arbeitet, festgelegt. Somit muss die Einstellung der Anmeldesprache
nicht in jedem Werkzeug erneut erfolgen. Die Änderung der Anmeldesprache wird erst mit dem Neustart der
Werkzeuge wirksam.
Als Anmeldesprachen werden alle Sprachkulturen angeboten, die mit der Option Wählbar im Frontend
gekennzeichnet sind.
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
124
Um weitere Anmeldesprachen zur Verfügung zu stellen
1. Wählen Sie im Designer die Kategorie Basisdaten | Sprachkulturen.
2. Wählen Sie die Sprachkultur.
3. Setzen Sie die Option Wählbar im Frontend.
Detaillierte Informationen zum Thema
l
Dell One Identity Manager Konfigurationshandbuch
One Identity Manager 7.1.2 Installationshandbuch
Anmelden an den One Identity Manager-Werkzeugen
125
10
Fehlerbehebung
Anzeigen der Transporthistorie und
Prüfen der One Identity Manager
Version
Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der
Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet.
Beim Importieren eines Transportpaketes mit dem Database Transporter werden das Datum des Imports, die
Beschreibung des Imports, der Versionsstand der Datenbank, der Name des Transportpaketes in der
Transporthistorie der Zieldatenbank aufgezeichnet.
Um die Transporthistorie anzuzeigen
l
Starten Sie den Designer und wählen Sie den Menüeintrag Hilfe | Transporthistorie.
Um einen Überblick über die Systemkonfiguration zu erhalten
l
Starten Sie den Designer oder den Manager und wählen Sie den Menüeintrag Hilfe | Info.
Auf dem Tabreiter Systeminformationen erhalten Sie einen Überblick über Ihre Systemkonfiguration.
Stellen Sie diese Informationen bereit, wenn Sie den Support kontaktieren.
HINWEIS: Wenn Sie die Lieferantenbenachrichtigung aktiviert haben, wird dieser Bericht einmal
im Monat an One Identity gesendet.
Verwandte Themen
l
Lieferantenbenachrichtigung im One Identity Manager auf Seite 61
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
126
Behandlung von Fehlern und
Warnungen während der
Systemkompilierung
HINWEIS: Alle Kompilierungsfehler und Warnungen werden während der Kompilierung aufgezeichnet.
Nach Abschluss der Kompilierung können Sie Fehler und Warnungen einsehen.
l
l
l
Speichern Sie das Protokoll der Kompilierung über das Kontextmenü Protokoll als Datei
speichern....
Korrigieren Sie die Fehler nach Beendigung der Kompilierung.
Nach der Fehlerkorrektur kompilieren Sie die Datenbank erneut. Starten Sie dazu den
Kompilierungsvorgang im Designer über den Menüeintrag Datenbank | Datenbank
kompilieren....
Um Meldungen während der Kompilierung anzuzeigen und zu speichern
l
Um eine Meldung anzuzeigen, wählen Sie die Schaltfläche Anzeigen. Es wird das
Fehlermeldungsfenster geöffnet.
Zusätzlich zur Fehlermeldung wird eine umfangreichere Fehlerbeschreibung angezeigt. Den Umfang
der dargestellten Informationen konfigurieren Sie über die Optionen im Fehlermeldungsfenster.
Öffnen Sie die Konfiguration über die Schaltfläche
gewünschten Optionen.
und aktivieren oder deaktivieren Sie die
Tabelle 50: Optionen zur Anzeige von Fehlermeldung
Option
Bedeutung
Vorhergehende Fehler
anzeigen
Festlegung , ob alle vorhergehenden Fehler, die zum aktuellen Fehler
führen, ebenfalls mit angezeigt werden.
Dell Fehlernummern
anzeigen
Festlegung, ob die interne Fehlernummer angezeigt wird.
Fehlerposition
anzeigen
Festlegung, ob die Fehlerposition im Programmcode mit angezeigt wird.
Lange Zeilen
umbrechen
Festlegung, ob lange Fehlermeldungstexte mit Zeilenumbruch angezeigt
werden.
Nur
anwenderrelevante
anzeigen
Festlegung, ob alle Fehlermeldungen oder nur als "anwenderrelevant"
klassifizierte Fehler angezeigt werden.
Asynchrone Aufrufe
anzeigen
Festlegung, ob Fehlermeldungen in asynchronen Methodenaufrufen
angezeigt werden sollen.
Crashbericht anzeigen
Festlegung, ob Fehlermeldungen aus dem Crashrecorder angezeigt werden
sollen.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
127
HINWEIS: Über die Schaltfläche Sende als Mail wird eine neue E-Mail-Nachricht im
Standardmailprogramm erstellt und der Fehlermeldungstext in die Nachricht übernommen.
l
l
Um alle Meldungen in eine Datei zu speichern, wählen Sie einen Eintrag und verwenden Sie das
Kontextmenü Protokoll in Datei speichern....
Um eine Meldung in die Zwischenablage einzufügen, wählen Sie den Eintrag und verwenden
Sie Strg + C.
Treten Fehler auf, werden diese sofort während des Kompilierungsvorgangs in einem separaten
Protokollfenster angezeigt.
l
l
l
Durch Maus-Doppelklick auf die Fehlermeldung im unteren Teil des Protokollfensters wird zur
entsprechenden Zeile in der Quellcodeansicht (oberer Teil des Dialogfensters) gesprungen. Die
Quellcodeansicht dient lediglich zur Darstellung, eine Bearbeitung des Eintrages ist nicht möglich.
Über die Schaltfläche Speichern speichern Sie die Fehlermeldungen in eine Datei.
Über die Schaltfläche Schließen, schließen Sie das Fehlerprotokoll. Anschließend wird die
Kompilierung fortgesetzt.
Abbildung 10: Ausgabe von Fehlermeldungen
Prüfen der Datenkonsistenz
Mit der Konsistenzprüfung werden verschiedene Tests zur Verfügung gestellt, um die Datenbankobjekte
hinsichtlich ihrer Datenbeschaffenheit zu analysieren. Neben vordefinierten Tests können eigene Tests
angewendet werden und bei Bedarf eine Datenreparatur ausgeführt werden.
HINWEIS: Eine Konsistenzprüfung sollten Sie in regelmäßigen Abständen sowie nach umfangreichen
Änderungen an der Systemkonfiguration ausführen.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
128
Die Konsistenzprüfung können Sie im Manager und im Designer ausführen. Datenbanktest werden im Manager
und im Designer vollständig durchgeführt. Bei Tabellentests und Objekttests im Manager werden die Daten
des Anwendungsmodells geprüft und im Designer die Daten des Systemdatenmodells geprüft.
HINWEIS: Es wird empfohlen Konsistenzprüfungen mit einem administrativen Systembenutzer
auszuführen.
Konsistenzprüfungen vom Typ "Objekttest" werden immer im Kontext des angemeldeten Benutzers
ausgeführt. Wenn der Benutzer keine Berechtigungen auf bestimmte Objekte hat, dann werden unter
Umständen Fehler nicht erkannt oder Fehlerreparaturen schlagen fehl.
Um eine Konsistenzprüfung auszuführen
1. Starten Sie den Konsistenzeditor im Designer oder im Manager über den Menüeintrag Datenbank |
Datenkonsistenz überprüfen....
Während des Starts werden die Tabellendefinitionen des One Identity Manager Schemas geladen und
die Datenbankobjekte zum Test bereitgestellt.
2. Legen Sie die Testoptionen fest.
3. Starten Sie die Konsistenzprüfung. Hierfür stehen im Konsistenzeditor folgende Prüfverfahren
zur Verfügung:
l
Prüfen aller Testobjekte
HINWEIS: Um einzelne Testobjekte von der Prüfung auszuschließen, wählen Sie diese
vor Start der Prüfung in der Listenansicht des Konsistenzeditors aus und kennzeichnen
diese über das Kontextmenü Deaktivieren.
l
Prüfen einzelner Testobjekte
Wählen Sie in der Listenansicht die gewünschten Testobjekte und starten Sie den Test über den
Kontextmenüeintrag Überprüfen.
TIPP: Mit Shift + Auswahl bzw. Strg + Auswahl können Sie mehrere Testobjekte für die
Prüfung auswählen.
4. Prüfen Sie die Fehlerausgabe.
5. Führen Sie bei Bedarf eine Fehlerreparatur aus.
DBQueue Prozessor verarbeitet keine
Aufträge
Nach dem Wiederherstellen einer One Identity Manager-Datenbank aus einer Datenbanksicherung werden
keine DBQueue Prozessor Aufträge verarbeitet.
Wenn der SQL Server® in einer virtuellen Maschine läuft und die virtuelle Maschine wird angehalten
(suspend), werden nach dem Starten der virtuellen Maschine eventuell keine DBQueue Prozessor Aufträge
verarbeitet.
Bei der Aktualisierung des One Identity Manager Schemas erhalten Sie im Configuration Wizard die Meldung
Cannot enable broker because of other users are active.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
129
Wahrscheinliche Ursache
Der SQL Server Service Broker kann bei Initialisierung des DBQueue Prozessor kann nicht reaktiviert werden.
Der Service Broker wird zur Kommunikation des DBQueue Prozessor eingesetzt.
Lösung
Führen Sie die folgenden Schritte mit einem geeigneten Query-Tool in der Datenbank aus.
1. Stoppen aller DBQueue Prozessor Komponenten.
exec QBM_PWatchDogPrepare 1
go
exec QBM_PDBQueuePrepare 1
go
2. Prüfen, ob noch weitere Sitzungen auf der Datenbank aktiv sind.
select *
from sys.sysprocesses p
where dbid = DB_ID()
and spid <> @@SPID
Sind noch weitere Sitzungen aktiv, müssen diese zunächst beendet werden.
3. Erstellen einer neuen Service Broker ID und Aktivieren der Nachrichtenauslieferung.
alter database <database name> set NEW_BROKER
go
alter database <database name> set enable_broker
go
4. Initialisieren des DBQueue Prozessor.
exec QBM_PDBQueuePrepare 0,1
go
exec QBM_PWatchDogPrepare
go
HINWEIS: Wenn Sie eine Test- oder Entwicklungsdatenbank aus einer Sicherung einer anderen One
Identity Manager-Datenbank erstellen, werden diese Schritte durch den Database Compiler ausgeführt.
Eine manuelle Ausführung der Schritte ist in diesem Fall nicht notwendig. Weitere Informationen finden
Sie unter Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder
Entwicklungsumgebung aus einer Datenbanksicherung auf Seite 147.
Meldung: Enter email address in
configuration parameter
Die Parameter SenderAddress oder Address in einem Prozess zum Versenden von E-Mail Benachrichtigungen
enthalten den Wert <Enter email address in configuration parameter "...">. Die Parameter
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
130
eines Prozesses prüfen Sie im Job Queue Info.
Ist für den One Identity Manager Service die erweiterte Fehlerausgabe im Debugmodus eingerichtet, wird die
Meldung zusätzlich in der Protokolldatei des One Identity Manager Service ausgegeben.
Wahrscheinliches Problem
Der One Identity Manager versendet bei verschiedenen Aktionen im System E-Mail-Benachrichtigungen. Das EMail Benachrichtigungssystem des One Identity Manager ist nicht vollständig konfiguriert.
Lösung
l
Prüfen Sie im Designer in der Kategorie Basisdaten | Konfigurationsparameter die
Konfigurationsparameter für das E-Mail Benachrichtigungssystem und passen Sie die Werte
unternehmensspezifisch an.
HINWEIS: Zusätzlich zu den nachfolgend aufgeführten Konfigurationsparametern können für die
verschiedenen Benachrichtigungsprozesse weitere Konfigurationsparameter erforderlich sein.
Einige Konfigurationsparameter stehen erst zur Verfügung wenn die Module vorhanden sind.
Tabelle 51: Allgemeine Konfigurationsparameter für die Mailbenachrichtigung
Konfigurationsparameter
Bedeutung
Common\InternationalEMail
Der Parameter gibt an, ob internationale
Domänennamen beziehungsweise UnicodeZeichen in E-Mail-Adressen unterstützt
werden.
WICHTIG: Der Mailserver muss diese
Funktion ebenfalls unterstützen.
Gegebenenfalls müssen Sie das Skript
VID_IsSMTPAddress überschreiben.
Common\MailNotification
Angaben zur Benachrichtigung.
Common\MailNotification\DefaultAddress
Standard E-Mail-Adresse (Empfänger) zum
Versenden von Benachrichtigungen.
Common\MailNotification\DefaultCulture
Standardsprachkultur, in der E-Mail
Benachrichtigungen versendet werden,
wenn für einen Empfänger keine
Sprachkultur ermittelt werden kann.
Common\MailNotification\DefaultLanguage
Standardsprache zum Versenden von
Benachrichtigungen.
Common\MailNotification\DefaultSender
Standard E-Mail-Adresse (Absender) zum
Versenden von Benachrichtigungen.
Common\MailNotification\Encrypt
Angabe, ob E-Mails verschlüsselt werden
sollen.
Common\MailNotification\Encrypt\ConnectDC
Domänencontroller der Domäne, der
verwendet werden soll.
Common\MailNotification\Encrypt\ConnectPassword
Benutzerkennwort. Die Angabe ist optional.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
131
Konfigurationsparameter
Bedeutung
Common\MailNotification\Encrypt\ConnectUser
Benutzerkonto, mit dem das Active
Directory® abgefragt wird. Die Angabe ist
optional.
Common\MailNotification\Encrypt\DomainDN
Distinguished Name der zu durchsuchenden
Domäne.
Common\MailNotification\Encrypt\EncryptionCertificateScript
Skript, welches eine Liste von
Verschlüsselungszertifikaten liefert
(Standard: QBM_GetCertificates).
Common\MailNotification\NotifyAboutWaitingJobs
Angabe, ob eine Benachrichtigung gesendet
werden soll, wenn Prozessschritte eines
bestimmten Ausführungszustandes in der
Jobqueue sind.
Common\MailNotification\SignCertificateThumbprint
SHA1-Thumbprint des zur Signierung zu
verwendenden Zertifikats. Dieses kann im
My-Store der Maschine oder des Benutzers
liegen.
Common\MailNotification\SMTPAccount
Name des Benutzerkontos zur
Authentifizierung am SMTP Server.
Common\MailNotification\SMTPDomain
Domäne des Benutzerkontos zur
Authentifizierung am SMTP Server.
Common\MailNotification\SMTPPassword
Kennwort des Benutzerkontos zur
Authentifizierung am SMTP Server.
Common\MailNotification\SMTPPort
Port des SMTP-Dienstes auf dem SMTP Server
(Standard: 25).
Common\MailNotification\SMTPRelay
SMTP Server zum Versenden von
Benachrichtigungen.
Common\MailNotification\SMTPUseDefaultCredentials
Ist der Konfigurationsparameter aktiviert,
werden zur Authentifizierung am SMTP
Server die Anmeldeinformationen des One
Identity Manager Service verwendet. Ist der
Konfigurationsparameter nicht aktiviert,
werden die in den Konfigurationsparametern
"Common\MailNotification\SMTPDomain" und
"Common\MailNotification\SMTPAccount" bzw.
"Common\MailNotification\SMTPPassword"
hinterlegten Anmeldeinformationen
verwendet.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
132
Konfigurationsparameter
Bedeutung
Common\MailNotification\VendorNotification
Aktivierung der E-Mail Adresse der
Kontaktperson ihres Unternehmens. Die EMail-Adresse wird als Absenderadresse für
die Lieferantenbenachrichtigung verwendet.
Ist der Konfigurationsparameter aktiviert,
erzeugt der One Identity Manager einmal im
Monat eine Liste der Systemeinstellungen
und sendet die Liste an One Identity. Diese
Liste enthält keine personenbezogenen
Daten. Sie können die aktuellsten
Systeminformationen jederzeit aus dem
Menü Hilfe | Info... überprüfen. Die Liste
wird von unserem Kunden-Support-Team
proaktiv überprüft, welches nach
wesentlichen Änderungen schaut um
mögliche Probleme zu identifizieren bevor
sie sich auf Ihrem System verwirklichen. Die
Listen können von unseren F&E-Mitarbeitern
für die Analyse, Diagnose und Replikation zu
Testzwecken verwendet werden. Diese
Informationen behalten Gültigkeit, solange
Ihr Unternehmen weiterhin Pflegeleistungen
für dieses Produkt bezieht.
Tabelle 52: Zusätzliche Konfigurationsparameter für E-Mail-Adressen für die Mailbenachrichtigung
Konfigurationsparameter
Beschreibung
QER\Attestation\DefaultSenderAddress
Der Konfigurationsparameter enthält die
Absender E-Mail Adresse für automatisch
generierte Benachrichtigungen für die
Attestierung.
QER\ComplianceCheck\EmailNotification\DefaultSenderAddress
Der Konfigurationsparameter enthält die
Absender-E-Mail-Adresse für automatisch
generierte Nachrichten innerhalb der
Regelprüfung.
QER\ITShop\DefaultSenderAddress
Der Konfigurationsparameter enthält die
Absender E-Mail Adresse für automatisch
generierte Benachrichtigungen innerhalb
des IT Shop.
QER\Policy\EmailNotification\DefaultSenderAddress
Der Konfigurationsparameter enthält die
Absender E-Mail Adresse für automatisch
generierte Nachrichten innerhalb der
Überprüfung von Unternehmensrichtlinien.
QER\RPS\DefaultSenderAddress
Der Konfigurationsparameter enthält die
Absender E-Mail Adresse für automatisch
generierte Benachrichtigungen.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
133
Konfigurationsparameter
Beschreibung
TargetSystem\ADS\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\ADS\Exchange2000\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\ADS\MemberShipRestriction\MailNotification
Der Konfigurationsparameter enthält die
Standard-Mailadresse zum Versenden von
Warnmails.
TargetSystem\AzureAD\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\CSM\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\LDAP\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\NDO\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\SAPR3\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\SharePoint\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\Unix\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
TargetSystem\UNS\DefaultAddress
Der Konfigurationsparameter enthält die
Standard-E-Mail-Adresse des Empfängers für
Benachrichtigungen über Aktionen im
Zielsystem.
Detaillierte Informationen zum Thema
l
Dell One Identity Manager Konfigurationshandbuch
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
134
Datenbankfehler 50000: Jobqueue is
not empty. This may cause in deadlocks
while compiling database.
Problem
In der Jobqueue befinden sich Prozesse, deren Verarbeitung vor der Aktualisierung der Datenbank
abgeschlossen sein muss. Die Aktualisierung der Datenbank startet nicht.
Lösung
l
Stellen Sie sicher, dass die Prozesse in der Jobqueue und die Aufträge in der DBQueue vor dem Start
der Aktualisierung verarbeitet wurden. Zum Zeitpunkt der Aktualisierung der Datenbank sollten sich
keine Einträge in der Jobqueue und der DBQueue befinden.
One Identity Manager 7.1.2 Installationshandbuch
Fehlerbehebung
135
A
Anhang: One Identity Manager
Authentifizierungsmodule
HINWEIS: Die Authentifizierungsmodule sind in den One Identity Manager Modulen definiert und stehen
erst zur Verfügung, wenn die Module installiert sind.
Folgende Authentifizierungsmodule sind verfügbar.
Systembenutzer
Mit diesem Authentifizierungsmodul nutzen Sie einen in der One Identity Manager-Datenbank vorhandenen
Systembenutzer und sein Kennwort als Systembenutzerkennung zur Anmeldung.
Standardmäßig ist der Systembenutzer „viadmin“ vorhanden. Der Systembenutzer „viadmin“ hat die
vordefinierte Benutzeroberfläche und die Zugriffsrechte auf Ressourcen der Datenbank. Die
Benutzeroberfläche und die Rechtestruktur für den „viadmin“ sollten Sie nicht produktiv nutzen
beziehungsweise verändern, da dieser Systembenutzer als Mustersystembenutzer bei jeder Migration
überschrieben wird.
Erstellen Sie sich einen eigenen Systembenutzer mit den entsprechenden Berechtigungen. Dies kann bereits
bei der initialen Installation der One Identity Manager-Datenbank erfolgen. Diesen Systembenutzer können Sie
zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den
Administrationswerkzeugen nutzen.
Person
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Es können sich nur Personen anmelden, denen
ein Systembenutzer direkt zugeordnet ist. Kennwort für die Anmeldung ist das Kennwort des
Systembenutzers.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
angemeldeten Person direkt zugeordnet ist. Datenänderungen können der angemeldeten Person zugeordnet
werden. Nutzen Sie dieses Authentifizierungsmodul, wenn Sie die Bearbeitungsrechte der One Identity
Manager Benutzer administrativ regeln und ihre Identität transparent machen wollen.
Single Sign-on generisch (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
136
Dieses Authentifizierungsmodul unterstützt die Authentifizierung mittels Single Sign-on. Das
Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur Anmeldung
an den One Identity Manager-Werkzeugen. Es muss festgelegt werden, welche Informationen des One Identity
Manager Schemas zur Suche des Benutzerkontos verwendet werden.
Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften
der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und
Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der
angemeldeten Person zugeordnet.
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden
Konfigurationsparameter an.
Tabelle 53: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter
Bedeutung
QER\Person\GenericAuthenticator
Der Konfigurationsparameter legt fest, ob die Authentifizierung über
Single Sign-on unterstützt wird.
QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält die Tabelle im One Identity
SearchTable
Manager Schema in der die Benutzerinformationen hinterlegt werden.
Die Tabelle muss einen Fremdschlüssel namens UID_Person
enthalten, der auf die Tabelle Person zeigt.
Beispiel: ADSAccount
QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält die Spalte aus der One Identity
SearchColumn
Manager-Tabelle (SearchTable), die zur Suche des Benutzernamens des
angemeldeten Benutzers verwendet wird.
Beispiel: CN
QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte
EnabledBy
Liste von Boolean-Spalten aus der One Identity Manager-Tabelle
(SearchTable), die das Benutzerkonto für die Anmeldung aktiviert.
QER\Person\GenericAuthenticator\ Der Konfigurationsparameter enthält eine durch Pipe (|) getrennte
DisabledBy
Liste von Boolean-Spalten aus der One Identity Manager-Tabelle
(SearchTable), die das Benutzerkonto für die Anmeldung deaktiviert.
Beispiel: AccountDisabled
Person (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Als Kennwort geben Sie das
Systembenutzerkennwort der Person an.
Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften
der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und
Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der
angemeldeten Person zugeordnet.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
137
Person (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Mit diesem Authentifizierungsmodul nutzen Sie das zentrale Benutzerkonto einer in der One Identity ManagerDatenbank vorhandenen Person als Systembenutzerkennung. Als Kennwort geben Sie das
Systembenutzerkennwort der Person an.
Im Gegensatz zum Authentifizierungsmodul „Person“ wird bei diesem Authentifizierungsmodul nicht der an
der Person direkt eingetragene Systembenutzer zur Anmeldung genutzt, sondern ein Systembenutzer über
die Konfigurationsdaten der Anwendung bestimmt. Somit kann beispielsweise einer Person, in Abhängigkeit
ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer zugeordnet werden.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können der angemeldeten Person
zugeordnet werden.
Benutzerkonto
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur
Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht
zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Personen geprüft und die Person
ermittelt, deren Anmeldung mit dem angemeldeten Benutzer übereinstimmt. Die Anmeldeinformationen der
Person werden in der Form: Domäne\Benutzer erwartet.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
angemeldeten Person direkt zugeordnet ist. Datenänderungen können dem angemeldeten Benutzerkonto
zugeordnet werden.
Benutzerkonto (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur
Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht
zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Personen geprüft und die Person
ermittelt, deren Anmeldung mit dem angemeldeten Benutzer übereinstimmt. Die Anmeldeinformationen der
Person werden in der Form: Domäne\Benutzer erwartet.
Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften
der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und
Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem
angemeldeten Benutzerkonto zugeordnet.
Kontenbasierter Systembenutzer
Das Authentifizierungsmodul verwendet den aktuell an der Arbeitsstation angemeldeten Benutzer zur
Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht
zur Anmeldung benötigt. Es werden die zulässigen Anmeldungen der Systembenutzer geprüft und der
Systembenutzer verwendet, dessen Anmeldeinformationen mit dem angemeldeten Benutzer übereinstimmt.
Die Anmeldeinformationen des Systembenutzers werden in der Form: Domäne\Benutzer erwartet.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
138
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen.
Datenänderungen können dem angemeldeten Benutzerkonto zugeordnet werden.
Active Directory® Benutzerkonto
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul
vorhanden ist.
Das Authentifizierungsmodul erkennt, ob es sich um eine Anmeldung an einer Arbeitsstation oder an einem
Webfrontend handelt. Systembenutzerkennung und Kennwort werden nicht zur Anmeldung benötigt. Bei der
Anmeldung wird über die SID des Benutzers und die Domäne des Containers das entsprechende Benutzerkonto
in der One Identity Manager-Datenbank ermittelt. Der One Identity Manager ermittelt die Person, die dem
Benutzerkonto zugeordnet ist.
Besitzen Personen mehrere Identitäten, wird über den Konfigurationsparameter
„QER\Person\MasterIdentity\UseMasterForAuthentication“ gesteuert, welche Person zur Authentifizierung
verwendet wird. Ist der Konfigurationsparameter aktiviert, wird die Hauptidentität der Person für die
Authentifizierung genutzt. Ist der Parameter deaktiviert, wird die Subidentität der Person für die
Authentifizierung genutzt.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
ermittelten Person direkt zugeordnet ist. Datenänderungen können dem angemeldeten Benutzerkonto
zugeordnet werden.
Der Vorteil dieses Moduls liegt darin, dass zur Anmeldung an der Arbeitsstation oder einem Webfrontend und
an den One Identity Manager-Administrationswerkzeugen nur eine Anmeldung benötigt wird. Eine erneute
Kennwortangabe ist nicht erforderlich.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch
verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
Active Directory® Benutzerkonto (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul
vorhanden ist.
Mit diesem Authentifizierungsmodul nutzen Sie den aktuell an der Arbeitsstation angemeldeten Benutzer zur
Anmeldung an den One Identity Manager-Werkzeugen. Systembenutzerkennung und Kennwort werden nicht
zur Anmeldung benötigt. Bei der Anmeldung wird über die SID des Benutzers und die Domäne des Containers
das entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Es wird die Person
ermittelt, die dem Benutzerkonto zugeordnet ist.
Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften
der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und
Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden dem
angemeldeten Benutzerkonto zugeordnet.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch
verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig
Active Directory® Benutzerkonto (manuelle Eingabe/rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul
vorhanden ist.
Dieses Authentifizierungsmodul erfordert zur Anmeldung die manuelle Eingabe der Systembenutzerkennung.
Als Systembenutzerkennung nutzen Sie den Anmeldenamen, mit dem sich ein Benutzer an Domänen
anmeldet. Anhand einer vordefinierten Liste von zulässigen Domänen wird die Identität des Benutzers
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
139
ermittelt. Bei Erfolg werden die weiteren Anmeldeinformationen wie beim Authentifizierungsmodul „Active
Directory® Benutzerkonto (rollenbasiert)“ ermittelt. Die zulässigen Domänen geben Sie im
Konfigurationsparameter „TargetSystem\ADS\AuthenticationDomains“ an.
Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet.
Active Directory® Benutzerkonto (manuelle Eingabe)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul
vorhanden ist.
Dieses Authentifizierungsmodul nutzt zur Anmeldung nicht den aktuell an der Arbeitsstation angemeldeten
Benutzer, sondern erfordert die manuelle Eingabe der Systembenutzerkennung. Als Systembenutzerkennung
nutzen Sie den Anmeldenamen, mit dem sich der Benutzer an Domänen anmeldet. Anhand einer
vordefinierten Liste von zulässigen Domänen wird die Identität des Benutzers ermittelt. Bei Erfolg werden die
weiteren Anmeldeinformationen wie beim Authentifizierungsmodul „Active Directory® Benutzerkonto
(dynamisch)“ ermittelt. Die zulässigen Domänen geben Sie im Konfigurationsparameter
„TargetSystem\ADS\AuthenticationDomains“ an.
Active Directory® Benutzerkonto (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Active Directory Modul
vorhanden ist.
Das Authentifizierungsmodul erkennt, ob es sich um eine Anmeldung an einer Arbeitsstation oder an einem
Webfrontend handelt. Die Anmeldeinformationen des Benutzerkontos werden wie beim
Authentifizierungsmodul „Active Directory® Benutzerkonto“ ermittelt. Es wird die Person bestimmt, die
diesem Benutzerkonto zugeordnet ist.
Im Gegensatz zum Authentifizierungsmodul „Active Directory® Benutzerkonto“ wird beim dynamischen
Authentifizierungsmodul nicht der an der Person direkt eingetragene Systembenutzer zur Anmeldung
genutzt, sondern ein Systembenutzer über die Konfigurationsdaten der Anwendung bestimmt. Somit kann
beispielsweise einer Person, in Abhängigkeit ihrer Abteilungszugehörigkeit, dynamisch ein Systembenutzer
zugeordnet werden.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können dem angemeldeten
Benutzerkonto zugeordnet werden.
HINWEIS: Wenn Sie bei der Anmeldung im Verbindungsdialog zusätzlich die Option automatisch
verbinden setzen, so ist bei jeder weiteren Anmeldung keine erneute Authentifizierung notwendig.
LDAP Benutzerkonto (dynamisch)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das LDAP Modul vorhanden ist.
Mit diesem Authentifizierungsmodul nutzen Sie den Anmeldenamen, die Bezeichnung, den definierten Namen
oder die Benutzer-ID eines LDAP Benutzerkontos als Systembenutzerkennung. Als Kennwort geben Sie das
Kennwort an, das in den allgemeinen Stammdaten des LDAP Benutzerkontos erfasst ist. Bei der Anmeldung
über den Anmeldenamen, die Bezeichnung oder die Benutzer-ID wird über die Domäne des Containers das
entsprechende Benutzerkonto in der One Identity Manager-Datenbank ermittelt. Erfolgt die Anmeldung über
den definierten Namen, wird dieser direkt verwendet. Der One Identity Manager ermittelt die Person, die dem
LDAP Benutzerkonto zugeordnet ist.
Der One Identity Manager bestimmt den Systembenutzer über die Konfigurationsdaten der Anwendung. Die
Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
140
angemeldeten Person dynamisch zugeordnet wurde. Datenänderungen können dem angemeldeten LDAP
Benutzerkonto zugeordnet werden.
HTTP Header (rollenbasiert)
Dieses Authentifizierungsmodul unterstützt die Authentifizierung über Web Single-Sign-On Lösungen, die mit
einer Proxy basierten Architektur arbeiten.
Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des
authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die
Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen
Benutzernamen übereinstimmt.
Beim rollenbasierten Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften
der Person in One Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und
Bearbeitungsrechte werden über diesen Systembenutzer geladen. Datenänderungen werden der
angemeldeten Person zugeordnet.
HTTP Header
Dieses Authentifizierungsmodul unterstützt die Authentifizierung über Web Single-Sign-On Lösungen, die mit
einer Proxy basierten Architektur arbeiten.
Im HTTP Header muss der Benutzername (in der Form: username = <Benutzername des
authentifizierten Benutzers>) übergeben werden. In der One Identity Manager-Datenbank wird die
Person ermittelt, deren zentrales Benutzerkonto oder Personalnummer mit dem übergebenen
Benutzernamen übereinstimmt.
Die Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der
ermittelten Person direkt zugeordnet ist. Ist der Person kein Systembenutzer zugeordnet, wird der
Systembenutzer aus dem Konfigurationsparameter „SysConfig\Logon\DefaultUser“ ermittelt. Datenänderungen
werden der angemeldeten Person zugeordnet.
OAuth 2.0/OpenID Connect
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Das Authentifizierungsmodul unterstützt den Autorisierungscodefluss für OAuth 2.0 und OpenID Connect.
Detaillierte Informationen zum Autorisierungscodefluss erhalten Sie beispielsweise in der OAuth Spezifikation
oder der OpenID Connect Spezifikation.
Das Authentifizierungsmodul verwendet einen Sicherheitstokendienst (Secure Token Service) zur Anmeldung.
Dieses Anmeldeverfahren kann mit jedem Sicherheitstokendienst eingesetzt werden, der OAuth 2.0 Token
zurückgeben kann.
Das jeweilige Frontend fordert am Authorisierungsendpunkt den Autorisierungscode an. Über den
Konfigurationsparameter QER\Person\OAuthAuthenticator\LoginEndpoint wird ein erweiterter Anmeldedialog
aufgerufen, über den der Autorisierungscode ermittelt wird. Das Authentifzierungsmodul fordert eine
Zugriffstoken vom Tokenendpunkt an. Zur Prüfung des Sicherheitstokens wird das Zertifikat
herangezogen. Dabei wird zunächst versucht, das Zertifikat aus der Konfiguration der Webanwendung zu
ermitteln. Ist dies nicht möglich, werden die Konfigurationsparameter verwendet. Um das Zertifikat zur
Prüfung der Token zu ermitteln, werden die Zertifikatsspeicher in folgender Reihenfolge abgefragt:
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
141
1. Konfiguration der Webanwendung (Tabelle QBMWebApplication)
a. Zertifikatstext (QBMWebApplication.CertificateText) .
b. Subject oder Fingerabdruck aus dem lokalen Speicher
(QBMWebApplication.OAuthCertificateSubject und
QBMWebApplication.OAuthCertificateThumbPrint).
c. Zertifikatsendpunkt (QBMWebApplication.CertificateEndpoint).
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server
zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal existieren.
2. Konfigurationsparameter
a. Zertifikatstext (Konfigurationsparameter "QER\Person\OAuthAuthenticator\CertificateText").
b. Subject oder Fingerabdruck aus dem lokalen Speicher (Konfigurationsparameter
"QER\Person\OAuthAuthenticator\CertificateSubject" und
"QER\Person\OAuthAuthenticator\CertificateThumbPrint").
c. Zertifikatsendpunkt (Konfigurationsparameter
"QER\Person\OAuthAuthenticator\CertificateEndpoint").
Zusätzlich werden das Subject oder der Fingerabdruck verwendet, um Zertifikate vom Server
zur prüfen, wenn sie angegeben sind und nicht auf dem Server lokal exisitieren.
d. JSON-Web-Key-Endpunkt (Konfigurationsparameter
"QER\Person\OAuthAuthenticator\JsonWebKeyEndpoint").
Um das Benutzerkonto zu ermitteln, wird der Claim-Typ benötigt, aus dem die Benutzerinformationen
ermittelt werden. Zusätzlich wird festgelegt, welche Informationen des One Identity Manager Schemas zur
Suche des Benutzerkontos verwendet werden.
Die Authentifizierung über OpenID Connect baut auf OAuth auf. Die OpenID Connect Authentifizierung benutzt
dieselben Mechanismen, stellt aber die Benutzer-Claims in einem ID-Token oder über einen User Info
Endpunkt zur Verfügung. Für den Einsatz von OpenID Connect sind weitere Konfigurationseinstellungen
erforderlich. Ist im Konfigurationsparameter "QER\Person\OAuthAuthenticator\Scope" der Wert "openid"
enthalten, verwendet das Authentifizierungsmodul "OpenID Connect".
Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Die
Benutzeroberfläche und Bearbeitungsrechte werden über den Systembenutzer geladen, der der ermittelten
Person direkt zugeordnet ist. Datenänderungen werden dem angemeldeten Benutzerkonto zugeordnet. Dafür
muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen verwendet wird.
Für den Einsatz des Authentifizierungsmoduls passen Sie im Designer die folgenden
Konfigurationsparameter an.
Tabelle 54: Konfigurationsparameter für das Authentifizierungsmodul
Konfigurationsparameter
Bedeutung
QER\Person\OAuthAuthenticator
Der Konfigurationsparameter legt fest, ob die
Authentifizierung über Sicherheitstoken unterstützt wird.
QER\Person\OAuthAuthenticator\Certificate
Endpoint
Der Konfigurationsparameter enthält den Uniform Resource
Locator (URL) des Zertifikatsendpunkts auf dem
Autorisierungsserver.
Beispiel: https://localhost/RSTS/SigningCertificate
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
142
Konfigurationsparameter
Bedeutung
QER\Person\OAuthAuthenticator\Certificate
Subject
Der Konfigurationsparameter enthält das Subject des
Zertifikats, das zur Überprüfung verwendet wird. Subject oder
Fingerabdruck müssen gesetzt sein.
QER\Person\OAuthAuthenticator\Certificate
ThumbPrint
Der Konfigurationsparameter enthält den Fingerabdruck des
zu verwendenden Zertifikates zur Prüfung des
Sicherheitstokens.
QER\Person\OAuthAuthenticator\ClientID
Der Konfigurationsparameter legt fest, ob ClientAnwendungen die Authentifizierung unterstützen.
QER\Person\OAuthAuthenticator\ClientID\W
eb
Der Konfigurationsparameter enthält den Uniform Resource
Name (URN) der Web Anwendung, welche die
Authentifizierung unterstützt.
Beispiel: urn:DellOneIdentityManager/Web
QER\Person\OAuthAuthenticator\ClientID\W
indows
Der Konfigurationsparameter enthält Uniform Resource Name
(URN) der nativen Anwendung, welche die Authentifizierung
unterstützt.
Beispiel: urn:DellOneIdentityManager/WinClient
QER\Person\OAuthAuthenticator\DisabledB
yColumns
Der Konfigurationsparameter enthält eine durch Pipe (|)
getrennte Liste von Boolean-Spalten aus der One Identity
Manager-Tabelle (SearchTable), die das Benutzerkonto für die
Anmeldung deaktiviert.
Beispiel: AccountDisabled
QER\Person\OAuthAuthenticator\EnabledBy
Columns
Der Konfigurationsparameter enthält eine durch Pipe (|)
getrennte Liste von Boolean-Spalten aus der One Identity
Manager-Tabelle (SearchTable), die das Benutzerkonto für die
Anmeldung aktiviert.
QER\Person\OAuthAuthenticator\IssuerNam
e
Der Konfigurationsparameter enthält den Uniform Resource
Name (URN) des Aussteller des Zertifikates zur Prüfung des
Sicherheitstokens.
Beispiel: urn:DellSTS/identity
QER\Person\OAuthAuthenticator\LoginEndp
oint
Der Konfigurationsparameter enthält den Uniform Resource
Locator (URL) der erweiterten Anmeldeseite des
Sicherheitstokendienstes.
Beispiel: http://localhost/rsts/login
QER\Person\OAuthAuthenticator\Resource
Der Konfigurationsparameter enthält den Uniform Resource
Name (URN) der abzufragenden Ressource, zum Beispiel für
ADFS.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
143
Konfigurationsparameter
Bedeutung
QER\Person\OAuthAuthenticator\SearchClai
m
Der Konfigurationsparameter enthält den Uniform Resource
Identifier (URI) des Claim-Typs aus dem die
Anmeldeinformationen ermittelt werden.
Beispiel: Name einer Entität
http://schemas.xmlsoap.org/ws/2005/05/identity/c
laims/nameidentifier
QER\Person\OAuthAuthenticator\SearchCol
umn
Der Konfigurationsparameter enthält die Spalte aus der One
Identity Manager-Tabelle (SearchTable), die zur Suche der
Benutzerinformationen verwendet wird. Entsprechung des
Claim-Typs (SearchClaim) im One Identity Manager Schema.
Beispiel: ObjectGUID
QER\Person\OAuthAuthenticator\SearchTab
le
Der Konfigurationsparameter enthält die Tabelle im One
Identity Manager Schema in der die Benutzerinformationen
hinterlegt werden. Die Tabelle muss einen Fremdschlüssel
namens UID_Person enthalten, der auf die Tabelle Person
zeigt.
Beispiel: ADSAccount
QER\Person\OAuthAuthenticator\TokenEnd
point
Der Konfigurationsparameter enthält den Uniform Resource
Locator (URL) des Tokenendpunktes des Autorisierungsservers
für die Rückgabe des Zugriffstokens an den Client für die
Anmeldung.
Beispiel: https://localhost/rsts/oauth2/token
QER\Person\OAuthAuthenticator\
UserNameClaim
Der Konfigurationsparameter enthält den Uniform Resource
Identifier (URI) des Claim-Typs, der verwendet wird, um
Datenänderungen zu kennzeichnen (XUserInserted,
XUserUpdated).
Beispiel: User Principal Name (UPN)
http://schemas.xmlsoap.org/ws/2005/05/identity/c
laims/upn
QER\Person\OAuthAuthenticator\InstalledR
edirectUri
Der Konfigurationsparameter enthält den Uniform Resource
Identifier (URI) zur Weiterleitung für installierte
Applikationen.
Beispiel: urn:InstalledApplication
QER\Person\OAuthAuthenticator\AllowSelfS
ignedCertsForTLS
Der Konfigurationsparameter legt fest, ob die Nutzung von
selbstsignierten Zertifikaten bei der Verbindung zum Tokenund User Info Endpunkt erlaubt ist.
QER\Person\OAuthAuthenticator\Certificate
Text
Der Konfigurationsparameter enthält den Inhalt des Zertifikats
als Base64-kodierte Zeichenkette. Es wird nur benutzt, wenn
kein Zertifikatsendpunkt konfiguriert ist.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
144
Konfigurationsparameter
Bedeutung
QER\Person\OAuthAuthenticator\JsonWebK
eyEndpoint
Der Konfigurationsparameter enthält den URL des JSON-WebKey-Endpunktes, der die Signierungsschlüssel liefert. Derzeit
werden nur JWK-Dateien unterstützt, die die Zertifikate im
x5c-Feld (Certificate Chain) enthalten.
QER\Person\OAuthAuthenticator\LogoutEnd
point
Der Konfigurationsparameter enthält den Uniform Resource
Locator (URL) des Abmelde-Endpunktes.
Beispiel:
http://localhost/rsts/login?wa=wsignout1.0
QER\Person\OAuthAuthenticator\SharedSec
ret
Der Konfigurationsparameter enthält den Shared-Secret-Wert,
der für die Authentifizierung am Tokenendpunkt genutzt wird.
Tabelle 55: Zusätzliche Konfigurationsparameter für OpenID Connect
Konfigurationsparameter
Bedeutung
QER\Person\OAuthAuthenticator\Scope
Der Konfigurationsparameter legt das Protokolls für die
Authentifizierung fest. Besitzt der
Konfigurationsparameter einen Wert "openid", wird
OpenID Connect verwendet, ansonsten OAuth2.
QER\Person\OAuthAuthenticator\UserInfoEndpoint
Der Konfigurationsparameter enthält den Uniform
Resource Locator (URL) des OpenID Connect User Info
Endpunktes.
OAuth 2.0/OpenID Connect (rollenbasiert)
HINWEIS: Dieses Authentifizierungsmodul steht zur Verfügung, wenn das Identity Management
Basismodul vorhanden ist.
Das Authentifizierungsmodul verwendet die für das Authentifizierungsmodul "OAuth 2.0 / OpenID Connect"
beschriebenen Mechanismen und Konfigurationsparameter. Passen Sie die Konfigurationsparameter im
Designer an.
Der One Identity Manager ermittelt die Person, die dem Benutzerkonto zugeordnet ist. Beim rollenbasierten
Authentifizierungsmodul wird ein dynamischer Systembenutzer aus den Mitgliedschaften der Person in One
Identity Manager Anwendungsrollen ermittelt. Die Benutzeroberfläche und Bearbeitungsrechte werden
über diesen Systembenutzer geladen.Datenänderungen werden dem angemeldeten Benutzerkonto
zugeordnet. Dafür muss der Claim-Typ bekannt sein, dessen Wert zur Kennzeichnung der Datenänderungen
verwendet wird.
Synchronisationsauthenticator
Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Synchronization Editor.
Dieses Authentifizierungsmodul können Sie nicht zur Anmeldung an den One Identity ManagerAdministrationswerkzeugen verwenden. Die Anmeldung erfolgt über den Systembenutzer „sa“. Den
Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird.
Web Agent Authenticator
Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung des Web Designer, um vor
der ersten Benutzeranmeldung auf die Datenbank zuzugreifen. Dieses Authentifizierungsmodul können Sie
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
145
nicht zur Anmeldung an den One Identity Manager-Administrationswerkzeugen verwenden. Die Anmeldung der
Prozesskomponenten erfolgt über den Systembenutzer „sa“. Dieser Systembenutzer besitzt die
erforderlichen Zugriffsrechte für die One Identity Manager-Prozesskomponenten. Den Systembenutzer „sa“
sollten Sie nicht verändern, da dieser bei jeder Schemainstallation überschrieben wird.
Component Authenticator
Dieses Authentifizierungsmodul integriert das Standardverfahren zur Anmeldung der Prozesskomponenten.
Dieses Authentifizierungsmodul können Sie nicht zur Anmeldung an den One Identity ManagerAdministrationswerkzeugen verwenden. Die Anmeldung der Prozesskomponenten erfolgt über den
Systembenutzer „sa“. Dieser Systembenutzer besitzt die erforderlichen Zugriffsrechte für die One Identity
Manager-Prozesskomponenten. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder
Schemainstallation überschrieben wird.
Crawler
Dieses Authentifizierungsmodul wird vom Anwendungsserver zum Aufbau des Suchindexes für die
Volltextsuche über die Datenbank verwendet. Dieses Authentifizierungsmodul können Sie nicht zur
Anmeldung an den One Identity Manager-Administrationswerkzeugen verwenden. Die Anmeldung erfolgt über
den Systembenutzer „sa“. Den Systembenutzer „sa“ sollten Sie nicht verändern, da dieser bei jeder
Schemainstallation überschrieben wird.
Verwandte Themen
l
Aktivieren weiterer One Identity Manager Authentifizierungsmodule auf Seite 124
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Authentifizierungsmodule
146
B
Anhang: Erstellen einer One Identity
Manager-Datenbank für eine Testoder Entwicklungsumgebung aus
einer Datenbanksicherung
Um eine Testdatenbank oder eine Entwicklungsdatenbank aus einer Datenbanksicherung von
einem anderen System zu erstellen
1. Erstellen Sie eine neue Datenbank auf dem Datenbankserver in der Referenzumgebung.
2. Erstellen Sie eine Datenbanksicherung der Originaldatenbank.
3. Spielen Sie die Datenbanksicherung in die Referenzdatenbank ein.
4. Stellen Sie die Berechtigungen für die Datenbankbenutzer auf dem Datenbankserver wieder her.
5. Kompilieren Sie die Datenbank mit dem Database Compiler.
Mit dem Database Compiler passen Sie die Verbindungsdaten zur Datenbank an und kompilieren alle
Skripte und Prozesse der Datenbank.
a. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank kompilieren. Der Database
Compiler wird gestartet.
b. Auf der Startseite des Database Compiler klicken Sie Weiter.
c. Auf der Seite Verbindung zur Datenbank herstellen erfassen Sie die Verbindungsdaten zur One
Identity Manager-Datenbank und klicken Sie Weiter.
d. Es wird die Überprüfung der Datenbank-ID ausgeführt. Wird während der Prüfung festgestellt,
dass die Datenbank-ID nicht korrekt ist, werden Sie aufgefordert, eine neue Datenbank-ID
erzeugen zu lassen. Bestätigen Sie die Aufforderung mit Ja. Die Datenbank-ID wird geändert.
e. Auf der Seite Datenbankverbindungsinformationen unvollständig prüfen Sie die
Verbindungsdaten zur Datenbank und ändern Sie diese gegebenenfalls. Klicken Sie Weiter.
l
Prüfen Sie die Verbindungsparameter (Connection-String)
Die Eingabe ändern Sie über die Schaltfläche [...] neben dem Eingabefeld. Wählen Sie die
Verbindungsdaten Ihrer Datenbank.
l
Prüfen Sie den vollständiger Kundennamen.
f. Es erfolgt ein Test der Datenbankverbindung. Bestätigen Sie die Meldung mit OK.
g. Geben Sie erneut die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder
Entwicklungsumgebung aus einer Datenbanksicherung
147
klicken Sie Weiter.
h. Auf der Seite Verbindung zur Datenbank herstellen geben Sie die Verbindungsdaten zur One
Identity Manager-Datenbank an und klicken Sie Weiter.
i. Auf der Seite Kompiliervorgaben werden die zu kompilierenden Bestandteile angezeigt. Um
den Kompiliervorgang zu starten, klicken Sie Weiter.
Die Kompilierung wird gestartet. Der Vorgang kann einige Zeit in Anspruch nehmen.
j. Auf der Seite Kompilierung werden die Ergebnisse des Kompiliervorgangs angezeigt. Nach
Beenden der Kompilierung, klicken Sie Weiter.
k. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden.
6. Passen Sie im Designer die Staging Ebene der Datenbank an.
a. Wählen Sie im Designer die Kategorie Basisdaten | Datenbanken.
b. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebene auf
"Testumgebung" oder "Entwicklungssystem".
c. Wählen Sie im Designer den Menüeintrag Datenbank | Übertragung in Datenbank… und klicken
Sie Speichern.
7. Passen Sie im Synchronization Editor die Verbindungsdaten der Synchronisationsprojekte an.
Verwandte Themen
l
Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder
Produktivumgebung auf Seite 54
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder
Entwicklungsumgebung aus einer Datenbanksicherung
148
C
Anhang: Erweiterte Konfiguration
der Manager Webanwendung
HINWEIS: Der Web Installer verwendet Standardwerte für die meisten Konfigurationseinstellungen.
Meistens können Sie diese Werte beibehalten. Es wird empfohlen, dass Sie die Einstellungen mithilfe
des Manager Web Configuration Editor überprüfen.
Die Konfiguration der Manager Webanwendung erfolgt mit Hilfe des Manager Web Configuration Editor. Der
Manager Web Configuration Editor ist Teil der Webanwendung und befindet sich im Installationsverzeichnis im
Unterverzeichnis WebConfigEditor.
Um die Konfiguration durchzuführen
1. Starten Sie die Datei WebConfigEditor.exe.
Der Manager Web Configuration Editor öffnet automatisch die Datei web.config der Webanwendung.
2. Passen Sie die Konfigurationseinstellungen an.
3. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
l
Allgemein auf Seite 149
l
Datenbankverbindung auf Seite 150
l
Sicherheit auf Seite 151
l
Debugging auf Seite 152
l
Leistung auf Seite 152
l
Dateidownload auf Seite 153
l
ASP.Net Basiseinstellungen auf Seite 154
l
Applikationspool auf Seite 154
l
Plugins auf Seite 155
l
Load Balancing auf Seite 156
l
Single Sign-On auf Seite 157
Allgemein
Hier konfigurieren Sie das Erscheinungsbild der Webanwendung.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
149
Tabelle 56: Bedeutung der allgemeinen Konfigurationseinstellungen
Einstellung
Beschreibung
Kultur
Sprachkultur. Die Sprachkultur hat unter anderem Einfluss auf die Darstellung von
Datumswerten und Zahlen.
SitzungsTimeout
Zeit der Inaktivität eines Benutzers in Minuten, nachdem der Benutzer automatisch
abgemeldet werden soll. Dieser Wert ist abhängig vom Timeout-Modus und hat direkten
Einfluss auf den Speicherverbrauch und somit auf die Anwendungsperformance.
HINWEIS: Dieser Wert sollte so lang wie nötig und so kurz wie möglich gewählt
werden, da verwaiste Sitzungen Speicher verbrauchen und die
Anwendungsperformance negativ beeinflussen.
TimeoutModus
Verfahren zur Timeout-Bestimmung.
l
TimeOut
Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeout definierte Zeitspanne
ohne Aktivität des Benutzers verstrichen ist.
l
HeartBeat
Eine Sitzung wird beendet, wenn die unter Sitzungs-Timeout definierte Zeitspanne
ohne Aktivität des Benutzers verstrichen ist. Das offene Browserfenster des
Benutzers meldet sich automatisch. So dass der Timeout erst mit dem Schließen des
Browserfensters beginnt.
Visualisierung
Visualisierung der Anwendung
Dynamische
Designauswahl
Wird momentan nicht verwendet.
Portalmodus
aktivieren
Erlaubt der Anwendung in einem Frame einer anderen Anwendung verlinkt zu werden.
Datenbankverbindung
Hier legen Sie alle Datenbankparameter fest.
Tabelle 57: Bedeutung der Konfigurationseinstellungen für die Datenbankverbindung
Einstellung
Beschreibung
Datenbank
Datenbankverbindung. Sie können zwischen einer SQL Server® Datenbankverbindung,
einer Oracle Datenbankverbindung und einem Anwendungsserver wählen.
Anwendung
Anwendung, die den Inhalt der Webanwendung festlegt. In der Regel sollten Sie
Manager wählen.
Anzeigename
Name, der als Anwendungsname zum Beispiel in der Titelzeile des Browsers verwendet
werden soll.
Authentifizierung Verfahren, mit dem die Benutzer bei der Anmeldung an der Anwendung authentifiziert
werden sollen.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
150
Einstellung
Beschreibung
Schnelle
Anmeldung
(Single-Sign-On)
Angabe, ob Single Sign-On zur Anmeldung verwendet werden soll. Aktivieren Sie diese
Option, wenn Sie Single Sign-On benutzen. Die Anwendung zeigt dadurch keine
Anmeldeseite dem Benutzer und versucht dessen Identität automatisch zu ermitteln.
Verwandte Themen
l
Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136
Sicherheit
Hier legen Sie einige wichtige, die Sicherheit der Anwendung beeinflussende, Einstellungen fest.
Tabelle 58: Bedeutung der Konfigurationseinstellungen für die Sicherheit
Einstellung
Beschreibung
Installationsumgebung Standardkonfigurationen der Installationsumgebung. Diese Einstellung wirkt sich auf
andere Konfigurationsgruppen aus.
Tabelle 59: Zulässige Werte
Wert
Beschreibung
Production
Empfohlene Einstellung für alle produktiven Installationen.
Test
Einstellung, wenn die Anwendung zu Testzwecken installiert
wurde.
Development
Einstellungen, wenn die Anwendung in einem
Entwicklungsumfeld installiert wurde.
Custom
Einstellungen, wenn Sie alle Einstellungen manuell vornehmen
möchten.
Antwortverzögerung
bei ungültiger Sitzung
Zeit in Sekunden, die eine clientseitige Anfrage mit falschen Sitzungsinformationen
blockiert werden soll. Diese Einstellung soll eventuelle „Brute Force“ Angriffe
verhindern.
Anmeldung ohne
Cookies erlauben
Die Anwendung nutzt Sitzungs-Cookies zur Sicherung der Client-Server
Kommunikation. Aktivieren Sie diese Einstellung, um Benutzeranmeldungen ohne
Cookies zu erlauben. Dies wäre der Fall, falls beispielsweise Cookies im
Firmennetzwerk verboten wurden.
HINWEIS: Es ist empfohlen diese Einstellung nicht zu aktivieren.
Browserfenster nach
dem Abmelden
schließen
Angabe, ob das Browserfenster nach Abmeldung geschlossen werden soll. Ist diese
Einstellung aktiviert, versucht die Anwendung das Browserfenster des Benutzers zu
schließen, nachdem sich dieser abgemeldet hat. Diese Funktion wird nicht von
jedem Browser unterstützt oder erfolgt nur nach Nachfrage des Browsers.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
151
Debugging
Hier befinden sich nützliche Einstellungen zur Fehlersuche. Im Normalfall müssen Sie hier nichts
konfigurieren.
Tabelle 60: Bedeutung der Konfigurationseinstellungen für das Debugging
Einstellung
Beschreibung
Protokollumfang
Menge an Informationen, die protokolliert werden sollen.
HINWEIS: Im produktiven Betrieb der Anwendung sollte „Normal“
eingestellt werden.
Dokumentationsmodus
aktivieren
Angabe, ob in der Anwendungsoberfläche einige zusätzliche Informationen
angezeigt werden, beispielsweise der Name des aktiven Formulars. Die Wirkung ist
abhängig von der ausgewählten Visualisierung.
HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert
werden.
SQL Protokoll
aktivieren
Angabe, ob alle Datenbankanweisungen protokolliert werden sollen. Das Protokoll
wird in das SQL Protokollverzeichnis geschrieben.
HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert
werden.
ASP.Net
Fehlermeldungen
anzeigen
Angabe, ob ASP.Net eigene Fehlermeldungen angezeigt werden sollen.
Testmodus aktivieren
Angabe, ob automatische Tests unterstützt werden sollen.
HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert
werden.
HINWEIS: Diese Einstellung sollte im produktiven Betrieb nicht aktiviert
werden.
Verwandte Themen
l
Verzeichnisse auf Seite 154
Leistung
Hier legen Sie einige wichtige Einstellungen fest, die die Leistung der Anwendung beeinflussen.
Tabelle 61: Bedeutung der Konfigurationseinstellungen für die Leistung
Einstellung
Beschreibung
Lastverteilung Modus des integrierten Load-Balancings. In den meisten Fällen sollte „DistributeEqually“
gewählt werden.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
152
Einstellung
Beschreibung
Maximale
Auslastung
Maximale Anzahl von Benutzersitzungen, die die Anwendung akzeptieren soll. Soll eine
große Anzahl von Sitzungen ermöglicht werden, so sollte die Anwendung eventuell
mehrfach installiert werden, da die Systemressourcen für jeden Anwendungsprozess
limitiert sind.
Maximum
erzwingen
Wird diese Einstellung deaktiviert, so wird der Wert unter Maximale Auslastung unwirksam.
Er wird jedoch als Schwellwert für das Load-Balancing-Verfahren „DistributeSuccessively“
verwendet.
HTTPÜbertragung
komprimieren
Angabe, ob die Nutzung der Kompression der HTTP Kommunikation aktiviert werden soll.
Host
Segmentation
Angabe von Host Segmenten. Die Einstellung ermöglicht die Verteilung der clientseitigen
Anfragen auf mehrere Serveradressen die alle Aliase für das Webfrontend darstellen. Damit
lassen sich einige Limitierungen des Browsers umgehen und so bei schlechten
Netzverbindungen die Ladezeiten verkürzen.
HINWEIS: Die Kompression der HTTP Kommunikation muss auch für den Internet
Information Services konfiguriert worden sein. Weitere Informationen finden Sie in
der Dokumentation des Webservers.
Verwandte Themen
l
Load Balancing auf Seite 156
Dateidownload
Um den Download größerer Dateien zu ermöglichen, benötigt die Anwendung ein Verzeichnis in dem der
Download dem Benutzer zur Verfügung gestellt werden kann. Dies betrifft zum Beispiel Berichte die von der
Anwendung generiert und dann vom Benutzer als PDF gespeichert werden.
Tabelle 62: Bedeutung der Konfigurationseinstellungen für den Download von Dateien
Einstellung
Beschreibung
Dateidownload
aktivieren
Angabe, ob Dateidownload aktiviert werden soll. Aktivieren Sie diese Einstellung, um
den Download von größeren Dateien, wie Berichten, zu ermöglichen. Ist der
Dateidownload deaktiviert, stehen einige Funktionen nicht zur Verfügung.
Downloadverzeichnis
Verzeichnis, das die Anwendung nutzen soll, um die Downloads zur Verfügung zu
stellen. Die Anwendung benötigt vollständige Rechte in diesem Verzeichnis.
Säuberungsintervall
Zeitdauer in Minuten, in der nicht benötigten Datei gesucht und entfernt werden.
Bereitstellungsdauer
Zeitdauer in Minuten, in der ein Download dem Benutzer zur Verfügung gestellt
werden soll. Nach der Initiierung eines Downloads kann die Anwendung nicht mehr
feststellen, wann und ob der Download vom Benutzer durchgeführt wurde, sodass
der Download nach einer bestimmten Zeit abgebrochen werden muss.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
153
ASP.Net Basiseinstellungen
Hier sehen Sie einige Einstellungen des ASP.Net, die vom Manager Web Configuration Editor editiert
werden können.
Tabelle 63: Bedeutung der Konfigurationseinstellungen für ASP.Net
Einstellung
Beschreibung
Maximale
Anfragelänge
Maximale Größe einer Benutzeranfrage in Kilobyte (kByte). Diese limitiert unter anderem
die maximale Größe der Dateien, die hochgeladen werden können.
Maximale
Ausführungszeit
Maximale Zeit in Sekunden, die eine Benutzerabfrage bearbeitet werden darf. Das
Überschreiten dieser Zeit hat einen harten Abbruch der Benutzeranfrage zur Folge.
HINWEIS: Diese Zeit sollte nicht zu kurz festgelegt werden, da das Überschreiten
dieser Zeit einen Sitzungsverlust des Benutzers zur Folge haben kann.
Verzeichnisse
Hier konfigurieren Sie alle Verzeichnisse, die die Anwendung benötigt.
Tabelle 64: Bedeutung der Konfigurationseinstellungen für Verzeichnisse
Einstellung
Beschreibung
Applikationsverzeichnis
Vollständiger Pfad zum Installationsverzeichnis der Anwendung. Dies ist das
Verzeichnis indem sich die Datei web.config befindet.
HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.
Protokollverzeichnis
Verzeichnis, in welches das Anwendungsprotokoll geschrieben werden soll. Dieses
Verzeichnis kann relativ zum Applikationsverzeichnis angegeben werden.
Datenbank Cache
Vollständiger Pfad zum Verzeichnis, in das häufig verwendete Datenbankinhalte
zwischengespeichert werden sollen.
Skriptassembly Cache
Vollständiger Pfad zum Verzeichnis, in das die Assemblies zwischengespeichert
werden sollen.
SQL
Protokollverzeichnis
Vollständiger Pfad zum Verzeichnis, in das die Datenbankzugriffe protokolliert
werden sollen. Das SQL Protokoll ist nur zur Fehlersuche zu verwenden und muss
unter Debugging | SQL Protokoll aktivieren aktiviert werden.
Verwandte Themen
l
Debugging auf Seite 152
Applikationspool
Hier definieren Sie alle Anwendungen die zusammenarbeiten, um die Anwendung dem Benutzer in mehreren
Sprachen zur Verfügung zu stellen.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
154
l
Klicken Sie auf Applikation hinzufügen, um eine weitere Anwendung zu definieren.
l
Klicken Sie auf Applikation entfernen, um die selektierte Anwendung zu entfernen.
l
Mit den beiden Pfeilen auf der rechten Seite können Sie die Reihenfolge ändern.
HINWEIS: Es muss mindestens die aktuell konfigurierte Anwendung definiert werden. Die Reihenfolge
hat direkten Einfluss auf die Anmeldeperformance, da der Status der konfigurierten Anwendungen in
der definierten Reihenfolge abgefragt wird.
Tabelle 65: Bedeutung der Konfigurationseinstellungen für den Applikationspool
Einstellung
Beschreibung
URL für
Weiterleitung
Vollständige Adresse zur Anwendung. Diese Adresse muss auch clientseitig durch die
Browser der Benutzer auflösbar sein.
HINWEIS: Achten Sie auf korrekte Groß-/Kleinschreibung.
Authentifizierung Die Anwendungen kommunizieren über die definierte URL untereinander. Dafür werden
Berechtigungen benötigt, wenn der anonyme Zugriff nicht erlaubt ist. Die Anwendung
benötigt dafür die gleichen Rechte, die auch benötigt werden, wenn die URL per
Browser auf dem Server aufgerufen werden soll.
Verwandte Themen
l
Load Balancing auf Seite 156
Plugins
Plugins erweitern die Funktionalität der Anwendung. Sie können ein Plugin aktivieren, indem Sie die Option vor
dem Namen des Plugins aktivieren. Unterhalb eines Plugins finden Sie eventuell einige pluginspezifische
Einstellungen.
Plugin "Automatische Aktualisierung"
Dieses Plugin führt die automatische Aktualisierung durch.
Tabelle 66: Bedeutung der Konfigurationseinstellungen
Einstellung
Bedeutung
Automatische
Aktualisierung
Die automatische Aktualisierung wird aktiviert.
Schweregrad
Schweregrad einer Änderung, damit die automatische Aktualisierung gestartet
wird.
Verwandte Themen
l
Aktualisieren der Manager Webanwendung auf Seite 115
l
Automatisches Aktualisieren des One Identity Manager auf Seite 84
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
155
Load Balancing
Die Anwendung stellt ein einfaches Load Balancing zur Verfügung, um die Benutzersitzungen und damit auch
die entstehende Last auf mehrere Prozesse oder gar Server zu verteilen. Dazu muss die Anwendung mehrfach
auf demselben oder auf weiteren Servern installiert werden.
Alle zusammenarbeitenden Anwendungen werden im Applikationspool der Anwendungen bekanntgegeben,
auf denen eine Anmeldung möglich sein soll. Der ausgewählte Load Balancing Algorithmus verteilt
Benutzeranmeldungen auf die definierten Anwendungen.
HINWEIS: Auch wenn nur eine Anwendung installiert wird, muss diese in ihrem eigenen
Applikationspool definiert werden, da sonst keine Anmeldung möglich ist.
Tabelle 67: Unterstützte Algorithmen für das Load Balancing
Algorithmus
Beschreibung
DistributeEqually
Dieser Algorithmus verteilt die Benutzeranmeldungen so, dass jede Anwendung
einer Sprache möglichst die gleiche Anzahl von aktiven Benutzern besitzt. Dieser
Algorithmus ist der Standard und wird in 99% der Fälle benötigt.
DistributeSuccessively
Dieser Algorithmus verteilt die Benutzeranmeldungen nach der
Definitionsreihenfolge der Anwendungen im Applikationspool. Zuerst werden alle
Benutzeranmeldungen auf die erste Anwendung der gewünschten Sprache
weitergeleitet. Erst wenn diese ihre maximale Auslastung erreicht hat, werden die
Anmeldungen auf die nächste Anwendung weitergeleitet.
Das Load Balancing löst folgende Probleme:
l
Mehrsprachigkeit
Die Sprache wird pro Anwendung festgelegt, so dass eine Anwendung immer nur Benutzersitzungen in
einer Sprache zur Verfügung stellen kann. Sollen Benutzer sich mit mehreren Sprachen anmelden
können, so muss für jede Sprache mindestens eine Anwendung installiert werden.
l
Umgehung von Ressourcenlimitierungen
Werden mehrere Anwendungen installiert und diese unterschiedlichen Internet Information
Services Anwendungspools zugewiesen, so werden diese in separaten Prozessen gestartet. Unter 32
Bit Windows Betriebssystemen kann zum Beispiel jeder Prozess 4 GByte Speicher adressieren, aber
nur 2 GByte Speicher nutzen. Davon werden weitere 40% von ASP.Net reserviert, sodass lediglich
1,2 GByte Speicher der Anwendung zur Verfügung steht. Durch eine mehrfache Installation lassen
sich diese 1,2 GByte Speicher mehrfach nutzen und so der physikalisch verfügbare Hauptspeicher
überhaupt ausnutzen.
l
Performancesteigerung
Durch die Installation auf mehreren Servern lässt sich die Performance erheblich steigern.
l
Redundanz
Durch die mehrfache Installation bedeutet der Ausfall einer installierten Anwendung nicht zwingend
den Ausfall des gesamten Verbundes.
Verwandte Themen
l
Applikationspool auf Seite 154
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
156
Single Sign-On
Die Anwendung unterstützt einen Single Sign-On Mechanismus, der es ermöglicht einen Benutzer zu
authentifizieren, ohne dass dieser sich erneut per Benutzername und Kennwort authentifizieren muss.
Notwendige Voraussetzungen sind:
l
Deaktivierung des anonymen Zugriffs.
l
Die Konfiguration eines Single Sign-on fähigen Authentifizierungsmoduls.
l
Berechtigung in dem anwendungseigenen Anwendungspool.
Die Deaktivierung des anonymen Zugriffs erfolgt auf dem Webserver. Dadurch wird der Browser des Benutzers
gezwungen die für die Authentifizierung benötigten Informationen zu übermitteln.
1. Öffnen Sie dazu die Konfiguration der Anwendung in den Internet Information Services und aktivieren
Sie die Konfiguration zur „Authentication“.
2. Ändern Sie den Wert für Status bei „Anonymous Authentication“ auf „disabled“.
Verwandte Themen
l
Applikationspool auf Seite 154
l
Anhang: One Identity Manager Authentifizierungsmodule auf Seite 136
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Erweiterte Konfiguration der Manager Webanwendung
157
D
Anhang: One Identity Manager
Maschinenrollen und
Installationspakete
Tabelle 68: Mögliche Maschinenrollen und zugehörige Installationspakete
Maschinenrolle
Beschreibung zum Installationspaket
Workstation
Enthält alle Basiskomponenten zur Installation der Werkzeuge
auf einer administrativen Arbeitsstation.
Documentation
Administration
Enthält die One Identity Manager Administrationswerkzeuge,
die ein Standardbenutzer zur Erfüllung seiner Aufgaben mit
dem One Identity Manager benötigt. Neben den Werkzeugen,
welche die Grundfunktionalität für die Arbeit mit One Identity
Manager sicherstellen, zählt dazu auch der Manager als
zentrales Administrationswerkzeug.
Configuration
Enthält alle One Identity Manager Werkzeuge des
Standardbenutzers und zusätzliche Programme, welche zur
Konfiguration des Systems erforderlich sind. Dazu gehören
beispielsweise Configuration Wizard, Database Compiler,
Database Transporter, Crypto Configuration, Designer, Web
Designer sowie Konfigurationswerkzeuge für den One Identity
Manager Service.
Development &
Testing
Enthält die One Identity Manager Werkzeuge zur Entwicklung
und zum Testen kundenspezifischer Skripte und Formulare,
wie beispielsweise System Debugger.
Monitoring
Enthält One Identity Manager Programme zur Überwachung
des Systemstatus, wie beispielsweise Job Queue Info.
Enthält die One Identity Manager Dokumentation in
verschiedenen Sprachen.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Maschinenrollen und Installationspakete
158
Maschinenrolle
Beschreibung zum Installationspaket
Server
Enthält alle Basiskomponenten zur Einrichtung eines Servers.
Jobserver
Enthält den One Identity Manager Service und die
Basisprozesskomponenten. Zusätzliche Maschinenrollen
enthalten die Konnektoren zur Synchronisation der einzelnen
Zielsysteme.
Application Server
Enthält die One Identity Manager Komponenten zur
Einrichtung eines Anwendungsservers. Die Maschinenrollen
"Search Service" und "Search Indexing Service" werden für die
Suchindizierung für die Volltextsuche benötigt. Diese
Maschinenrollen sind immer gemeinsam zu verwenden.
One Identity Manager 7.1.2 Installationshandbuch
Anhang: One Identity Manager Maschinenrollen und Installationspakete
159
E
Anhang: Einstellungen für eine neue
SQL Server® Datenbank
Der Configuration Wizard erstellt eine neue SQL Server® Datenbank mit den folgenden Einstellungen.
Tabelle 69: Eigenschaften zur Erstellung der Datenbank
Eigenschaft
Wert
Name der Datenbank
<Datenbankname>
Verzeichnis der Datendatei
<Daten Verzeichnis>
Name der Datendatei
<Datenbankname>.mdb
Initiale Größe der Datendatei
<Initiale Größe>
Maximale Größe der Datendatei
unbegrenzt
Automatische Dateivergrößerung der Datendatei
10 %
Verzeichnis der Transaktionsprotokolldatei
<Log Verzeichnis>
Name der Transaktionsprotokolldatei
<Datenbankname>.ldb
Initiale Größe der Transaktionsprotokolldatei
1/2 <Initiale Größe>
Maximale Größe der Transaktionsprotokolldatei
unbegrenzt
Automatische Dateivergrößerung der Transaktionsprotokolldatei
10 %
Sortierung der Datenbank
SQL_Latin1_General_CP1_CI_AS
Kompatibilitätsgrad
110
Wiederherstellungsmodell
Einfach
Statistiken automatisch asynchron aktualisieren
False
Statistiken automatisch aktualisieren
True
Automatisch verkleinern
False
Statistiken automatisch erstellen
True
Verwandte Themen
l
Erstellen einer neuen SQL Server® Datenbank auf Seite 43
One Identity Manager 7.1.2 Installationshandbuch
Anhang: Einstellungen für eine neue SQL Server® Datenbank
160
Über Dell
In fo rmatio n e n zu D e ll
Dell berücksichtigt die Wünsche seiner Kunden und liefert auf der ganzen Welt innovative Technologien,
Geschäftslösungen und Dienstleistungen, die anerkannt und geschätzt werden. Weitere Informationen finden
Sie unter www.quest.com.
Kontaktaufnahme zu Dell
Bei Fragen zum Kauf von Dell Produkten oder anderen Fragen besuchen Sie
http://quest.com/company/contact-us.aspx oder rufen Sie +1 949 754 8000 an.
Technische Supportressourcen
Der technische Support steht Kunden, die Dell-Software mit einem gültigen Wartungsvertrag gekauft haben,
und Kunden zur Verfügung, die über eine Testversion verfügen. Das Support Portal ist unter
https://support.quest.com/ erreichbar.
Das Support Portal stellt Selbsthilfetools bereit, mit denen Sie Probleme schnell und eigenständig lösen
können – 24 Stunden am Tag, 365 Tage im Jahr. Darüber hinaus ermöglicht das Portal über ein OnlineServiceanforderungssystem auch direkten Zugang zu unseren Produktsupporttechnikern.
Das Portal bietet folgende Möglichkeiten:
l
Erstellen, Aktualisieren und Verwalten von Serviceanforderungen (Supportfälle)
l
Anzeigen von Knowledge Base-Artikeln
l
Erhalten von Produktbenachrichtigungen
l
Herunterladen von Software. Testsoftware finden Sie unter http://quest.com/trials.
l
Anzeigen von Videos zur Vorgehensweise
l
Teilnahme an Communitydiskussionen
l
Chatten mit einem Supporttechniker
One Identity Manager 7.1.2 Installationshandbuch
Informationen zu Dell
161
Index
HTTP Header (rollenbasiert) 136
A
Kontobasierter Systembenutzer 136
LDAP Benutzerkonto (dynamisch) 136
Analyzer 11
OAuth 2.0/OpenID Connect 136
Anmeldung 117-118, 122
OAuth 2.0/OpenID Connect
(rollenbasiert) 136
Datenbankbenutzer 118
Single Sign-on (rollenbasiert) 136
Standardverbindungsdialog 117
Synchronisationsauthenticator 136
Systembenutzerkennung 122
Systembenutzer 136
Anwendungsserver 9
aktualisieren 93
deinstallieren 94
Web Agent Authenticator 136
B
installieren 89
One Identity Manager-Werkzeuge 16
Benachrichtigungssystem 130
One Identity Manager Service 16
Berechtigungen 29, 31, 33-34
Search Indexing Service 89
C
Search Service 89
Statusanzeige 93
Clusterressource
Systemanforderungen 28
One Identity Manager Service 69
Arbeitsstation
aktualisieren 72
installieren 37
Protokolldatei 69
Configuration Wizard 11, 41, 43, 45, 48-51, 74-75,
77, 79, 160
starten 42
Systemanforderungen 23
Authentifizierungsmodul 122, 136
Active Directory® Benutzerkonto 136
Active Directory® Benutzerkonto
(dynamisch) 136
Active Directory® Benutzerkonto
(manuell) 136
Active Directory® Benutzerkonto (manuelle
Eingabe/rollenbasiert) 136
Active Directory® Benutzerkonto
(rollenbasiert) 136
aktivieren 136
Benutzerkonto 136
Benutzerkonto (rollenbasiert) 136
Component Authenticator 136
Crawler 136
freischalten 136
Crypto Configuration 11, 55
D
Database Compiler 11
Database Transporter 11, 81
Datenbank
aktualisieren 73-75, 77, 79-80
anmelden 118
entschlüsseln 59
Entwicklungsumgebung 54, 147
Hotfixpaket 73, 80
installieren 41
konfigurieren 41, 54
Konsistenzprüfung 128
Kundenkonfigurationspaket 73
HTTP Header 136
One Identity Manager 7.1.2 Installationshandbuch
Index
162
Migrationspaket 73
Sicherheitskopie 82
Migrationsprotokoll 49, 79
importieren 81
Modulübersicht 126
Inhalt anzeigen 81
Oracle 46, 48, 77
installieren 80
Produktivumgebung 54
Referenzdatenbank 147
SQL Server® 43, 45, 75, 160
I
Staging Ebene 54, 147
Installationsvoraussetzungen 18-21, 23-24, 26, 2829, 31, 33-35
Systemanforderungen 20-21
InstallState.config 85
Testumgebung 54, 147
J
Transporthistorie 49, 79-80, 126
Transportpaket 73
Job Queue Info 11
verschlüsseln 55-58
Job Service Configuration 11
Versionsstand 49, 79, 126
Jobserver
Datenbankanmeldung
aktualisieren 72, 85
Oracle 118
einrichten 63
SQL Server® 118
installieren 37, 63
Datenbankbenutzer
Berechtigungen 31, 33
Oracle 33
SQL Server® 31
Datenbankserver
kein automatisches Softwareupdate 85, 87
K
Konsistenzprüfung 128
Kundenkonfigurationspaket 73
Systemanforderungen 19
importieren 81
Designer 11
Dienstserver
Systemanforderungen 24
E
Inhalt anzeigen 81
L
Launchpad 11
License Meter 11
E-Mail Benachrichtigung 130
F
Lieferantenbenachrichtigung 61
aktivieren 61
deaktivieren 62
Fehlerbehebung 126-127
Firewall Konfiguration 35
H
prüfen 62
M
Manager 11
HistoryDB Manager 11
Manager Web Configuration Editor 149
Hotfixpaket 73
Manager Webanwendung 11
Datei
aktualisieren 115
importieren 82
One Identity Manager 7.1.2 Installationshandbuch
Index
163
deinstallieren 116
HistoryDB Manager 11
installieren 112
Identity Manager Web 11
konfigurieren 149
Installationsvoraussetzungen 23
Load Balancing 156
installieren 37, 40
Single Sign-on 157
Job Queue Info 11
Maschinenrolle 158
Job Service Configuration 11
Master SQL Server
Launchpad 11
One Identity Manager Service 51
License Meter 11
Migrationspaket 73
Manager 11
O
Report Editor 11
One Identity Manager
Software Loader 11
Schema Extension 11
aktualisieren 71
Synchronization Editor 11
Anwendungsserver 9
System Debugger 11
Architekturübersicht 9
Web Designer 11
Benutzer 29
Web Installer 11
Berechtigungen 29
Web Portal 11
Datenbank 9
One Identity Manager Schema
installieren 41
Frontends 9
Hotfix 71
One Identity Manager Service 9
installieren 36
aktualisieren 72, 85
Serverdienst 9
Benutzerkonto 51, 67
Berechtigungen 29
Service Pack 71
Clusterressource 67, 69
Systemkonfiguration
Datenbankschlüssel 60
E-Mail Benachrichtigung 130
Versionsänderung 71
Installationsvoraussetzungen 24, 34
Webserver 9
installieren 51, 63
Master SQL Server 51
One Identity Manager-Komponenten
aktualisieren 72, 85
private.key 60
installieren 37, 40
Protokolldatei 66
Schlüsseldatei 60
One Identity Manager-Werkzeuge 11
aktualisieren 85
Startart 67
Analyzer 11
starten 67
anmelden 117, 122
P
Configuration Wizard 11
Crypto Configuration 11
Ports 35
Database Compiler 11
R
Database Transporter 11
Designer 11
Report Editor 11
One Identity Manager 7.1.2 Installationshandbuch
Index
164
S
Datenbankbenutzer
Oracle 33
Schema Extension 11
SQL Server® 31
Server
Datenbankserver 19
aktualisieren 72, 85
Dienstserver 24
installieren 37, 63
One Identity Manager Service 24
Software Loader 11, 82
One Identity Manager Werkzeuge 23
Softwareaktualisierung 84
Webserver 26
aktivieren 49, 79, 84
Datei
Systembenutzer
administrativer 50
importieren 82
Kennwort 50
Sicherheitskopie 82
kundenspezifisch 50
Version 82
Inbetriebnahme 87
InstallState.config 85
Jobserver 85
Systembenutzerkennung
anmelden 122
T
One Identity Manager-Werkzeuge 85
One Identity Manager Service 85
Transporthistorie 126
Server 85
Transportpaket 73
Softwarerevision.viv 84
importieren 81
update.lock 85
Inhalt anzeigen 81
update.log 84
Updater.exe 85
Webanwendung 85
U
update.lock 85
Softwarerevision.viv 84
update.log 84
Sprache 124
Updater.exe 85
Sprachkultur 124
V
Standardverbindungsdialog 117
Synchronization Editor 11
System Debugger 11
Systemanforderungen
Anwendungsserver 28
Arbeitsstation 23
Benutzer 29
Berechtigungen 29
Datenbank
Oracle 21
SQL Server® 20
Verschlüsselung 55-60
privater Schlüssel 55
Schlüssel
ändern 57
erzeugen 56
generieren 55
Schlüsseldatei 55
Schlüsselinformation 55
Volltextsuche
Anwendungsserver 89, 107
Suchdienst 89, 107
Web Portal 107
One Identity Manager 7.1.2 Installationshandbuch
Index
165
W
Web Designer 11
Web Installer 11, 89, 94-95, 102, 112, 116
Web Portal 11
deinstallieren 102
installieren 95
konfigurieren 103
Suchdienst 107
warten 108
Webserver 9
Systemanforderungen 26
One Identity Manager 7.1.2 Installationshandbuch
Index
166