PDF herunterladen
Contents
1. lt FIPS gt bersicht Die FIPS Ver ffentlichung Federal Information Processing Standards 140 2 ist ein Sicherheitsstandard f r die kryptographischen Bibliotheken und Algorithmen die ein Produkt f r die Verschl sselung verwenden sollte Die FIPS 140 2 Verschl sselung wirkt sich auf die bermittlung aller sensiblen Daten zwischen verschiedenen CA Produktkomponenten sowie zwischen CA Produkten und Produkten von Drittanbietern aus In der FIPS Ver ffentlichung 140 2 sind die Anforderungen festgelegt die erf llt werden m ssen um innerhalb eines Sicherheitssystems zum Schutz von sensiblen nicht klassifizierten Daten kryptographische Algorithmen zu verwenden CA Identity Manager verwendet den von der US Regierung angepassten Advanced Encryption Standard AES CA Identity Manager integriert die kryptografischen Bibliotheken RSA Crypto J v3 5 und Crypto C ME v2 0 f r die best tigt wurde dass sie die Sicherheitsanforderungen f r kryptografische Module gem FIPS 140 2 erf llen Anhang A FIPS 140 2 Kompatibilit t 369 Kommunikation Kommunikation Installation FIPS Verschl sselung deckt alle Datenkommunikationen zwischen CA IdentityMinder und den folgenden Komponenten ab m CA ldentityMinder Server m Bereitstellungsserver m Bereitstellungsmanager und Clients m C Connector Server m C Connector Server Endpunkte falls vom Endpunkt unterst tzt m CA IAM Connector Server CA IAM CS m CA IAM CS Endp2. 22000s00ns00nsnnnnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnennnnnnnnnnsnsennnnnn So verbessern Sie die Leistung von Verzeichnissuchen So verbessern Sie die Leistung von gro en Suchen Kapitel 5 CA IdentityMinder Verzeichnisse Voraussetzungen zum Erstellen eines CA IdentityMinder Verzeichnisses uussususessnsnneenennennnnnnnennennnnnnnnnennnnnnn So erstellen Sie ein Verzeichnis uusnusssssessnsnnnnsennnennnnnnnennnnnnnnnnnnnennnnnnnnnnnnnennnnnnnn Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Starten des Verzeichniskonfigurations Assistenten unssesessssssnnnnenonnennnnnnnnenonnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnsennnnnn Bildschirm Select Directory Template Verzeichnisvorlage ausw hlen 222000022000cnnsssseeneneneneeenneen Fenster Verbindungsdetails za aere een nann E EE ansehe Fan aanr anna he Konfigurieren des Fensters der verwalteten Objekte zususs0002222020snnennnnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn Inhalt 7 Best tigungs Fenster iu en AEE ENTON EE eher handen Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Aktivieren von Bereitstellungsserver Zugriff cuesesesenessnsnnnsnenennnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnennnnnnnennnsennennnnnnnesennnnenn Anzeigen von CA IdentityMinder Verzeichnissen ucseeessssssssnenensssnennnnnennnnnnnsnnnnnnnnnnnnnsnnnnnnnnnnnnnsnnnse
3. m ITEM Eindeutig Kennung des Objekts das im bergeordneten Objekt enthalten ist Wenn zum Beispiel das RELATIONSHIP Objekt eine Rollenmitgliedschaft beschreibt w ren die Elemente die Rollenmitglieder m ITEM_NAME F r den Benutzer sichtbarer Name der verschachtelten Gruppe Ein g ltiges Attribut das f r das USER Objekt in der Verzeichniskonfigurationsdatei directory xmi definiert wird Keine Attribute Hinweis In der nachfolgende Liste sind f r die vorangehende Tabelle geltende Merkamle aufgef hrt m F r enabled assignable auditable workflow hidden webservice und public wird entweder true oder false protokolliert m Beim berpr fen von Aufgaben f r Rollen wird der f r Benutzer sichtbare Name protokolliert m n der Datenbank sind Mitglieds Administrator und Besitzerrichtlinien im kompilierten XML Format gespeichert Dieses Format unterscheidet sich von dem der Benutzeroberfl che an der jede Richtlinie als ein Ausdruck angezeigt wird EventState Elemente geben an wann Information zu Ereignissen aufgezeichnet werden CA IdentityMinder kann Informationen an verschiedenen Punkten Status w hrend des Lebenszyklus eines Ereignisses protokollieren Das EventState Element beinhaltet die folgenden Parameter 252 Konfigurationshandbuch So konfigurieren Sie die berpr fung name Definiert den Namen des zu berpr fenden Ereignisstatus Folgende Ereignisstatus k nnen ange
4. m WebSphere CA IdentityMinder Informationen werden in das Konsolenfenster in dem die Serverinstanz ausgef hrt wird und in die Datei was_home AppServer logs server_name SystemOut geschrieben Weitere Informationen finden Sie in der Dokumentation zu Ihrem Anwendungsserver Verzeichnisserver Protokolldatei Enth lt Informationen zu Aktivit ten im Benutzerverzeichnis Die Art der aufgezeichneten Informationen und der Speicherort der Protokolldatei h ngen vom Typ des verwendeten Verzeichnisservers ab Weitere Informationen finden Sie in der Dokumentation zum Verzeichnisserver Richtlinienserver Protokolldatei Zeigt die folgenden Informationen an wenn CA IdentityMinder mit SiteMinder integriert ist m SiteMinder Verbindungsprobleme m SiteMinder Authentifizierungsprobleme m Information zu verwalteten Objekte von CA IdentityMinder im SiteMinder Richtlinienspeicher m Kennwortrichtlinienauswertung Weitere Informationen zum Konfigurieren von SiteMinder Protokollen finden Sie im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch Richtlinienserver Profiler 270 Konfigurationshandbuch Erm glicht Ihnen bei einer Integration von CA IdentityMinder mit SiteMinder die Nachverfolgung von Diagnose und Verarbeitungsfunktionen des internen Richtlinienservers einschlie lich auf CA IdentityMinder bezogener Funktionen Weitere Informationen finden Sie unter So verfolgen Sie Komponenten und Datenfelder siehe S
5. 1 Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Die entsprechenden Registerkarten f r Ihre Administratorrechte werden angezeigt Klicken Sie auf Infrastruktur Agenten Agent Agent erstellen Das Dialogfeld Agent erstellen wird angezeigt W hlen Sie Neues Objekt des Typs Agent erstellen aus und klicken Sie dann auf OK Das Dialogfeld Agent erstellen wird angezeigt Geben Sie einen Namen und eine optionale Beschreibung ein Hinweis Verwenden Sie einen Namen den Sie leicht zum entsprechenden SharePoint Verbindungsassistenten zuordnen k nnen Kapitel 12 Integration von CA SiteMinder 297 Erstellen eines SiteMinder 4 X Agentenobjekts 8 298 Konfigurationshandbuch W hlen Sie SiteMinder W hlen Sie Web Agent aus der Dropdown Liste aus Aktivieren Sie die 4 x Funktionalit t mit den folgenden Schritten a Aktivieren Sie das Kontrollk stchen Unterst tzt 4 x Agenten Die Vertrauenseinstellungsfelder werden angezeigt b F gen Sie die Vertrauenseinstellungen durch das Ausf llen der folgenden Felder hinzu IP Adresse Enth lt die IP Adresse des Richtlinienservers Gemeinsamer geheimer Schl ssel Gibt ein Kennwort an das dem 4 x Agent Objekt zugeordnet wird Der SharePoint Verbindungsassistent ben tigt dieses Kennwort ebenfalls Geheimen Schl ssel best tigen Best tigt ein Kennwort das dem 4 x Agent Objekt zugeordnet wird Der SharePoint Verbindungsassistent ben
6. A ffnen Sie in der WebSphere Konsole ra xml B F gen Sie das verschl sselte Kennwort als Wert von config property Password hinzu 3 Starten Sie den Anwendungsserver neu 364 Konfigurationshandbuch SiteMinder Vorg nge Konfigurieren einer CA IdentityMinder Umgebung zur Verwendung von unterschiedlichen Verzeichnissen f r Authentifizierung und Autorisierung Unter Umst nden muss ein Administrator Benutzer verwalten deren Profile in einem anderen Benutzerspeicher als dem vorhanden sind der f r die Authentifizierung des Administrators verwendet wird Mit anderen Worten beim Anmelden ind der CA IdentityMinder Umgebung muss der Administrator anhand eines Verzeichnisses authentifiziert werden und in einem zweiten Verzeichnis f r die Benutzerverwaltung autorisiert werden wie in der folgenden Abbildung gezeigt Authentifizierungs Authentifizierungs verzeichnis verzeichnis Identity Manager Umgebung Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden 2 Erstellen Sie zwei Benutzerverzeichnisse Ein Verzeichnis bezieht sich
7. Ereignisse E Mail Benachrichtigungen angeben 230 Erweiterte Einstellungen Bildschirm Wissenswertes 227 EventState Element Wissenswertes 252 Exportieren Benutzerdefinierte Einstellungen 241 G GroupClassFilters 88 Gruppen Dynamische Gruppen konfigurieren 89 Selbstabonnierende Gruppen konfigurieren 149 Verschachtelte Gruppen konfigurieren 89 Gruppenname 142 H hidden ImsManagedObjectAttr Anweisungen 123 I Identit tsrichtlinien Konfiguriereinstellungen 231 Importieren Benutzerdefinierte Einstellungen 241 ImsManagedObject 118 ImsManagedObjectAttr 123 K Kennwort vergessen Aufgabe Zugreifen 198 Klasse eines Objekts 142 Klassenname 142 L LdapMatchUserDn 88 LogOffURI Wissenswertes 342 M maxlength ImsManagedObjectAttr Anweisungen 123 maxrows 58 mehrwertig 384 Konfigurationshandbuch ImsManagedObjectAttr Anweisungen 123 N Name ImsManagedObject Parameter 121 Namensparameter AuditEvent Elemente 247 EventState Elemente 252 o Objecttype ImsManagedObject Parameter 121 ffentliche Aufgaben Zugreifen 198 org Parameter Selbstabonnierende Gruppen 149 OrgClassFilters 88 P permission ImsManagedObjectAttr Anweisungen 123 physicalname ImsManagedObjectAttr Anweisungen 123 PolicyClassFilters 88 PolicyResolution 88 R READONLY 123 READWRITE 123 Rekursionsebene Feld 231 required ImsManagedObjectAttr Anweisung
8. Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a Geben Sie folgende Eigenschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben b Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen W hlen Sie den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld in den folgenden Feldern aus m _Component managed Authentication Alias Komponentenverwalteter Authentifizierungsalias m Container managed Authentication Alias Containerverwalteter Authentifizierungsalias Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder Wenn CA IdentityMinder und SiteMinder integriert sind definieren Sie eine ODBC Datenquelle auf dem SiteMinder Rechner der auf die Datenbank verweist No
9. Um Gruppen als Mitglieder anderer Gruppen einzubinden konfigurieren Sie den Support f r verschachtelte Gruppen wie in den Anweisungen zum Konfigurieren von dynamischen und verschachtelten Gruppen beschrieben DYNAMIC_GROUP_MEMBERSHIP Zeigt an welches Attribut die LDAP Abfrage speichert die eine dynamische Gruppe siehe Seite 149 generiert Hinweis Um die verf gbaren Attribute f r das Gruppenobjekt zu erweitern damit die NESTED_GROUP_MEMBERSHIP und DYNAMIC_GROUP_MEMBERSHIP Attribute eingebunden werden k nnen k nnen Sie Hilfsobjektklassen verwenden Bekannte Attribute zur Organisation Die folgenden bekannten Attribute gelten ausschlie lich f r Umgebungen die Organisationen unterst tzen ORG_DESCR Zeigt an welches Attribut die Beschreibung einer Organisation enth lt ORG_MEMBERSHIP Erforderlich Zeigt an welches Attribut das DN der bergeordneten Organisation einer Organisation enth lt ORG_MEMBERSHIP_NAME Gibt an welches Attribut den benutzerfreundlichen Namen der bergeordneten Organisation einer Organisation enth lt ORG_NAME Erforderlich Gibt an welches Attribut den Namen der Organisation enth lt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 85 Bekannte Attribute f r einen LDAP Benutzerspeicher Attribut ADMIN_ROLE_CONSTRAINT Wenn Sie eine Admin Rolle erstellen geben Sie eine oder mehrere Regeln f r die Rollenmitgliedschaft an Die Rolle wird dann allen Benutzern erte
10. m Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch m Wenn der Benutzerspeicher kein Paging unterst tzt und ein Wert f r die maximalen Such Zeilen angegeben wird verwendet CA IdentityMinder nur den Wert f r die maximalen Such Zeilen um die Suchgr e zu steuern Such Zeitlimit Gibt die H chstzahl an Sekunden an die CA IdentityMinder in einem Verzeichnis sucht bevor es die Suche beendet Failover Host Gibt den Hostnamen des Systems an in dem ein redundanter Benutzerspeicher oder ein alternativer Provisioning Server vorhanden ist falls das Prim rsystem nicht verf gbar ist Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolge herzustellen Failover Port Gibt den Port des Systems an in dem ein redundanter Benutzerspeicher oder ein alternativer Provisioning Server vorhanden ist falls das Prim rsystem nicht verf gbar ist Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolge herzustellen Schaltfl che Hinzuf gen Klicken Sie hier um zus tzliche Failover Hostnamen und Portnum
11. Geben Sie ein Profilattribut f r das Objekt im entsprechenden AuditProfile Element an Wenn zum Beispiel das AuditProfile Element das Organisationsobjekt angibt geben Sie den Namen eines Organisationsattributs als Wert f r den Parameter name an Hinweis Vergewissern Sie sich dass Sie das Profilattribut in der Verzeichniskonfigurationsdatei f r das CA IdentityMinder Verzeichnis definieren Kapitel 8 berpr fung 249 So konfigurieren Sie die berpr fung auditlevel Gibt die Art von Informationen an die f r ein Attribut aufgezeichnet werden AuditLevel Werte siehe Seite 246 f hren g ltige Werte f r das AuditLevel Element auf Die folgende Tabelle enth lt die g ltigen Attribute f r CA IdentityMinder Objekttypen G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ACCESS ROLE ACCESS TASK 250 Konfigurationshandbuch G ltige Attribute m name F r Benutzer sichtbarer Name der Rolle m description Ein optionaler Kommentar ber den Zweck der Rolle m members Die Benutzer die die Rolle verwenden k nnen m administrators Die Benutzer die Rollenmitglieder oder Administratoren zuweisen k nnen m owners Die Benutzer die die Rolle ndern k nnen m enabled Gibt an ob die Rolle aktiviert ist oder nicht m assignable Gibt an ob die Rolle von einem Administrator zugewiesen werden kann oder nicht m tasks Die Zugriffsaufgaben die der Rolle zugeordnet sind m name F r
12. Geben Sie f r jeden Richtlinienserver eine IP Adresse und Portnummern f r Authentifizierung Autorisierung und Kontodienste ein Verwenden Sie ein Semikolon um Eingaben voneinander zu trennen wie hier angezeigt lt config property gt lt config property name gt FailoverServers lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt 172 123 123 123 44441 44442 44443 172 123 123 124 33331 33332 33333 lt config property value gt lt config property gt Ausw hlen von Lastenausgleich oder Failover Das Standardverhalten von CA IdentityMinder ist die Verwendung von Round Robin Lastenausgleich mithilfe der Server die durch ConnectionURL und FailoverServers identifiziert werden Lastenausgleich tritt auf wenn Sie FailOver auf false lassen Um das Failover auszuw hlen setzen Sie FailOver auf true lt config property gt lt config property name gt FailOver lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt true lt config property value gt lt config property gt 340 Konfigurationshandbuch Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung Dieser Abschnitt enth lt detaillierte Anweisungen f r das Entfernen von CA SiteMinder aus einer vorhandenen CA
13. Hinweis Weitere Informationen zum Festlegen der Seitengr e in Such und Listenfenstern finden Sie im Administrationshandbuch Wenn die maximale Zeilenanzahl und Seitengr e an mehreren Positionen definiert werden gilt die jeweils spezifischste Einstellung Zum Beispiel haben Einstellungen f r verwaltete Objekte Vorrang vor Einstellungen auf Verzeichnisebene 156 Konfigurationshandbuch Kapitel 5 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis gibt Informationen zu einem Benutzerverzeichnis an das CA IdentityMinder verwaltet Diese Informationen beschreiben wie Objekte wie z B Benutzer Gruppen und Organisationen im Benutzerspeicher gespeichert und in CA IdentityMinder angezeigt werden Sie k nnen CA IdentityMinder Verzeichnisse im CA IdentityMinder Verzeichnisabschnitt der Management Konsole erstellen anzeigen exportieren aktualisieren und l schen Hinweis Wenn CA IdentityMinder einen Cluster von SiteMinder Richtlinienservern verwendet halten Sie alle au er einen Richtlinienserver an bevor Sie CA IdentityMinder Verzeichnisse erstellen oder aktualisieren Dieses Kapitel enth lt folgende Themen Voraussetzungen zum Erstellen eines CA IdentityMinder Verzeichnisses siehe Seite 157 So erstellen Sie ein Verzeichnis siehe Seite 158 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten siehe Seite 158 Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei sieh
14. SMDirName gt lt LDAP searchroot SMDirSearchRoot secure SMDirSecure gt lt Credentials user SMDirUser cleartext true gt SMDirPassword lt Credentials gt lt Connection host SMDirHost port SMDirPort gt lt eTrustAdmin domain SMDirETrustAdminDomain gt lt Provider gt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 55 Verbindung zum Benutzerverzeichnis Das Anbieter Element umfasst die folgenden Parameter type Gibt den Typ der Datenbank an Geben Sie LDAP Standard f r alle LDAP Benutzerspeicher an userdirectory Gibt den Namen der Benutzerverzeichnisverbindung an Hinweis Geben Sie keinen Namen f r die Benutzerverzeichnisverbindung in der Datei directory xml an CA IdentityMinder fordert Sie auf den Namen anzugeben wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen Hinweis Die Parameter sind optional LDAP Unterelement Das LDAP Unterelement enth lt die folgenden Parameter searchroot Gibt den Speicherort in einem LDAP Verzeichnis an das als Ausgangspunkt f r das Verzeichnis dient blicherweise ist dies eine Organisation O oder eine Organisationseinheit OU sicher Erzwingt eine Secure Sockets Layer SSL Verbindung zum LDAP Benutzerverzeichnis wie folgt m True CA IdentityMinder verwendet eine sichere Verbindung m False CA IdentityMinder stellt ohne SSL Standard eine Verbindung zum Benutzerverzeichnis her Hinweis Die Paramete
15. Stellt untergeordnete Ablaufverfolgungsanweisungen bereit wenn gewisse Methoden in den CA IdentityMinder Erweiterungen f r den Richtlinienserver ausgef hrt werden IM_Error Verfolgt Laufzeitfehler in den CA IdentityMinder Erweiterungen f r den SiteMinder Richtlinienserver IM_Info Stellt allgemeine Ablaufverfolgungsinformationen f r die CA IdentityMinder Erweiterungen bereit IM_Internal Verfolgt allgemeine Informationen ber interne CA IdentityMinder Vorg nge Kapitel 10 CA IdentityMinder Protokolle 271 So verfolgen Sie Komponenten und Datenfelder IM_MetaData Stellt Ablaufverfolgungsinformationen bereit wenn CA IdentityMinder die Verzeichnismetadaten verarbeitet IM_RDB_Sql Stellt Ablaufverfolgungsinformationen f r relationale Datenbanken bereit IM_LDAP_Provider Stellt Ablaufverfolgungsinformationen f r LDAP Verzeichnisse bereit IM_RuleParser Verfolgt die Analyse und Auswertung von in einer XML Datei definierten Mitglieder Besitzer und Admin Richtlinien die zur Laufzeit interpretiert werden IM_RuleEvaluation Verfolgt die Auswertung von Mitglieder Admin Besitzer und Bereichsregeln IM_MemberPolicy Verfolgt die Auswertung von Mitgliederrichtlinien einschlie lich Mitgliedschaft und Bereich IM_AdminPolicy Verfolgt die Auswertung von Admin Richtlinien IM_OwnerPolicy Verfolgt die Auswertung von Besitzerrichtlinien IM_RoleMembership Verfolgt Informationen bez glich der Rollenmitglie
16. beginnenden Wert durch das entsprechende LDAP Attribut 3 Wiederholen Sie die Schritte 1 und 2 bis Sie alle erforderlichen Werte ersetzt haben 86 Konfigurationshandbuch Beschreiben der Benutzerverzeichnisstruktur 4 Ordnen Sie optional die bekannten Attribute physischen Attributen zu sofern erforderlich 5 Speichern Sie die Verzeichniskonfigurationsdatei Beschreiben der Benutzerverzeichnisstruktur CA IdentityMinder verwendet das bekannte Attribut ORG_MEMBERSHIP um die Struktur eines Benutzerverzeichnisses zu bestimmen Das Verfahren zum Beschreiben der Benutzerverzeichnisstruktur h ngt vom Typ der Verzeichnisstruktur ab So beschreiben Sie eine hierarchische Verzeichnisstruktur Die Verzeichniskonfigurationsdatei f r eine hierarchische Verzeichnisstruktur ist bereits konfiguriert Dadurch m ssen Sie die Beschreibung des Attributs ORG_MEMBERSHIP nicht ndern So beschreiben Sie eine flache Benutzerverzeichnisstruktur Gehen Sie wie folgt vor 1 Suchen Sie die Beschreibung des Attributs ORG_MEMBERSHIP im Abschnitt f r Benutzerobjekte der Datei directory xml 2 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch den Namen des Attributs in dem die Organisation des Benutzers gespeichert ist So beschreiben Sie eine flache Verzeichnisstruktur Gehen Sie wie folgt vor 1 Suchen Sie die Beschreibung des Attributs ORG_MEMBERSHIP im Abschnitt f r Benutzerobjekte der Datei d
17. lt Container objectclass top organizationallnit attribute ou value people gt Angeben von Objektinformationen Objektinformationen werden angegeben indem Sie Werte f r verschiedene Parameter festlegen Gehen Sie wie folgt vor 1 Machen Sie das ImsManagedObject Element im Benutzerobjekt Organisationsobjekt oder Gruppenobjekt Abschnitt ausfindig Geben Sie Werte f r die folgenden Parameter an name Gibt einen eindeutigen Namen f r das verwaltete Objekt an Hinweis Dieser Parameter ist erforderlich Beschreibung Enth lt eine Beschreibung des verwalteten Objekts objectclass Gibt den Namen der LDAP Objektklasse f r den Objekttyp Benutzer Gruppe oder Organisation an Die Objektklasse bestimmt die Liste der verf gbaren Attribute f r ein Objekt Wenn Attribute aus mehreren Objektklassen f r einen Objekttyp gelten listen Sie die Objektklassen in einer durch Kommas abgegrenzten Liste auf Wenn ein Objekt zum Beispiel Attribute aus den Person Organizationalperson oder Inetorgperson Objektklassen enth lt f gen Sie diese Objektklassen wie folgt hinzu objectclass top person organizationalperson inetorgperson Jedes LDAP Verzeichnis enth lt ein Set von vordefinierten Objektklassen In der Verzeichnisserver Dokumentation finden Sie Informationen zu vordefinierten Objektklassen Hinweis Dieser Parameter ist erforderlich Kapitel 3 Verwaltung des LDAP Benutzerspeichers 61 Beschreibungen d
18. ndern das CA IdentityMinder verwendet um Management Konsolen Administratoren zu authentifizieren Administratoren k nnen auch zus tzliche Management Konsolen Administratoren im vorhandenen Authentifizierungsverzeichnis hinzuf gen Hinweis Die Optionen zum Aktualisieren der Authentifizierung gelten nur wenn systemeigene CA IdentityMinder Sicherheit die Management Konsole sch tzt Information zum Aktivieren der systemeigenen Sicherheit oder zur Verwendung einer anderen Sicherheitsmethode finden Sie im Konfigurationshandbuch Export siehe Seite 187 Exportiert die Verzeichnisdefinition als XML Datei Nachdem Sie die Verzeichniseinstellungen exportiert haben k nnen Sie die XML Datei ndern und dann erneut importieren um das Verzeichnis zu aktualisieren Sie k nnen auch die XML Datei in ein anderes Verzeichnis importieren um die gleichen Einstellungen f r dieses Verzeichnis zu konfigurieren Aktualisieren siehe Seite 188 180 Konfigurationshandbuch Erm glicht Administratoren das Hinzuf gen oder ndern von verwalteten Objektdefinitionen wie die Attribute eines Objekts Festlegen von Suchparametern und ndern von Verzeichniseigenschaften CA IdentityMinder Verzeichniseigenschaften Anzeigen von verwalteten Objekteigenschaften und Attributen Ein verwaltetes Objekt beschreibt einen Eintragstyp im Benutzerspeicher wie ein Benutzer Gruppe oder Organisation Die Eigenschaften und Attribute die sich auf ein verwaltetes Ob
19. w password p port f vlventrl ldif 3 Importieren Sie wie folgt VLV Suchdefinitionen und Indexdefinitionen ldapmodify D cn Directory Manager w password p port f vlvindex ldif 4 Halten Sie das Verzeichnis wie folgt an stop slapd 5 Erstellen Sie die Indizes mithilfe von runvlvindex 6 Starten Sie das Verzeichnis wie folgt start slapd Kapitel 3 Verwaltung des LDAP Benutzerspeichers 99 So verbessern Sie die Leistung von Verzeichnissuchen Konfigurieren von Paging Unterst tzung f r Active Directory Um die Paging Unterst tzung in Active Directory zu konfigurieren f hren Sie die folgenden allgemeinen Schritte aus m Konfigurieren Sie die Unterst tzung f r Virtual List View siehe Seite 100 m Konfigurieren Sie MaxPageSize f r Active Directory siehe Seite 101 Nur f r Verzeichnisse die vor CA IdentityMinder r12 5 SP7 erstellt wurden Konfigurieren der Unterst tzung f r Virtual List View VLV Active Directory unterst tzt Virtual List View VLV eine Methode zum Zur ckgeben von Suchergebnissen in einer bestimmten Reihenfolge oder in bestimmten Teilmengen Diese Methode unterscheidet sich von der Simple Paged Results Methode von der CA IdentityMinder ausgeht Um VLV verwenden zu k nnen m ssen Sie Berechtigungen festlegen und Indizes erstellen CA IdentityMinder beinhaltet die folgenden Dateien die Sie f r die Paging Unterst tzung konfigurieren m ssen m vlventrl ldif m vlvindex
20. Als CA IdentityMinder Systemadministrator umfassen Ihre Zust ndigkeiten Folgendes Erstellen eines CA IdentityMinder Verzeichnisses Konfigurieren eines Provisioning Verzeichnisses Konfigurieren einer CA IdentityMinder Umgebung Zuweisen eines Systemmanagers Aktivieren benutzerdefinierter Funktionen f r die Anfangsverwendung Um eine CA IdentityMinder Umgebung zu konfigurieren verwenden Sie die Management Konsole eine webbasierte Anwendung Die Management Konsole wird in die folgenden beiden Abschnitte unterteilt Verzeichnisse Verwenden Sie diesen Abschnitt um CA IdentityMinder Verzeichnisse und Provisioning Verzeichnisse zu erstellen und zu verwalten die die Benutzerspeicher f r CA IdentityMinder erl utern Umgebungen Verwenden Sie diesen Abschnitt um CA IdentityMinder Umgebungen zu erstellen und zu verwalten die die Verwaltungs und Grafikpr sentationen eines Verzeichnisses steuern Zugreifen auf die CA IdentityMinder Management Konsole Um auf die Management Konsole zuzugreifen geben Sie die folgende URL in einen Browser ein http hostname port iam immanage Hostname port 16 Konfigurationshandbuch Definiert den vollst ndig qualifizierten Dom nennamen oder die IP Adresse des Servers auf dem CA IdentityMinder installiert ist Hinweis Wenn Sie auf die Management Konsole mithilfe von Internet Explorer 7 zugreifen und der Hostname eine IPv6 Adresse enth lt wird eine falsche Anzeige der Management Konsol
21. Aufrufen des Status einer CA IdentityMinder Umgebung CA IdentityMinder umfasst eine Statusseite auf der Sie die folgenden Statusinformationen berpr fen k nnen m Das CA IdentityMinder Verzeichnis ist ordnungsgem geladen m CA IdentityMinder kann eine Verbindung mit dem Benutzerspeicher herstellen m Die CA IdentityMinder Umgebung wird ordnungsgem geladen Um auf die Statusseite zuzugreifen geben Sie die folgende URL in einem Browser ein http Hostname iam im status jsp Hostname Bestimmt den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com Kapitel 6 CA IdentityMinder Umgebungen 223 Aufrufen des Status einer CA IdentityMinder Umgebung Wenn die CA IdentityMinder Umgebung ordnungsgem gestartet wird und alle Verbindungen erfolgreich hergestellt wurden sieht die Statusseite hnlich der folgenden Abbildung aus Auf der Statusseite wird auch angegeben ob die Umgebung mit FIPS 140 2 konform ist Fehlerbehebung in CA IdentityMinder Umgebungen In der folgenden Tabelle werden m gliche Fehlermeldungen und der Fehlerbehebungsprozess beschrieben Meldung Beschreibung Nicht geladen Das CA IdentityMinder Verzeichnis das der Umgebung zugeordnet ist wurde beim Starten von CA IdentityMinder nicht geladen Not OK Nicht OK CA IdentityMinder kann keine Verbindung mit dem CA IdentityMinder Verzeichnis herstellen 224 Konfigurati
22. Die Auswahl eines Benutzerkontos das im Benutzercontainer nicht vorhanden ist kann Fehler verursachen Wenn die CA IdentityMinder Umgebung ein Benutzerverzeichnis mit einer flachen Benutzerstruktur verwaltet muss das Profil des ausgew hlten Benutzers auch die Organisation einschlie en Um sicherzustellen dass das Profil eines Benutzers richtig konfiguriert wird f gen Sie dem physischen Attribut das dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei siehe Seite 87 entspricht den Namen der Organisation des Benutzers hinzu Wenn zum Beispiel die Beschreibung des physischen Attributs dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei zugeordnet ist und der Benutzer zur Organisation Employees geh rt muss das Profil des Benutzers das Attribut Wertpaar description Employees enthalten Gehen Sie wie folgt vor 1 222 Konfigurationshandbuch Klicken Sie im CA IdentityMinder Umgebungsfenster auf den Namen der entsprechenden CA IdentityMinder Umgebung Die Eigenschaften dieses spezifischen Umgebungsfensters werden angezeigt Klicken Sie auf System Manager Systemmanager Der Systemmanager Assistent wird angezeigt Geben Sie den eindeutigen Namen des Benutzers mit der Systemmanager Rolle wie folgt ein Geben Sie f r Benutzer von relationalen Datenbanken die eindeutige Kennung f r den Benutzer oder den Wert der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordne
23. Property gt lt PropertyDict gt lt ImsManagedObject gt Suchen ber mehrere Objektklassen Wenn Sie einen Benutzer erstellen durchsucht CA IdentityMinder den Benutzerspeicher um zu berpr fen ob der Benutzer bereits vorhanden ist oder nicht Diese Suche ist auf Benutzer beschr nkt f r die eine Objektklasse in der Benutzerobjektdefinition in der Verzeichniskonfigurationsdatei directory xm l angegeben ist Wird in diesen Objektklassen kein vorhandener Benutzer gefunden versucht CA IdentityMinder den Benutzer zu erstellen Ist ein Benutzer mit der gleichen eindeutigen Kennung Benutzer ID aber einer anderen Objektklasse vorhanden schl gt die Erstellung des Benutzers am LDAP Server fehl Am LDAP Server wird daraufhin ein Fehler gemeldet CA IdentityMinder erkennt diesen Fehler jedoch nicht Es hat daher den Anschein als w rde CA IdentityMinder den Benutzer erfolgreich erstellen Um dieses Problem zu vermeiden k nnen Sie die Eigenschaft SEARCH_ACROSS_CLASSES konfigurieren durch die CA IdentityMinder bei der berpr fung auf vorhandene Benutzer diese ber alle Objektklassendefinitionen hinweg sucht Hinweis Diese Eigenschaft wirkt sich nur auf Suchen nach doppelten Benutzern aus wenn Aufgaben wie das Erstellen eines Benutzers ausgef hrt werden Bei allen anderen Suchen gelten die Objektklasseneinschr nkungen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 93 Zus tzliche Eigenschaften des CA IdentityMinder
24. Schema for Auditing is up to date 2010 12 13 10 35 53 231 WARN ims tmt CreateDatabaseSchema Schema for Report Snapshot is up to date 2010 12 13 10 35 53 231 WARN ims default Startup Step 2 Attempting to start PolicyserverService 2010 12 13 10 35 54 934 ERROR com netegrity crypto PBESHAIRCZCBCPEKCS1ZPBES128Handler com rsa jsafe JSAFE_InputException Unexpected padding chars 2010 12 13 10 35 54 965 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server Invalid credentials at com netegrity ra policyserver impl PSManagedConnectionFfactory createManagedConnection Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AdminSecret in ra xml da du du age dau Giay vik Luain iiber viin ee are re w gt lt config property gt lt config property name gt AdminSecret lt config property name gt lt config property type gt java lang String lt config property type gt lt eontig property value gt PBES x x8 9romlDOB3RawSVZJA lt config property values lt config property gt lt ceonfig property gt lt config property name gt AgentName lt config property name gt 2 Geben Sie in der Eigenschaft AdminSecret das verschl sselte Kennwort f r den in der UserName Eigenschaft verwendeten Benutzernamen an 330 Konfigurationshandbuch Weitere Informationen Fehl
25. Starten Sie den Anwendungsserver neu Installieren des Web Proxyserver Plug ins Basieren auf der installierten Anwendung installiert der Identit tsadministrator eines der folgenden Plug ins die der Webserver verwendet um Anfragen an den Anwendungsserver weiterzuleiten WebSphere siehe Seite 306 JBoss siehe Seite 314 WebLogic siehe Seite 318 Kapitel 12 Integration von CA SiteMinder 305 Installieren des Web Proxyserver Plug ins Installieren des Proxy Plug ins auf WebSphere Der Webserver auf dem Sie den Web Agent installiert haben leitet Anfragen an den Anwendungsserver weiter der den CA IdentityMinder Server hostet Das vom Anbieter zur Verf gung gestellte Webserver Proxy Plug in stellt diesen Service bereit Verwenden Sie die Verfahren die f r Ihre Bereitstellung zutreffen 1 Konfigurieren Sie den IBM HTTP Server siehe Seite 306 Alle Webserver 2 Konfigurieren Sie das Proxy Plug in siehe Seite 307 Alle Webserver 3 Eine der folgenden m Abschlie en der Konfiguration auf IIS siehe Seite 311 m Abschlie en der Konfiguration auf iPlanet oder Apache siehe Seite 313 Konfigurieren des IBM HTTP Servers F r alle Webserver installieren Sie das Proxy Plug in und verwenden den Befehl configurewebserver Gehen Sie wie folgt vor 1 Installieren Sie das Proxy Plug in von der WebSphere Startseite 2 F gen Sie den Webserver zur WebSphere Zelle hinzu indem Sie den Befehl configurewebserverl b
26. Verwalten von Konfigurationen Sie k nnen jetzt einen Teil oder die gesamte Umgebung als PDF siehe Seite 216 oder XML siehe Seite 217 ver ffentlichen Wenn Sie eine zweite Umgebung laden k nnen Sie die Umgebungen vergleichen und Komponenten zwischen ihnen verschieben siehe Seite 215 Beispiel Config Xpress nach dem Laden einer Baseline Konfigurationsdatei Dieser Screenshot zeigt wie abh ngige Objekte in Config Xpress angezeigt werden Econfig Xpress MEE CA Config Xpress Load Environment a Show XML d Generate Report h Compare o About r12sp7base Environment 9 Attribute Event listeners 2 name Business Logic Task Handlers 5 Logical Attribute Handlers 6 tag Workflow Participant Resolver 1 screendefinition Emall 21 object Workflow Mapping 11 Audit Broviskoning o Object Dependencies Screens 1623 Modified 0 New 0 pprove Certify Role 5 Tasks Fields Config Annrnvr Delete Ornanizat nn F Tasks 568 Modified 0 New 0 Admin Roles 86 Modified 0 N Approve Delete Group Access Roles 0 Provsioning Roles 0 Identity Policies 0 Policy Xpress 19 Value Approve Delete Group Profile ApproveDeleteGroupProfile StandardProfile GROUP Screen Directory Attribute mip ApproveDeleteGroupPro maj KORG_MEMBERSHIPS GROUP_NAME LT i me x Modified 5 New 214 Konfig
27. die f r den Provisioning Server relevant sind um zus tzliche Konten in verwalteten Endpunkten zu verwalten Es kann nur ein Provisioning Verzeichnis mit einer Umgebung verkn pft werden Hinweis Weitere Informationen zum Provisioning Server oder zum Provisioning Verzeichnis k nnen Sie dem Installationshandbuch entnehmen Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 13 Komponenten der CA IdentityMinder Umgebung Benutzerkonsole Erm glicht CA IdentityMinder Administratoren Aufgaben in einer CA IdentityMinder Umgebung auszuf hren Aufgaben und Rollendefinitionen Bestimmen Sie Benutzerberechtigungen in CA IdentityMinder und anderen Anwendungen Die Aufgaben und Rollendefinitionen sind anf nglich in der CA IdentityMinder Umgebung verf gbar wo sie Benutzern zugewiesen werden k nnen Sie k nnen die Standardrollen und aufgaben mithilfe der Benutzerkonsole anpassen Self Service Damit k nnen Benutzer ihre eigenen Konten zum Zugriff auf Ressourcen wie etwa eine Kundenwebseite erstellen und verwalten Mit dem Self Service k nnen Benutzer au erdem ein tempor res Kennwort f r den Fall anfordern dass das aktuelle Kennwort vergessen wurde Workflow Definitionen CA IdentityMinder schlie t Standard Workflow Definitionen ein die die Genehmigung und Benachrichtigung f r Benutzerverwaltungsaufgaben wie etwa Erstellen von Benutzerprofilen oder Zuweisen von Benutzern zu Rollen oder Gruppen automatisieren Sie
28. ffnen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas SiteMinder verwendet ein Authentifizierungsschema um Benutzeranmeldeinformationen zu erfassen und die Identit t eines Benutzers bei der Anmeldung zu bestimmen Sobald ein Benutzer identifiziert ist generiert CA IdentityMinder eine pers nliche Benutzerkonsole die auf den Berechtigungen des Benutzers basiert Sie k nnen ein SiteMinder Authentifizierungsschema implementieren um eine CA IdentityMinder Umgebung zu sch tzen Zum Beispiel k nnen Sie ein Authentifizierungsschema f r HTML Formulare implementieren das Anmeldeinformationen in einem HTML Formular erfasst Das HTML Formulars l sst Sie eine Anmeldungsseite erstellen die Markenelemente wie z B ein Unternehmenslogo einschlie en kann und auf die Seiten f r Selbstregistrierung und vergessenene Kennw rter verlinkt ist 342 Konfigurationshandbuch SiteMinder Vorg nge Hinweis Weitere Informationen zu Authentifizierungsschemen finden Sie im Konfigurationshandbuch f r CA SiteMinder Richtlinienserver Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnitts
29. fung die folgenden Schritte aus Kapitel 8 berpr fung 243 So konfigurieren Sie die berpr fung 1 2 Konfigurieren Sie eine Auditeinstellungsdatei siehe Seite 244 Aktivieren Sie die berpr fung siehe Seite 254 f r die Aufgaben die CA IdentityMinder berpr ft Hinweis Mithilfe von SiteMinder k nnen Sie auch Zugriffsteuerungsdaten berwachen Weitere Informationen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Konfigurieren von Auditeinstellungen Sie konfigurieren Auditeinstellungen in einer Auditeinstellungsdatei Eine Auditeinstellungsdatei bestimmt den Umfang und die Art der Informationen die CA IdentityMinder berpr ft Sie k nnen eine Auditeinstellungsdatei wie folgt konfigurieren Aktivieren Sie die berpr fung f r eine CA IdentityMinder Umgebung Aktivieren Sie die berpr fung f r einige oder alle von Admin Aufgaben generierten CA IdentityMinder Ereignisse Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf zum Beispiel wenn ein Ereignis abgeschlossen oder abgebrochen wird Protokollieren Sie Informationen zu Attributen die an einem Ereignis beteiligt sind Sie k nnen zum Beispiel Attribute protokollieren die sich w hrend eines ModifyUserEvent Ereignisses ndern Legen Sie die Auditebene f r die Attributprotokollierung fest Gehen Sie wie folgt vor 1 Exportieren Sie die aktuellen Auditeinstellungen in eine Auditeinst
30. gen d Geben Sie den Pfad der iisproxy dIl Datei ein e Geben Sie jsp in das Feld Erweiterung ein f Deaktivieren Sie die Option Verifizieren dass Datei existiert Wiederholen Sie Schritt 11 f r die Erweiterungen do und wiforward F gen Sie eine Webdiensterweiterung f r wlIforward hinzu kleingeschrieben die auf den Speicherort von iisforward dIl verweist Legen Sie den Erweiterungsstatus auf Zugelassen fest Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung um sie zum Status Zugelassen zu ndern Starten Sie den IIS Webserver neu Konfigurieren des Proxy Plug ins f r iPlanet Um das Plug in zu konfigurieren ndern Sie die folgenden iPlanet Konfigurationsdateien magnus conf obj conf Die iPlanet Konfigurationsdateien haben strikte Regeln ber die Textposition Um Probleme zu vermeiden beachten Sie die folgenden Punkte 322 Konfigurationshandbuch Entfernen Sie zus tzliche f hrende und nachgestellte Leerzeichen Zus tzliche Leerzeichen k nnen dazu f hren dass Ihr iPlanet Server fehlschl gt Wenn Sie mehr Zeichen eingeben m ssen als auf eine Zeile passen geben Sie einen umgekehrten Schr gstrich am Ende dieser Zeile ein und fahren auf der folgenden Zeile mit der Eingabe fort Der umgekehrte Schr gstrich wird direkt zwischen dem Ende der ersten Zeile und dem Anfang der folgenden Zeile eingef gt Wenn ein Leerzeichen zwischen den W rtern am Ende der ersten
31. mit SiteMinder Verbindung aufzunehmen Wenn die JCE Bibliotheken installiert werden sehen Sie w hrend des CA IdentityMinder Anwendungsstarts die folgenden Meldungen 2012 07 06 11 23 56 079 WARN ims default main Startup Step 2 Attempting to start PolicyServerService 2012 07 06 11 23 56 081 WARN ims default main Unlimited Strength Java Crypto Extensions enabled TRUE Andernfalls ist der Wert f r den Eintrag Unlimited Strength Java Crypto Extensions enabled false CA IdentityMinder kann dann keine Verbindung mit dem Richtlinienserver aufnehmen 302 Konfigurationshandbuch Neustarten des Anwendungsservers Neustarten des Anwendundsservers Der Neustart aktualisiert den Anwendungsserver mit den nderungen Der Identit tsadministrator validiert dass der Wechsel erfolgreich war und dass eine ordnungsgem e Verbindung zum SiteMinder Richtlinienserver besteht Gehen Sie wie folgt vor 1 2 Verwenden Sie den Services Bereich um CA IdentityMinder neu zu starten wenn Ihr Anwendungsserver als Service ausgef hrt wird berpr fen Sie server log um die Verbindung zu validieren Konfigurieren einer Datenquelle f r SiteMinder Wenn Ihre CA IdentityMinder Umgebung eine relationale Datenbank f r seinen Identit tsspeicher verwendet ist der Identit tsadministrator erforderlich um einen zus tzlichen Prozess auf dem SiteMinder Richtlinienserver abzuschlie en SiteMinder erfordert dass eine lokale Datenquel
32. ndige Konfiguration oder nur die nderungen seit der Installation erfassen m chten Dieser Bericht ist als zuk nftige Referenz oder als Teil eines Systemwiederherstellungsplans hilfreich Gehen Sie wie folgt vor 1 Laden Sie eine Umgebung in Config Xpress 2 Klicken Sie auf Generate Report Bericht generieren Im Dialogfeld Generate PDF Report PDF Bericht generieren k nnen Sie die Schriftgr e ndern und Text f r den Titel oder Deckbl tter eingeben Sie k nnen hier auch ausw hlen ob Sie alle Konfigurationselemente oder nur neue bzw ge nderte Elemente einschlie en m chten Wichtig Wenn Sie nicht auf das Feld Only include details of new or modified tasks screens roles Nur Details zu neuen oder ge nderten Aufgaben Fenstern Rollen einschlie en klicken enth lt der Bericht die gesamte Umgebung Die PDF Datei ist dann ca 2 000 Seiten lang und ber 40 MB gro 3 Klicken Sie auf OK 4 Geben Sie einen Dateinamen ein und speichern Sie den Bericht Der Speichervorgang kann ein paar Minuten dauern oder viel l nger wenn Sie die gesamte Umgebung ver ffentlichen Der Bericht wird in einem PDF Reader ge ffnet 216 Konfigurationshandbuch Verwalten von Konfigurationen Anzeigen der XML Konfiguration EdConfig Xpress rilep base Show Source XML Invwronment 4 fvent stener 2 Business Logh Task m Logic al Attribute Wand Work flow Participant ma 21 Work flor Mappang amp
33. nicht ein Wenn zum Beispiel die Objektklasse des Organisationsobjekts Top organizationalUnit lautet geben Sie die Objektklasse folgenderma en an lt ImsManagedObject name Organization description My Organizations objectclass organizationallnit objecttype ORG gt Das Einbinden von Top kann zu unvorhergesehenen Suchergebnissen f hren Oracle Internet Directory berlegungen Wenn Sie Attribute f r den Benutzerspeicher eines Oracle Internet Directory OID beschreiben geben Sie LDAP Attribute ausschlie lich mithilfe kleingeschriebener Buchstaben an Bekannte Attribute f r einen LDAP Benutzerspeicher Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder Sie werden wie in der folgenden Syntax angezeigt identifiziert ATTRIBUTENAME In dieser Syntax muss ATTRIBUTENAME gro geschrieben werden Ein bekanntes Attribut wird einem physischem Attribut mithilfe einer Attributbeschreibung siehe Seite 123 zugeordnet In der folgenden Attributbeschreibung wird das Benutzerkennwort des Attributs dem bekannten Attribut PASSWORD zugeordnet sodass CA IdentityMinder den Wert unter userpassword wie folgt als Kennwort betrachtet Kapitel 3 Verwaltung des LDAP Benutzerspeichers 79 Bekannte Attribute f r einen LDAP Benutzerspeicher lt ImsManagedObjectAttr physicalname userpassword displayname Password description Password valuetype String required false multivalued false wellkn
34. r das entsprechende CA IdentityMinder Verzeichnis 2 Entfernen Sie in der directory xml Datei die Datenklassifizierung AttributeLevelEncrypt f r Attribute die Sie entschl sseln m chten 3 Wenn Sie erzwingen m chten dass CA IdentityMinder zuvor verschl sselte Werte entfernt f gen Sie das Datenklassifizierungs Attribut PreviouslyEncrypted hinzu Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name PreviouslyEncrypted gt 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort entschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Benutzerdefinierte Vorg nge Sie k nnen f r bestimmte verwaltete Objekte benutzerdefinierte Vorg nge definieren um die folgenden Aufgaben auszuf hren m Verwenden von gespeicherten Prozeduren m Optimieren von Abfragen f r die Datenbankstruktur m Abrufen einer von der Datenbank generierten eindeutigen Kennung Benutzerdefinierte Vorg nge werden nur auf Attribute angewandt 134 Konfigurationshandbuch Operation Element So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beachten Sie beim Angeben benutzerdefinierter Vorg nge die folgenden Punkte m Benutzer die benutzerdefini
35. r die Bereitstellungsdom ne haben Kennwort Gibt das Kennwort f r den globalen Benutzer an den Sie im Feld Benutzername angegeben haben Kennwort best tigen Geben Sie das in das Feld Kennwort eingegebene Kennwort erneut zur Best tigung ein Sichere Verbindung Zeigt an ob CA IdentityMinder eine sichere Verbindung verwendet W hlen Sie diese Option f r Active Directory Benutzerspeicher aus Verzeichnissuchparameter maxrows definiert die H chstanzahl von Ergebnissen die CA IdentityMinder zur ckgeben kann wenn man ein Benutzerverzeichnis durchsucht Dieser Wert berschreibt ein im LDAP Verzeichnis festgelegtes Limit Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der maxrows Parameter beschr nkt nicht die Anzahl von Ergebnissen die im CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign 10 Anzeigen von CA IdentityMinder Verzeichnissen timeout bestimmt die maximale Anzahl von Sekunden die CA IdentityMinder ein Verzeichnis durchsucht bevor es die Suche beendet Failover Verbindungen Hostname und Portnummer von einem oder mehreren optionalen Systemen die alternative Bereitstellungsserver sind Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder mit den
36. sortiert CA IdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach dem cn Attribut Primary Table Prim re Tabelle nur f r relationale Datenbanken Gibt die Tabelle an die die eindeutige Kennung f r das verwaltete Objekt enth lt Kapitel 5 CA IdentityMinder Verzeichnisse 181 CA IdentityMinder Verzeichniseigenschaften Maximale Zeilenzahl Gibt die H chstanzahl von Ergebnissen an die CA IdentityMinder zur ckgeben kann wenn man nach Objekten dieses Typs sucht Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen im LDAP Verzeichnis berschreiben die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Der Benutzerspeicher den CA IdentityMinder verwaltet muss Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch Container Eigenschaften nur f r LDAP Verzeichnisse In einem LDAP Verzeichnis enth lt die Container Gruppe Objekte von einem bestimmten Typ Wenn ein Container angegeben wird verar
37. sp_setbusinessnumber und sp_deletebusinessnumber sind benutzerdefinierte gespeicherte Prozeduren m Der Wert der vom Get Vorgang zur ckgegeben wird wird dem Attribut BUSINESS_NUMBER zugeordnet m Das Fragezeichen kennzeichnet Substitutionen die zur Laufzeit vor Ausf hrung der Abfrage vorgenommen werden Zum Beispiel wird im Get Vorgang das bekannte Attribut USER_ID an die gespeicherte Prozedur sp_getbusinessnumber bergeben Kapitel 4 Verwaltung relationaler Datenbanken 137 Verbindung zum Benutzerverzeichnis Verbindung zum Benutzerverzeichnis CA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her um Informationen wie etwa zu Benutzer Gruppe oder auch organisatorische Information wie in der folgenden Darstellung angezeigt zu speichern Identity Manager Benutzer speicher Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich Allerdings m ssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhanden sein das einen vollst ndig qualifizierten Dom nennamen besitzt FQDN Eine Liste der unterst tzten Verzeichnis und Datenbanktypen finden Sie ber die CA IdentityMinder Support Matrix auf der CA Support Website Sie konfigurieren eine Verbindung zum Benutzerspeicher wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsole erstellen Wenn Sie die Verzeichniskonfiguration exportieren nachdem Sie ein CA IdentityMinder Verzeich
38. sselten Werten im Benutzerspeicher erstellt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 75 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Gehen Sie wie folgt vor 1 F hren Sie eine der folgenden Aufgaben aus m Erstellen Sie ein CA IdentityMinder Verzeichnis m Aktualisieren Sie ein vorhandenes Verzeichnis indem Sie die Verzeichniseinstellungen exportieren F gen Sie dem Attribut das Sie in der directory xml Datei verschl sseln m chten die folgenden Datenklassifizierungs Attribute hinzu AttributeLevelEncrypt Behalten Sie den Attributwert im Benutzerspeicher in verschl sselter Form bei sensitive optional Blendet den Attributwert in CA IdentityMinder Fenstern aus Ein Kennwort wird zum Beispiel als Reihe von Sternchen angezeigt Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt DataClassification name sensitive gt Wenn Sie ein CA IdentityMinder Verzeichnis erstellt haben ordnen Sie das Verzeichnis einer Umgebung zu Um zu erzwingen dass CA IdentityMinder alle Werte sofort verschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Entfernen der Verschl sselung
39. 2 F hren Sie in den Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei die folgenden Aktionen durch m ndern Sie die Standardattributbeschreibungen um Ihre Verzeichnisattribute zu beschreiben m Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhandene Beschreibung kopieren und Werte nach Bedarf ndern Hinweis Nehmen Sie an dass eine neue Attributbeschreibung erstellt und ein physisches Attribut angegeben wird Stellen Sie sicher dass das physische Attribut in der Objektklasse oder Klassen vorhanden ist die Sie f r den Objekttyp angegeben haben 70 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Optional ndern Sie die Anzeigeeinstellungen siehe Seite 74 f r das Attribut um ein Anzeigen sensibler Information wie etwa Kennw rter oder Geh lter in der Benutzerkonsole zu verhindern Optional Konfigurieren Sie eine Standardsortierreihenfolge Wenn Sie ein Verzeichnis mit einer flachen Struktur oder einer flachen Benutzerstruktur oder ein Verzeichnis das Organisationen ausschlie t verwalten navigieren Sie zum Abschnitt Beschreiben der Benutzerverzeichnisstruktur siehe Seite 87 Verwalten vertraulicher Attribute CA IdentityMinder bietet die folgenden Methoden f r die Verwaltung vertraulicher Attribute Datenklassifizierungen f r Attribute Mithilfe von Datenklassifizierungen k
40. 232 Benachrichtigungsregeln siehe Seite 233 Organisationsauswahl siehe Seite 233 Bereitstellung siehe Seite 234 Benutzerkonsole siehe Seite 237 Webservices siehe Seite 239 Workflow Properties Workflow Eigenschaften siehe Seite 240 Work Item Delegation Arbeitselement delegieren siehe Seite 240 Workflow Participant Resolvers Workflow Teilnehmer Resolver siehe Seite 241 Importieren Exportieren von benutzerdefinierten Einstellungen siehe Seite 241 Fehler wegen unzureichendem Speicher in Java Virtual Machine siehe Seite 242 In berpr fungsprotokollen werden Datens tze f r die in einer CA IdentityMinder Umgebung ausgef hrten Vorg nge aufgezeichnet Sie k nnen die Daten in den berpr fungsprotokollen nutzen um die Systemaktivit t zu berwachen CA IdentityMinder berpr ft Ereignisse Ein Ereignis ist ein Vorgang der von einer CA IdentityMinder Aufgabe generiert wird Eine Aufgabe kann mehrere Ereignisse generieren Zum Beispiel kann die CreateUser Aufgabe die Ereignisse CreateUserEvent und AddToGroupEvent generieren Kapitel 7 Erweiterte Einstellungen 227 Business Logic Task Handler Standardm ig exportiert CA IdentityMinder alle Ereignisinformationen in die Audit Datenbank Um Typ und Umfang der von CA IdentityMinder aufgezeichneten Ereignisinformationen zu steuern f hren Sie die folgenden Aufgaben aus m Aktivieren Sie die berpr fung f r CA IdentityMinder Admin Aufgaben
41. 3 Verwaltung des LDAP Benutzerspeichers 73 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Konfigurieren von Datenklassifizierungs Attributen Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut 2 F gen Sie das folgende Attribut nach der Attributbeschreibung hinzu lt DataClassification name parameter gt parameter Stellt einen der folgenden Parameter dar sensitive vst_hide ignore_oNn_copy AttributeLevelEncrypt PreviouslyEncrypted Eine Attributbeschreibung die das Datenklassifizierungs Attribut vst_hide enth lt entspricht zum Beispiel in etwa dem folgenden Code lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 gt lt DataClassification name vst_hide gt Verschl sselung auf Attributebene Sie k nnen ein Attribut im Benutzerspeicher verschl sseln indem Sie eine AttributeLevelEncypt Datenklassifizierung f r dieses Attribut in der Verzeichniskonfigurationsdatei directory xml angeben Wenn die Verschl sselung auf Attributebene aktiviert ist verschl sselt CA IdentityMinder den Wert dieses Attributs bevor es im Benutzerspeicher gespeichert wird Das Attribut wird in der Benutzerkonsole als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl s
42. Beispiel ohne Organisations Support konfiguriert 5 Definieren Sie eine JDBC Datenquelle mit der Bezeichnung neteautoDS die auf die NeteAuto Datenbank verweist Der Verfahren zum Konfigurieren einer Datenquelle h ngt vom Typ des Anwendungsservers ab auf dem CA IdentityMinder installiert ist Der Abschnitt So_ wird eine JDBC Datenquelle erstellt siehe Seite 107 umfasst anwendungsserverspezifische Anweisungen zum Erstellen einer JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses F hren Sie das folgende Verfahren durch um das CA IdentityMinder Verzeichnis zu erstellen Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http im_server port iam immanage im_server Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers 2 Klicken Sie auf Directories Verzeichnisse Das Fenster der CA IdentityMinder Verzeichnisse wird angezeigt 3 Klicken Sie auf Neu um den CA IdentityMinder Verzeichnisassistenten zu starten 34 Konfigurationshandbuch So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Suchen Sie nach einer der folgenden XML Dateien der Verzeichniskonfiguration und klicken Sie auf Weiter m Sun Java Systeme admin_tools samples NeteAuto NoOrganization directory xml m SQL Server Datenbanken admin_tools sam
43. Benutzernamens oder Kennworts Dar ber hinaus werden mit Invalide anonyme Anmeldeversuche gekennzeichnet So konfigurieren Sie Anmeldungs und Abmeldungsereignisse von Benutzern 1 W hlen Sie in der Management Konsole Advanced Settings aus 2 Exportieren Sie die aktuellen Auditeinstellungen in eine Auditeinstellungsdatei im XML Format 3 Konfigurieren Sie die Auditeinstellungen in den XML Dateien Der folgende Code zeigt beispielhaft wie Sie Anmeldungs und Abmeldungsereignisse aktivieren lt AuditEvent name Login enabled true auditlevel BOTHCHANGED gt lt AuditProfile objecttype LOGIN auditlevel BOTHCHANGED gt lt EventState name COMPLETE severity NONE gt lt EventState name INVALID severity CRITICAL gt lt AuditEvent gt lt AuditEvent name Logout enabled true auditlevel BOTHCHANGED gt lt AuditProfile objecttype LOGOUT auditlevel BOTHCHANGED gt lt EventState name COMPLETE severity NONE gt lt EventState name INVALID severity CRITICAL gt lt AuditEvent gt Geben Sie true ein um das Ereignis zu protokollieren und false um das Protokollieren des Ereignisses zu deaktivieren 4 Importieren Sie die ge nderte XML Auditeinstellungsdatei Kapitel 8 berpr fung 255 Bereinigen der Audit Datenbank Die Anmeldungs und Abmeldungsereignisse von Benutzern werden konfiguriert Bereinigen der Audit Datenbank In der berpr fungsdatenbank k nnen sich Datens tze ansa
44. Benutzers im Arbeitsspeicher CA IdentityMinder verwendet die Repr sentation im Arbeitsspeicher um die Attributwerte in Bezug auf die Richtlinienregeln zu vergleichen Dadurch wird die Anzahl der Aufrufe beschr nkt die CA IdentityMinder direkt im Benutzerspeicher durchf hrt Sie aktivieren die Option f r die Auswertung im Arbeitsspeicher f r eine Umgebung in der Management Konsole Gehen Sie wie folgt vor 1 ffnen Sie die Managementkonsole 2 W hlen Sie Environments Umgebungen Environment Name Umgebungsname Advanced Settings Erweiterte Einstellungen Miscellaneous Verschiedene aus Die Seite User Defined Properties Benutzerdefinierte Eigenschaften wird ge ffnet 3 Geben Sie den folgenden Text im Feld Property Eigenschaft ein UselnMemoryEvaluation 4 Geben Sie eine der folgenden Zahlen im Feld Value Wert ein 0 Die Auswertung im Arbeitsspeicher ist deaktiviert 1 Die Auswertung im Arbeitsspeicher ist aktiviert Wenn diese Option festgelegt ist wird beim Attributvergleich die Gro Kleinschreibung ber cksichtigt 3 Die Auswertung im Arbeitsspeicher ist aktiviert Wenn diese Option festgelegt ist wird beim Attributvergleich die Gro Kleinschreibung nicht ber cksichtigt 5 Klicken Sie auf Hinzuf gen 218 Konfigurationshandbuch Role and Task Settings Rollen und Aufgabeneinstellungen CA IdentityMinder f gt die neue Eigenschaft in der Liste der vorhandenen Eigenschaften
45. Benutzerspeicher und reduziert Konfigurationsfehler Bevor Sie den Assistenten starten m ssen Sie zun chst die Konfigurationsvorlage f r das CA IdentityMinder LDAP Verzeichnis hochladen Diese Vorlagen sind mit bekannten und erforderlichen Attributen vorkonfiguriert Nach dem Eingeben von Verbindungsdetails f r Ihren LDAP Benutzerspeicher oder das Bereitstellungsverzeichnis k nnen Sie LDAP Attribute ausw hlen bekannte Attribute verbinden und Metadaten f r die Attribute eingeben Wenn Sie die Attribute verbunden haben klicken Sie auf Fertig stellen um das Verzeichnis zu erstellen 158 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Starten des Verzeichniskonfigurations Assistenten ber den Verzeichniskonfigurations Assistenten k nnen Administratoren eine CA IdentityMinder Vorlage ausw hlen und diese Vorlage f r die Verwendung in der eigenen Umgebung ndern Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Directories Verzeichnisse und w hlen Sie Create from Wizard ber Assistenten erstellen aus Sie werden aufgefordert eine Verzeichniskonfigurationsdatei auszuw hlen um den Benutzerspeicher zu konfigurieren Klicken Sie auf Durchsuchen um die Konfigurationsdatei mit der der Benutzerspeicher oder der Bereitstellungsserver konfiguriert wird im folgenden Standardverzeichnis auszuw hlen und klicken Sie auf Weiter admin too
46. Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Klicken Sie auf den Namen der CA IdentityMinder Umgebung die Sie starten m chten Das Fenster CA IdentityMinder Environment Properties Umgebungseigenschaften wird angezeigt W hlen Sie eine der folgenden Optionen aus Restart Environment Umgebung neu starten Wird verwendet um eine Umgebung anzuhalten und zu starten Beenden H lt eine Umgebung an die gegenw rtig ausgef hrt wird Starten Startet eine Umgebung die gegenw rtig nicht ausgef hrt wird Kapitel 6 CA IdentityMinder Umgebungen 209 Verwalten von Umgebungen L schen einer CA IdentityMinder Umgebung Verwenden Sie diesen Vorgang um eine CA IdentityMinder Umgebung zu entfernen Hinweis Wenn CA IdentityMinder mit SiteMinder f r die erweiterte Authentifizierung integriert wird l scht CA IdentityMinder auch die SiteMinder Richtliniendom ne die die Umgebung und die Standard Authentifizierungsschemen sch tzt die f r die Umgebung erstellt werden Gehen Sie wie folgt vor 1 Aktivieren Sie im Fenster Environments Umgebungen das Kontrollk stchen f r die zu l schenden CA IdentityMinder Umgebungen 2 Klicken Sie auf L schen In CA IdentityMinder wird eine Best tigungsmeldung angezeigt 3 Klicken Sie auf OK um den L schvorgang zu best tigen 210 Konfigurationshandbuch Verwalten von Konfigurationen Verwalten von Konfiguration
47. Element Table in der Verzeichniskonfigurationsdatei um die Tabellen zu definieren in denen Informationen zu einem verwalteten Objekt gespeichert sind Jedes verwaltete Objekt muss eine prim re Tabelle aufweisen die die eindeutige Kennung f r das Objekt enth lt Zusatzinformationen k nnen in sekund ren Tabellen gespeichert werden Die folgende Abbildung zeigt einer Datenbank bei der Benutzerinformationen in einer prim ren und sekund ren Tabelle gespeichert sind Sekund re Tabelle loginid email lastname postaladdress firstname city password state empnumber postalcode title busphone department mobilephone manager disabled passwordhint startdate Wenn die Informationen zu einem Objekt in mehreren Tabellen gespeichert sind erstellen Sie ein Element Table f r jede Tabelle Verwenden Sie das Reference Element in dem Table Element f r eine sekund re Tabelle um die Beziehung zur prim ren Tabelle zu definieren Wenn zum Beispiel grundlegende Informationen ber einen Benutzer in tblUsers und Adressinformation in tblUserAddress gespeichert werden w rden die Tabellendefinitionen f r das verwaltete Objekt Benutzer den folgenden Eintr gen entsprechen lt Table name tblUsers primary true gt lt Table name tblUserAddress gt lt Reference childcol userid primarycol id gt lt Table name gt Kapitel 4 Verwaltung relationaler Datenbanken 119 So beschreiben Sie eine Datenbank in einer V
48. Erstellen oder ndern von Admin Rollen und Aufgaben oder die Nutzung einer Erstellungs bzw nderungsaufgabe f r eine Admin Rolle oder Aufgabe Eine andere Methode besteht darin die Rollen und Aufgaben in der Datei roledefinition xml zu ndern allerdings wird diese nicht empfohlen Aufgrund der Gefahr von Bearbeitungsfehlern sollten Sie diese Methode nur f r sehr beschr nkte nderungen nutzen Bei diesem Prozess werden nur administrative Rollen und Aufgabendefinitionen migriert Wenn die Rollen an Organisationen gebunden wurden sollten Sie eine Migration der gesamten CA IdentityMinder Umgebung in Betracht ziehen Wichtig Wenn Sie Rollen oder Aufgabendefinitionen in der Produktionsumgebung ge ndert haben gehen diese nderungen beim Importieren der Rollen oder Aufgabendefinitionen aus einer Entwicklungsumgebung verloren Beim Importieren von Rollen und Aufgabendefinitionen werden vorhandene Rollen und Aufgabendefinitionen mit den selben Namen berschrieben Kapitel 9 Produktionsumgebungen 257 So migrieren Sie Admin Rollen und Aufgabendefinitionen So exportieren Sie Admin Rollen und Aufgabendefinitionen Wenn nderungen direkt in der Datei roledefinition xml vorgenommen wurden kann diese Datei unmittelbar in die Produktionsumgebung importiert werden Gehen Sie andernfalls zum Exportieren der Rollen und Aufgabendefinitionen wie folgt vor 1 Wenn Sie ein Richtlinienserver Cluster verwenden m ssen Sie berpr
49. Gruppen Manager Rolle zu Das Zuweisen einer Gruppenmanagerrolle ist notwendig F hren Sie den folgenden Vorgang aus um einen Gruppenmanager zuzuweisen Gehen Sie wie folgt vor 1 W hlen Sie als SuperAdmin die Registerkarte f r die Rollen und Aufgaben W hlen Sie dann die Admin Rollen aus und ndern Sie diese W hlen Sie die Gruppen Manager Rolle aus und klicken Sie auf Ausw hlen Das Profil f r die Gruppen Manager Rolle wird angezeigt Klicken Sie auf die Registerkarte Mitglieder und anschlie end auf Hinzuf gen unter den Mitgliederrichtlinien Das Fenster Mitglieder Richtlinie wird angezeigt Klicken Sie unter der Mitgliederregel im Benutzer Feld auf die Pfeil nach unten Taste W hlen Sie in der Drop down Liste den Eintrag lt user filter gt Das Benutzer Feld ndert sich damit Sie einen Filter f r die Regel eingeben k nnen Geben Sie eine Mitgliedschaftsregel wie folgt ein a W hlen Sie im ersten Feld den Titel aus der Drop down Liste aus b Vergewissern Sie sich dass im zweiten Feld das Gleichheitszeichen ausgew hlt wird c Geben Sie Manager im dritten Feld ein Definieren Sie im Abschnitt der Umfangsregeln die Regeln f r die Benutzer Gruppen und Organisationen sofern unterst tzt wie folgt a Klicken Sie im Benutzer Feld auf die Pfeil nach unten Taste um eine Liste von Optionen anzusehen W hlen Sie alle aus der Liste aus b Wiederholen Sie den Schritt a in den Feld
50. Handbuch f r CA eTrust SiteMinder Richtliniendesign Anweisungen wie Sie die Anwendung in SiteMinder konfigurieren Schritt Weitere Informationen finden Sie unter 1 Weisen Sie in der Richtlinienserver Benutzeroberfl che CA eTrust SiteMinder Richtliniendesign das Benutzerverzeichnis das mit der Identity Manager Umgebung verkn pft ist einer Richtliniendom ne zu 2 F gen Sie die Identity Manager Umgebung zur CA eTrust SiteMinder Richtliniendesign SiteMinder Dom ne hinzu die die Anwendung sch tzt auf die sich die Zugriffsrolle bezieht 3 Erstellen Sie in der Richtliniendom ne Bereiche und CA eTrust SiteMinder Richtliniendesign Regeln wenn sie bereits nicht vorhanden sind die den Ressourcen entsprechen auf die die Zugriffsrolle Zugriff erteilen wird 4 Erstellen Sie eine Antwort zur Weiterleitung von Erstellen einer SiteMinder Antwort siehe Berechtigungsinformationen an die Ressource Seite 358 5 Erstellen Sie eine Richtlinie und ordnen Sie sie diesen CA eTrust SiteMinder Richtliniendesign Objekten zu Die Rolle die Sie in Identity Manager erstellt haben m Die Bereiche und Regeln die Sie in Schritt 2 erstellt haben m Die Antworten die Sie in Schritt 4 erstellt haben 356 Konfigurationshandbuch SiteMinder Vorg nge Hinzuf gen von Identity Manager Umgebungen zur einer Richtliniendom ne Um SiteMinder die Unterst tzung von Zugriffsrollen zu erm glichen ordnen Sie eine CA IdentityMinder
51. IdentityMinder Umgebung Gehen Sie wie folgt vor Wichtig Kennwortverlaufsinformationen sind nach der Migration nicht mehr abrufbar 1 Halten Sie den Anwendungsserver an 2 Deaktivieren Sie den Richtlinienserver in der Datei ra xml die sich in iam_im ear policyserver rar META INF befindet indem Sie den Wert f r config property Enabled auf false festlegen 3 Bearbeiten Sie die Datei web xml unter iam_im ear User_console war WEB INF und legen Sie die Eigenschaft FrameworkAuthrFilter auf Enabled true fest Hinweis F r WebSphere befindet sich die Datei web xml unter WebSphere_home AppsServer profiles Profile_name config cells Cell_name applic ations iam_im ear deployments IdentityMinder user_console war WEB INF 4 Starten Sie den Anwendungsserver 5 Nur WebSphere Aktualisieren Sie das policyServer Objekt in der Verwaltungskonsole mit den gleichen Werten wie in der Datei ra xml SiteMinder Vorg nge In den folgenden Abschnitte wird erl utert wie Sie SiteMinder Funktionen einschlie lich Richtliniendom nen und Authentifizierungsschemen ndern um CA IdentityMinder zu unterst tzen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas siehe Seite 342 ndert die Methode die CA IdentityMinder verwendet um Anmeldeinformationen f r Benutzer zu erfassen die versuchen auf eine CA IdentityMinder Umgebung zuzugreifen Konfigurieren von Z
52. IdentityMinder laden verweisen Sie auf den 4 X Agenten SiteMinder verwendet diesen Agenten wenn er die Dom ne bzw den Bereich auf dem SiteMinder Richtlinienserver erstellt Dieser Agent validiert SMSESSION Cookies Aktualisieren Sie die Dom ne bzw den Bereich und verweisen Sie auf den voll funktionsf higen Agenten der sich auf dem Webserver befindet und verwendet wird um auf CA IdentityMinder zuzugreifen Dieser Webserver handelt als Zugriffspunkt f r CA IdentityMinder und erstellt SMSESSION Cookies Gehen Sie wie folgt vor 1 2 3 10 326 Konfigurationshandbuch Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Klicken Sie auf die Registerkarte Richtlinien Dom nen Dom ne erweitern Klicken Sie auf Dom ne ndern W hlen Sie die Dom ne f r Ihre Umgebung aus und navigieren Sie zu der Registerkarte Realms Bereiche Klicken Sie auf die Wiedergabeschaltfl che neben dem ersten aufgelisteten Bereich XXX_ims_realm Bl ttern Sie nach unten und klicken Sie auf die drei Auslassungspunkte neben dem Agenten Der Agent den Sie in Ihrer Umgebungs XML angegeben haben wird geladen Suchen Sie und w hlen Sie den Agenten auf Ihrem Proxy aus Hinweis Wenn Sie keinen Proxy Agenten Webserver Agent haben erstellen Sie einen berpr fen Sie dass Sie einen Webserver und einen Proxy an Ort und Stelle vor CA IdentityMinder haben Klicken Sie zweimal auf OK und wiederholen Sie dann diesen Proze
53. Klicken Sie auf Weiter Beachten Sie beim Festlegen des Systemmanagers Folgendes m Der Systemmanager darf nicht der gleiche Benutzer wie der Administrator des Benutzerspeichers sein m Sie k nnen mehrere Systemmanager f r die Umgebung angeben Sie k nnen jedoch nur den ersten Systemmanager in der Management Konsole angeben Um zus tzliche Systemmanager festzulegen weisen Sie den entsprechenden Benutzern die Rolle des Systemmanagers in der Benutzerkonsole zu Geben Sie im Feld Inbound Administrator Administrator f r Eingehendes ein CA IdentityMinder Administratorkonto an das Admin Aufgaben ausf hren kann die eingehenden Zuordnungen zugeordnet sind Der Benutzer muss alle diese Aufgaben f r einen beliebigen Benutzer ausf hren k nnen Die Rolle Manager f r Bereitstellungssynchronisierung enth lt die Bereitstellungsaufgaben die in den eingehenden Standardzuordnungen enthalten sind Geben Sie ein Kennwort f r den Schl sselspeicher ein Dabei handelt es sich um die Datenbank mit Schl sseln die zum Verschl sseln und Entschl sseln von Daten verwendet werden Die Definition dieses Kennworts ist eine Voraussetzung f r das Definieren dynamischer Schl ssel Sie k nnen das Kennwort ndern nachdem Sie die Umgebung mithilfe der Aufgaben System Geheime Schl ssel erstellt haben Eine Seite wird angezeigt auf der die Einstellungen f r die Umgebung zusammengefasst werden berpr fen Sie die Einstellungen f r d
54. NeteAuto CA IdentityMinder Umgebung verwenden um Self Service Aufgaben und Benutzer zu verwalten Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 37 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Verwaltung der Self Service Aufgaben Die Self Service Aufgaben umfassen Folgendes Registrieren als neuer Benutzer Anmelden als selbst registrierter Benutzer Verwenden der Funktion im Falle eines vergessenen Kennworts Als neuer Benutzer registrieren F hren Sie den folgenden Vorgang aus um sich als neuer Benutzer zu registrieren Gehen Sie wie folgt vor 1 38 Konfigurationshandbuch Geben Sie die folgende URL in einen Browser ein http hostname iam im neteautopublic index jsp task tag SelfRegistration Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Hinweis Wurde die Konfiguration des NeteAuto Design siehe Seite 39 noch nicht durchgef hrt k nnen Sie imcss aus der URL folgenderma en weglassen http hostname iam im neteautopublic index jsp task tag SelfRegistration Diese URL leitet Sie zur CA Standardkonsole Bei der Selbstregistrierung Seite der Endbenutzer Lizenzvereinbarung CA IdentityMinder zeigt die CA Website an Hinweis Sie k nnen die standardm ige Selbstregistrierungsaufgabe konfigurieren um die benutzerdefinierte Endbenutzer Lizenzvereinbarung anzuzeigen Weitere Anweisungen finden Sie im Administrationsh
55. Proxyserver Plug ins Installieren des Proxy Plug ins auf WebLogic Sobald der Web Agent eine Anfrage f r eine CA IdentityMinder Ressource authentifiziert und genehmigt hat leitet der Webserver die Anfrage an den Anwendungsserver weiter der den CA IdentityMinder Server hostet 1 Installieren Sie das Weblogic Proxy Plug in f r Ihren Webserver wie in der Weblogic Dokumentation beschrieben Hinweis Wenn Sie das Proxy Plug in als IIS Benutzer installieren konfigurieren Sie die Proxy Weiterleitung nach Dateierweiterung und Pfad Wenn Sie die Proxy Weiterleitung nach Dateierweiterung konfigurieren f gen Sie eine Anwendungszuordnung in der Registerkarte Anwendungszuordnung mit den folgenden Eigenschaften hinzu Ausf hrbare Datei IISProxy dll Erweiterung wlforward 2 Konfigurieren Sie das Proxy Plug in f r CA IdentityMinder wie in einem der folgenden Abschnitte beschrieben m Proxy Plug in f r IIS siehe Seite 321 m Proxy Plug in f r iPlanet siehe Seite 322 m Proxy Plug in f r Apache siehe Seite 325 Konfigurieren des Proxy Plug Ins f r IIS 7 x Der folgende Vorgang durchl uft die Bereitstellung und Konfiguration des WeblLogic Proxy Plug ins f r IIS 7 0 und h her Hinweis Diese Anweisungen sind f r 32 Bit Umgebungen Die gleichen Anweisungen gelten f r 64 Bit Umgebungen Der Speicherort der dlIl Installationsdatei ist unterschiedlich m WL_HOME server plugin win 32 m WL_HOME server plugin wi
56. Sie auf Skriptzuordnung hinzuf gen und f gen Sie die folgenden Werte hinzu m Anforderungspfad do m Ausf hrbare Datei C plugin iisproxy dil Klicken Sie auf Einschr nkungen Die Einstellungen sind die gleichen wie jsp Klicken Sie auf OK Klicken Sie auf Skriptzuordnung hinzuf gen und geben Sie die folgenden Werte ein m Anforderungspfad wlforward m Ausf hrbare Datei C plugin iisproxy dil Klicken Sie auf Einschr nkungen Die Einstellungen sind die gleichen wie f r jsp Klicken Sie auf Standardwebsite und doppelklicken Sie auf ISAPI Filter Klicken Sie auf der rechten Seite auf Sortierte Liste anzeigen Platzieren Sie die ausf hrbare Datei des SiteMinder Agent an zweiter Stelle in der Liste Nach diesem Eintrag befindet sich nur noch die ausf hrbare Weblogic Datei in der Liste Hinweis Wenn die ausf hrbare Datei des SiteMinder Agent nach der ausf hrbaren Weblogic Datei angezeigt wird dann verschieben Sie den SiteMinder Agenten mithilfe des Pfeils Nach oben Klicken Sie auf Anwendungspools und ndern Sie den Standardanwendungspool zu klassischem Modus Das WebLogic Plug in ist konfiguriert 320 Konfigurationshandbuch Installieren des Web Proxyserver Plug ins Konfigurieren des IIS 6 0 Proxy Plug ins Diese Vorgehensweise bezieht sich auf Konfigurationen des WebLogic Proxy Plug ins f r IIS 6 0 x Gehen Sie wie folgt vor 1 Erstellen Sie einen Ordner auf dem System wo de
57. Sie die Aufgaben und Rollen die f r die NeteAuto Umgebung zu erstellen sind m W hlen Sie Import Rollen aus der Datei m Navigieren Sie zum folgenden Speicherort im_admin_tools_dir samples NeteAutoRDB NoOrganizations RoleDefinitions x ml In diesem Pfad definiert im_admin_tools_dir den installierten Speicherort der CA IdentityMinder Admin Tools 7 Geben Sie einen Benutzer an der als Systemmanager f r diese Umgebung fungieren soll und klicken Sie auf Weiter a Geben Sie SuperAdmin im Systemmanager Feld ein b Klicken Sie auf Hinzuf gen c Klicken Sie auf Weiter 8 berpr fen Sie die Einstellungen f r die Umgebung m Klicken Sie zum ndern auf Vorherige m Klicken Sie auf Fertigstellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Der Ausgabebildschirm der Umgebungskonfiguration zeigt den Fortschritt der Umgebungserstellung an 9 Klicken Sie auf Fertigstellen um den CA IdentityMinder Umgebungs Assistenten zu verlassen 10 Starten Sie die CA IdentityMinder Umgebung Wenn Sie die NeteAuto Umgebung erstellt haben k nnen Sie folgendes tun m Erstellen Sie ein Design f r diese CA IdentityMinder Umgebung wie unter Setup des NeteAuto Designs siehe Seite 39 beschrieben m Greifen Sie auf die Umgebung wie unter So wird die NeteAuto CA IdentityMinder Umgebung verwendet beschrieben zu So wird die NeteAuto CA IdentityMinder Umgebung verwendet Sie k nnen die
58. Size Gibt die Standardanzahl von Verbindungen zwischen CA IdentityMinder und dem LDAP Verzeichnis an Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi Idap connect pool prefsize Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml das ImsManagedObject Element das das Benutzerobjekt beschreibt F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name LDAP CONNECTION SETTINGS description LDAP Connection Settings gt lt Property name com sun jndi ldap connect timeout gt 5000 lt Property gt lt Property name com sun jndi ldap connect pool maxsize gt 200 lt Property gt lt Property name com sun jndi ldap connect pool prefsize gt 10 lt Property gt lt PropertyDict gt Speichern Sie die Datei directory xml CA IdentityMinder konfiguriert diese Einstellungen wenn Sie das CA IdentityMinder Verzeichnis mit dieser Datei erstellen So verbessern Sie die Leistung von Verzeichnissuchen Um die Leistung von Verzeichnissuchen nach Benutzern Organisationen und Gruppen zu verbessern f hren Sie die folgenden Schritte aus 96 Konfigurationshandbuch Indizieren Sie die Attribute die Administratoren in Suchanfragen angeben k nnen Hinweis In Oracle Internet Directory kann eine Suche fehlschlagen wenn ein Attribut in einer Suchanfrage nicht indiziert ist Konfigurieren Sie die Einstellungen f r Seitengr e u
59. Tabellen verwendet werden um ein verwaltetes Objekt darzustellen muss der Treiber au erdem verschachtelte u ere Verkn pfungen unterst tzen Hinweis Wenn der Treiber keine u eren Verkn pfungen unterst tzt verwendet CA IdentityMinder beim Abfragen der Datenbank innere Verkn pfungen Dies kann jedoch unerwartete Abfrageergebnisse zur Folge haben Geben Sie jedes von CA IdentityMinder verwaltete Objekt eindeutig an z B Benutzer Gruppe oder Organisation sofern unterst tzt Die eindeutige Kennung eines Benutzers kann zum Beispiel eine Anmelde ID sein Hinweis Vergewissern Sie sich dass die eindeutige Kennung in einer einzelnen Spalte gespeichert ist CA IdentityMinder erfordert einige mehrwertige Attribute die als eine begrenzte Liste in einer einzelnen Zelle oder in mehreren Zeilen in einer separaten Tabelle gespeichert werden k nnen In der folgenden tblGroupMembers Tabelle sind zum Beispiel die Mitglieder einer Gruppe gespeichert Mitglieder dmason Research Research rsavory dmason Marketing awelch Marketing Die ID Spalte enth lt die eindeutige Kennung f r eine Gruppe und die Mitglieder Spalte enth lt die eindeutige Kennung f r ein Gruppenmitglied Zum Beispiel sind dmason und rsavory Mitglieder der Gruppe Research Wenn diese Gruppe um ein neues Mitglied erweitert wird wird tblGroupMembers eine weitere Zeile hinzugef gt Kapitel 4 Verwaltung relationaler Datenbanken 105 Erst
60. Verzeichnisse werden zur CA IdentityMinder Umgebung zugeordnet Sie k nnen eine der folgenden Methoden verwenden um Verzeichnisse zu erstellen m Verwenden des Assistenten f r Verzeichniskonfiguration Leitet Administratoren durch den Prozess ein Verzeichnis f r ihren Benutzerspeicher zu erstellen Diese Methode hilft dabei m gliche Konfigurationsfehler zu reduzieren Hinweis Verwenden Sie den Assistenten f r Verzeichniskonfiguration nur um neue Verzeichnisse f r die LDAP Benutzerspeicher zu erstellen Um ein Verzeichnis f r eine relationale Datenbank zu erstellen oder ein vorhandenes Verzeichnis zu aktualisieren importieren Sie direkt eine directory xmi Datei m Verwenden einer XML Konfigurationsdatei Erlaubt Administratoren eine vollst ndig konfigurierte XML Datei auszuw hlen um den Benutzerspeicher oder Bereitstellungsserver zu erstellen oder zu ndern W hlen Sie diese Methode aus wenn Sie ein Verzeichnis f r eine relationale Datenbank erstellen oder wenn Sie ein vorhandenes Verzeichnis aktualisieren Weitere Informationen Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten siehe Seite 158 Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei siehe Seite 172 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Der Verzeichniskonfigurations Assistent leitet Administratoren durch den Prozess zum Erstellen eines Verzeichnisses f r ihren
61. Verzeichnissen Der IBM Verzeichnisserver verlangt dass Gruppen mindestens ein Mitglied enthalten Um dieser Anforderung zu entsprechen f gt CA IdentityMinder einen Dummy Benutzer als Mitglied einer neuen Gruppe hinzu wenn die Gruppe erstellt wird Konfigurieren Sie einen Dummy Benutzer Gehen Sie wie folgt vor 1 78 Konfigurationshandbuch Machen Sie im Abschnitt Gruppenobjekt der Verzeichniskonfigurationsdatei die folgenden Elemente ausfindig lt PropertyDict name DUMMY USER gt lt Property name DUMMY_USER_DN gt DUMMY_USER_DN lt Property gt lt PropertyDict gt Hinweis Wenn diese Elemente in der Verzeichniskonfigurationsdatei nicht vorhanden sind f gen Sie sie genau so hinzu wie sie hier angezeigt werden Bekannte Attribute f r einen LDAP Benutzerspeicher 2 Ersetzen Sie DUMMY_USER_DN durch ein Benutzer DN CA IdentityMinder f gt dieses DN als Mitglied aller neuen Gruppen hinzu Hinweis Wenn Sie das DN eines vorhandenen Benutzers angeben wird dieser Benutzer als Mitglied aller Gruppen von CA IdentityMinder angezeigt Um zu verhindern dass der Dummy Benutzer als ein Gruppenmitglied angezeigt wird geben Sie ein DN an das nicht im Verzeichnis vorhanden ist 3 Speichern Sie die Verzeichniskonfigurationsdatei Die Objektklasse Top in der Organisationsobjekt Beschreibung Wichtig Schlie en Sie in der Beschreibung des Organisationsobjekts in der Verzeichniskonfigurationsdatei die Objektklasse Top
62. Verzeichnisses Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml das ImsManagedObject Element das das Benutzerobjekt beschreibt 2 F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name SEARCH ACROSS CLASSES description allowing checking an attribute across classes gt lt Property name ENABLE gt true lt Property gt lt PropertyDict gt Hinweis Das PropertyDict Element muss das letzte Element im ImsManagedObject Element sein wie im folgenden Beispiel dargestellt lt ImsManagedObject name User description My Users objectclass top person organizationalperson inetorgperson customClass objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name SEARCH ACROSS CLASSES description allow checking an attribute across classes gt lt Property name ENABLE gt true lt Property gt lt PropertyDict gt Angeben der Wartezeit f r Replikationen In einer Bereitstellung die eine Replikation zwischen Master und Slave LDAP Verzeichnissen beinhaltet k nnen Sie den SiteMinder Richtlinienserver so konfigurieren dass er mit einem Slaveverzeichnis kommuniziert Der Richtlinienserver erkennt in einer solchen Konfiguration automatisch Verweise auf das Masterverzeichnis wenn Vorg nge ausgef h
63. Wenn Sie Benutzereigenschaften bearbeiten machen Sie NeteAuto zur Standarddatenbank f r neteautoadmin So wird das NeteAuto Beispiel mit Organisations Support konfiguriert F hren Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus m db_type rdbuserdirectory sql Konfiguriert die Tabellen f r das NeteAuto Beispiel und erstellt die Benutzereingaben m ims_db_type_rdb sql Konfiguriert den Support f r Organisationen db_type Definiert Microsoft SQL oder Oracle je nach Typ der Datenbank die Sie konfigurieren Diese Skriptdateien befinden sich im Ordner admin_tools samples NeteAutoRDB Organization In diesem Beispiel bezieht sich admin_tools auf die Administrations Tools die in den folgenden Standardspeicherorten installiert sind m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Definieren Sie eine JDBC Datenquelle mit der Bezeichnung neteautoDS die auf die NeteAuto Datenbank verweist Der Verfahren zum Konfigurieren einer Datenquelle h ngt vom Typ des Anwendungsservers ab auf dem CA IdentityMinder installiert ist Der Abschnitt So_ wird eine JDBC Datenquelle erstellt siehe Seite 107 umfasst anwendungsserverspezifische Anweisungen zum Erstellen einer JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis zu erstellen Geh
64. anzuzeigen W hlen Sie die Aufgaben und Rollen aus die f r diese Umgebung erstellt werden sollen Sie k nnen die folgenden Aufgaben ausf hren Create default roles Standardrollen erstellen Erstellt einen Satz von Standardaufgaben und rollen die in der Umgebung verf gbar sind Administratoren k nnen diese Aufgaben und Rollen als Vorlagen verwenden um neue Aufgaben und Rollen in der Benutzerkonsole zu erstellen Kapitel 6 CA IdentityMinder Umgebungen 195 Erstellen einer CA IdentityMinder Umgebung Create only the system manager role Nur die Rolle des Systemmanagers erstellen Erstellt nur die Rolle des Systemmanagers und die der Rolle zugeordneten Aufgaben Die Rolle des Systemmanagers ist erforderlich um auf die Umgebung zuzugreifen Ein Systemmanager kann neue Aufgaben und Rollen in der Benutzerkonsole erstellen Import roles from the file Rollen aus der Datei importieren Importiert eine Rollendefinitionsdatei die Sie aus einer anderen CA IdentityMinder Umgebung exportiert haben Hinweis Damit die CA IdentityMinder Umgebung verwendet werden kann muss die Rollendefinitionsdatei mindestens die Rolle des Systemmanagers oder eine Rolle mit hnlichen Aufgaben umfassen W hlen Sie die Optionsschaltfl che Import roles from the file Rollen aus der Datei importieren aus und geben Sie den Pfad und Dateinamen der Rollendefinitionsdatei ein oder suchen Sie nach der zu importierenden Datei 10 W hlen Si
65. bernehmen CA IdentityMinder validiert die Konfiguration und erstellt das Verzeichnis Anschlie end kehren Sie zum Fenster Verzeichnisse zur ck in dem Sie das neue Verzeichnis anzeigen k nnen Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Bildschirm Select Directory Template Verzeichnisvorlage ausw hlen Verwenden Sie dieses Fenster um eine Verzeichnis XML Datei f r LDAP auszuw hlen und einen Benutzerspeicher oder Bereitstellungsserver zu konfigurieren Klicken Sie auf Durchsuchen um die Konfigurationsdatei mit der der Benutzerspeicher oder der Bereitstellungsserver konfiguriert wird im folgenden Standardverzeichnis auszuw hlen admin tools directoryTemplates directory Hinweis admin_tools bezeichnet das Verzeichnis in dem die Verwaltungstools installiert sind und directory gibt den Namen des LDAP Anbieters an Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite Identity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Nachdem Sie die Verzeichnis XML Datei ausgew hlt haben klicken Sie auf Weiter um das Fenster Verbindungsdetails anzuzeigen Fenster Verbindundsdetails Verwenden Sie dieses Fenster um die Konfigurationsanmeldeinformationen f r Ihren Benutzerspeicher einzugeben Sie k nnen auch die Verzeichnissuchparameter eingeben und Failover Verbindungen hi
66. berpr fen Sie dass die Einstellungen f r ConfirmPasswordHandler wie folgt lauten m Object type User m Class ConfirmPasswordHandler m ConfirmationAttributeName passwordConfirm m OldPasswordAttributeName oldPassword m passwordAttributeName PASSWORD Benutzer k nnen jetzt Kennwortfelder in der Aufgabe zum Zur cksetzen des Benutzerkennworts l schen Admin Aufgaben beinhalten Ereignisse Hierbei handelt es sich um Aktionen die von CA IdentityMinder zum Abschlie en von Aufgaben ausgef hrt werden Eine Aufgabe kann mehrere Ereignisse umfassen So kann beispielsweise die Aufgabe Benutzer erstellen Ereignisse f r das Erstellen des Benutzerprofils das Hinzuf gen des Benutzers zu einer Gruppe und das Zuweisen von Rollen beinhalten Kapitel 7 Erweiterte Einstellungen 229 E Mail Benachrichtigungen CA IdentityMinder berpr ft Ereignisse setzt kundenspezifische Gesch ftsregeln f r die Ereignisse durch und fordern die Best tigung der Ereignisse an falls diese Workflow Prozessen zugeordnet sind Auf dieser Seite wird eine Liste der Ereignisse angezeigt die in CA IdentityMinder verf gbar sind E Mail Benachrichtigungen CA IdentityMinder kann E Mail Benachrichtigungen senden wenn eine Aufgabe oder ein Ereignis abgeschlossen wird oder wenn ein der Workflow Steuerung unterliegendes Ereignis einen bestimmten Status annimmt Zum Beispiel kann ein Genehmiger per E Mail dar ber informiert werden dass ein Ereig
67. berpr ft der Richtlinienserver den Ausschluss der CA IdentityMinder Rolle f r den zugeordneten Benutzer Nach der berpr fung sperrt er Zugriff auf die Ressource Gehen Sie wie folgt vor 1 Klicken Sie im SiteMinder Dialogfeld Richtlinie auf die Registerkarte Benutzer Die Registerkarte Benutzer enth lt Registerkarten f r jede s in die Richtliniendom ne eingeschlossene Benutzerverzeichnis und CA IdentityMinder Umgebung 2 Klicken Sie auf die CA IdentityMinder Umgebung die die Rollen enth lt die Sie aus Ihrer Richtlinie ausschlie en wollen 3 Klicken Sie auf die Schaltfl che Hinzuf gen Entfernen Das Dialogfeld f r die CA IdentityMinder Rolle der SiteMinder Richtlinie ffnet sich 4 Um der Richtlinie Rollen hinzuzuf gen w hlen Sie einen Eintrag aus der Liste der verf gbaren Mitglieder aus und klicken Sie auf den Pfeil nach links der auf die Liste der aktuellen Mitglieder verweist Der umgekehrte Vorgang entfernt Rollen aus der aktuellen Mitgliederliste 5 W hlen Sie in der Liste der aktuellen Mitglieder die auszuschlie enden Rollen aus und zu klicken Sie auf die Schaltfl che Ausschlie en die sich unter der Liste befindet Ein roter durchgestrichener Kreis wird links von den ausgeschlossenen Rollen angezeigt 6 Klicken Sie auf OK um die nderungen zu speichern und zum Dialogfeld der SiteMinder Richtlinie zur ckzukehren Konfigurieren des LogOff URI Um eine CA IdentityMinder Umgebung
68. das Zur cksetzen des Benutzerkennworts eine Kontosynchronisierung auszul sen stellen Sie die Kontosynchronisierungsoption ein nachdem Sie die Datei ProvisioningOnly RoleDefinitions xml importiert haben um die Bereitstellung zu aktivieren Verwalten von Umgebungen In diesem Abschnitt wird die Verwaltung einer Umgebung beschrieben Kapitel 6 CA IdentityMinder Umgebungen 203 Verwalten von Umgebungen ndern von CA IdentityMinder Umgebundseigenschaften Im Fenster CA IdentityMinder Environment Properties Umgebungseigenschaften in der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren Zeigen Sie die aktuellen Einstellungen f r die Umgebung an ndern Sie die Beschreibung die Basis URL sowie gesch tzte und ffentliche Aliasnamen Importieren Sie nach einem Upgrade eine vorhandene CA IdentityMinder Umgebung Hinweis Weitere Informationen zum Importieren vorhandener CA IdentityMinder Umgebungen finden Sie im Abschnitt zu Upgrades im Installationshandbuch Starten und Anhalten von Umgebungen Seiten f r den Zugriff um die folgenden Aufgaben zu konfigurieren Erweiterte Einstellungen Konfiguriert erweiterte Funktionen einschlie lich Funktionen die mithilfe der CA IdentityMinder APls erstellt werden Role and Task Settings Rollen und Aufgabeneinstellungen Importiert eine Rollendefinitionsdatei die Sie aus einer anderen CA IdentityMinder Umgebung exportiert haben System Manager Syste
69. der folgenden Abbildung ist NeteAuto die Stammorganisation Die anderen Organisationen sind Unterorganisationen von NeteAuto NeteAuto Supplier Employee 152 Konfigurationshandbuch Organisationsverwaltung Eine vollst ndige Definition der Stammorganisation entspricht dem folgenden Beispiel lt ImsManagedObject name Organization description My Organizations objecttype ORG gt lt RootOrg value select orgid from tblOrganizations where parentorg is null gt lt Result name 0RG_ID gt lt RootOrg gt Nachdem Sie die grundlegenden Informationen f r das Organisationsobjekt definiert haben einschlie lich der Tabellen die das Organisationsprofil bilden und der eindeutige Kennung des Organisationsobjekts geben Sie die Stammorganisation in der Datei directory xml an m Definieren Sie im Parameter value des RootOrg Elements die Abfrage die CA IdentityMinder zum Abrufen der Stammorganisation verwendet wie im folgenden Beispiel dargestellt lt RootOrg value select orgid from tblOrganizations where parentorg is null gt m Geben Sie in den Parameter name des Result Elements die eindeutige Kennung der Organisation ein wie im folgenden Beispiel dargestellt lt Result name 0RG_ID gt Hinweis Der Wert des Parameters name muss die eindeutige Kennung des Organisationsobjekts sein Bekannte Attribute f r Organisationen Definieren Sie bekannte Attribute f r die Attribute in einem Organisation
70. des Parameters name muss mit dem Namen einer vorhandenen Datenquelle bereinstimmen Hinweis Dieses Element wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt Wenn CA IdentityMinder und SiteMinder nicht integriert sind wird dieses Element ignoriert Wenn der Wert des Namensparameters SmDirDSN lautet m ssen Sie keinen DSN Namen in der Datei directory xml angeben CA IdentityMinder fordert Sie beim Import der Datei directory xml auf den DSN Namen anzugeben Kapitel 4 Verwaltung relationaler Datenbanken 141 Verbindung zum Benutzerverzeichnis Definieren Sie mehrere DSN Elemente um ein Failover zu konfigurieren Wenn die prim re Datenquelle auf eine Anfrage nicht reagiert wird die Anfrage von der n chsten definierten Datenquelle beantwortet Nehmen Sie zum Beispiel an dass Sie das Failover wie folgt konfiguriert haben lt DSN name DSN1 gt lt DSN name DSN2 gt CA IdentityMinder verwendet die Datenquelle DSN1 um eine Verbindung mit der Datenbank herzustellen Wenn ein Problem mit DSN1 besteht versucht CA IdentityMinder mithilfe von DSN2 eine Verbindung mit der Datenbank herzustellen Hinweis Die Anmeldeinformationen die Sie im Credentials Element siehe Seite 140 angeben m ssen f r alle definierten DSNs gelten SQL Abfrageschemen CA IdentityMinder verwendet Abfrageschemen um Benutzer und Gruppeninformation in einer relationalen Datenbank zu suchen Hinweis Dieses Element
71. die Kennwortdienst Aufgabe in der Standardkennwortrichtlinie f r die Umgebung hinweist Protected Alias Gesch tzter Alias Definiert den Namen der Basis URL f r den Zugriff auf gesch tzte Aufgaben in der Benutzerkonsole f r eine CA IdentityMinder Umgebung ffentliches Alias Definiert den Namen der Basis URL f r den Zugriff auf ffentliche Aufgaben zum Beispiel Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennw rter Public User ffentlicher Benutzer Definiert das Benutzerkonto das CA IdentityMinder anstelle der Anmeldeinformationen des Benutzers f r den Zugriff auf ffentliche Aufgaben verwendet Job Timeout Job Zeitlimit Bestimmt wie lange CA IdentityMinder nach dem bermitteln einer Aufgabe wartet bevor eine Statusmeldung angezeigt wird Dieser Wert wird auf der Seite User Console Benutzerkonsole in Erweiterte Einstellungen festgelegt Status H lt die CA IdentityMinder Umgebung an oder startet sie neu Migrate Task Persistence Data from CA IdentityMinder 8 1 Aufgabenpersistenz Daten aus CA IdentityMinder 8 1 migrieren Migriert Daten aus einer CA IdentityMinder 8 1 Aufgabenpersistenz Datenbank in eine CA IdentityMinder r12 6 1 Aufgabenpersistenz Datenbank Weitere Informationen dazu finden Sie im Installationshandbuch Hinweis Die Schaltfl che Migrate Task Persistence Data from CA IdentityMinder 8 1 wird nur in Umgebungen angezeigt die in Vorg ngerversionen von C
72. die Unterst tzung f r Gruppen denen Self Service Benutzer beitreten k nnen Verhalten der Verzeichnis Gruppen Gibt an ob das CA IdentityMinder Verzeichnis dynamische und verschachtelte Gruppen unterst tzt Um eine Verzeichniskonfigurationsdatei zu erstellen ndern Sie eine Konfigurationsvorlage So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus CA IdentityMinder liefert Verzeichniskonfigurationsvorlagen die unterschiedliche Verzeichnistypen und strukturen unterst tzen Um ein CA IdentityMinder Verzeichnis zu erstellen ndern Sie die Vorlage die Ihrer Verzeichnisstruktur am n chsten kommt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 51 So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus Die in der folgenden Tabelle beschriebenen Vorlagen werden mit den Administrations Tools installiert admin_tools directoryTemplates directory_type Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Die Typen von Verzeichnissen und die entsprechenden Konfigurationsvorlagen werden in der folgenden Tabelle angezeigt Verzeichnistyp Active Directory ADSI LDAP Verzeichnis mit einer hierarchischen Struktur Vorlage ActiveDirectory directory xml Microsoft ADAM Verzeichnis mit einer hierarchischen Struktur ADAM directory xml IBM D
73. ein falscher Admin angegeben wird in ra xml der Fehler Unknown administrator wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 31 23 653 WARN ims default HHRHHREHHRREHHHHHRRHHHRRHRRHHRERHEHRHHERHEHRRHRRER 2010 12 13 23 653 WARN ims default IAM Framework 12 5 4 0 461 2010 12 13 23 653 VARN ims default HHHHRHHRHHRHHHHHHRHHRHHHHHHHHHRHHRHHHHHRHHHRHRRR 2010 12 13 23 653 VARN ims default HHHHHRHHRHREHHHRHRHRRHHHHHHHRRHRHHHHHERHRHHHHRRBR 2010 12 13 23 653 WARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 23 653 WARN ims default HHRHRRRRRERREHHRHHHHRHRRRERRERHRREHHHRRERERRRREN 2010 12 13 23 653 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 23 653 VARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 23 809 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 23 840 WARN ims tmt CreateDatabaseSchema Schema fo Archive is up to date 2010 12 13 23 887 WARN ims tmt CreateDatabase chema Schema fo Auditing is up to date 2010 12 13 23 981 WARN ims tmt CreateDatabase chema Schema for Report Snapshot is up to date 2010 12 13 10 31 23 981 WARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 31 25 262 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection n
74. erfolgreich importiert wurden melden Sie sich mit einem Administratorkonto bei CA IdentityMinder an das die folgenden Aufgaben ausf hren kann m Admin Rolle ndern m Admin Aufgabe ndern F hren Sie diese Aufgaben aus und pr fen Sie ob die Rollen und Aufgaben die neu importierten Rollendefinitionen widerspiegeln So migrieren Sie CA IdentityMinder Designs Sie k nnen die CA IdentityMinder Designs anpassen um der Anwendung ein bestimmtes Erscheinungsbild zu geben Wenn Sie f r eine Benutzergruppe Designs ge ndert oder neue Designs erstellt haben f hren Sie die folgenden Schritte aus um die Designs von der Entwicklungs auf die Produktionsumgebung zu migrieren Wenn Sie ein Design ge ndert haben kopieren Sie die ge nderten Dateien Gehen Sie wie folgt vor 1 Kopieren Sie neue und ge nderte Dateien vom Entwicklungs auf den Produktionsserver z B Bilddateien Stylesheets Eigenschaftsdateien und die Konsolenseite index jsp 2 Wenn mehrere Designs verwendet werden konfigurieren Sie eine SiteMinder Antwort Hinweis Weitere Informationen ber die Verwendung mehrerer Designs finden Sie im Konfigurationshandbuch Um die Migration der Designs zu pr fen melden Sie sich an der Benutzerkonsole an und pr fen Sie ob das Design korrekt angezeigt wird Kapitel 9 Produktionsumgebungen 259 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung Aktualisieren von CA IdentityMinder in einer Produktions
75. erstellen anstatt die Datei userstore ds xml zu bearbeiten Speichern Sie die Datei Kapitel 4 Verwaltung relationaler Datenbanken 109 So erstellen Sie eine JDBC Datenquelle Verwenden eines JBoss Sicherheitsbereichs f r die JDBC Datenquelle Stellen Sie sicher dass Sie eine JDBC Datenquelle auf einem JBoss Anwendungsserver erstellen Sie k nnen die Datenquelle so konfigurieren dass diese einen Benutzernamen und ein Kennwort verwendet oder dass sie einen Sicherheitsbereich verwendet Wichtig Vergewissern Sie sich dass Sie bei Verwendung von FIPS die Option f r den JBoss Sicherheitsbereich nutzen Gehen Sie wie folgt vor 1 110 Konfigurationshandbuch F hren Sie die Schritte unter Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver siehe Seite 108 aus Geben Sie in der Datei userstore ds xml keinen Benutzernamen und kein Kennwort an wie in Schritt 4 beschrieben ffnen Sie die Datei login cfg xml im Verzeichnis iboss_home server default conf Suchen Sie den folgenden Eintrag in der Datei lt application policy name imobjectstoredb gt lt authentication gt lt login module code com netegrity jboss datasource PasswordEncryptedLogin flag required gt lt module option name userName gt fwadmin lt module option gt lt module option name password gt PBES gSex2 BhDGzZEKWVFmzca4w lt module option gt lt module option name managedConnectionFactoryName gt jboss jca name j
76. erstellen Sie ein CA IdentityMinder Verzeichnis 22220s0ssennnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnennnnnnnensennnnenn 107 So erstellen Sie eine JDBC Datenquelle uuueneeeeensssnsnenunassnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnanonnnnnnnnnnnenonnnnnsnnnsnsnennnnnsnnnsennnnnn 107 Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver eeseeessssssnsnennnnsnnnnsnnnonnnnnnnnnnnnnnnnnnnnnensnnnnnnnnnnennn 108 Erstellen einer JDBC Datenquelle f r WebLogic 22222220200nennnnnsnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnennenn 111 WebsSphere D tenquellen uuusen sin na nnd anne lan are 112 So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder 2222220s0n0ennennnseenennnnnnnenennnnenn 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei 222222020000nnennennnneenennnnnnneneenennnn 115 ndern der Verzeichniskonfigurationsdatei uuneansensesennensnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnnnnnnnnnannnnnnnnn 117 Beschreibung von verwalteten Objekten uuueseeesensnsesnenenaennennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnennnnnsnnnnnnnnnnennenn So ndern Sie Attributbeschreibungen z2su0s0r02220ssnseenonnnnnennsnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnsnnnonnnnnensnsennnnnnn Verbindung zum Benutzerverzeichnis eseseessessssesnenennsnnnnnnnnonnnnnnnnnnennnnnnnnnnsnnnnnnnnnnnnnsnnnsnsnnnnnnssnnnsennnnnnns
77. integriert ist und Sie mit einem vorhandenen SiteMinder Benutzerverzeichnis Verbindung aufnehmen wollen geben Sie den Namen des SiteMinder Benutzerverzeichnis Verbindungsobjekts genau an wie er in der Richtlinienserver Benutzeroberfl che angezeigt wird JDBC Datenquellen JNDI Name nur f r relationale Verzeichnisse Gibt den Namen einer vorhandenen JDBC Datenquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbindung aufzunehmen Host nur f r LDAP Verzeichnisse Gibt den Hostnamen oder die IP Adresse des Servers an auf dem das Benutzerverzeichnis installiert ist Verwenden Sie f r CA Directory Benutzerspeicher den vollen Dom nennamen des Hostsystems Verwenden Sie nicht localhost Geben Sie f r Active Directory Benutzerspeicher den Dom nennamen an nicht die IP Adresse Port nur f r LDAP Verzeichnisse Gibt die Portnummer des Benutzerverzeichnisses an Bereitstellungsdom ne Bereitstellungsdom ne die CA IdentityMinder verwaltet Hinweis Der Bereitstellungsdom nenname ber cksichtigt Gro und Kleinschreibung Benutzername Benutzer DN Gibt den Benutzernamen f r ein Konto an das auf den Benutzerspeicher zugreifen kann F r Bereitstellungs Benutzerspeicher muss das Benutzerkonto das Sie angeben das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen f r die Bereitstellungsdom ne haben Kapitel 5 CA IdentityMinder Verzeichnisse 173 Aktivieren von Bereitstellu
78. k nnen die Standard Workflow Vorg nge in CA IdentityMinder ndern um s mtliche Unternehmensanforderungen zu unterst tzen Designs Bestimmen Sie die Anzeige der CA IdentityMinder Benutzeroberfl che Benutzerdefinierte Funktionen Sie k nnen CA IdentityMinder ndern um Ihre Gesch ftsanforderungen mithilfe des CA IdentityMinder APIs anzupassen Weitere Informationen finden Sie im Programmierhandbuch f r Java Jede CA IdentityMinder Umgebung macht es erforderlich dass ein oder mehrere Systemmanager die initialen Rollen und Aufgaben mithilfe der Benutzerkonsole spezifisch anpassen Sobald ein Systemmanager die initialen Rollen und Aufgaben erstellt kann der Manager den Benutzern in dieser Umgebung Administratorrechte gew hren Die Benutzer werden zu Administratoren welche die Benutzer Gruppen oder Organisationen verwalten Weitere Informationen finden Sie im Administrationshandbuch 14 Konfigurationshandbuch Mehrere CA IdentityMinder Umgebungen Mehrere CA IdentityMinder Umgebungen Erstellen Sie mehrere CA IdentityMinder Umgebungen wenn Sie Folgendes m chten Verwalten zus tzlicher Benutzerspeicher Sie k nnen Benutzer in unterschiedlichen Typen von Benutzerspeichern verwalten Beispiel Ihr Unternehmen speichert all seine Benutzerprofile in einem Sun Java System LDAP Verzeichnis Sie gehen ein Joint Venture mit einem Partner ein der eine Oracle Datenbank verwendet um Benutzerinformationen zu speichern Sie m chten je
79. keypath der vollst ndige Pfad zum FIPS Schl sselverzeichnis ist Hinweis Verwenden Sie die gleiche FIPS Schl sseldatei die Sie w hrend Installation angegeben haben RC2 Verschl sselt einen einfachen Textwert unter Verwendung des RC2 Algorithmus Wichtig CA IdentityMinder verwendet die FIPS Schl sseldatei um zu berpr fen ob die Anwendung im FIPS Modus oder im Nicht FIPS Modus starten soll Vergewissern Sie sich deswegen dass die Schl sseldatei FIPSKey dat genannt wird und den folgenden Anwendungsserver Bereitstellungspfad hat iam im ear config com netegrity config keys FIPSkey dat Dabei ist iam_im ear im Anwendungsserver Bereitstellungsverzeichnis zum Beispiel Jboss_home server default deploy Anhang A FIPS 140 2 Kompatibilit t 373 FIPS Modus Erkennung FIPS Modus Erkennung Um festzustellen ob CA IdentityMinder im FIPS Modus oder im Nicht FIPS Modus ausgef hrt wird verwenden Sie die Statusseite der CA IdentityMinder Umgebung Geben Sie die folgende URL in einem Browser ein um auf die Statusseite zuzugreifen http server_name idm status jsp server_name Bestimmt den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com In diesem Beispiel lautet die vollst ndige URL http myserver mycompany com idm status jsp Der FIPS Status wird im unteren Bereich der Seite angezeigt Hinweis Sie k nnen auch berpr fen ob CA Identity
80. ldif m runvlvindex cmd runvlvindex sh Diese Dateien sind Teil des NeteAuto Beispiels unter samples NeteAuto in den Verwaltungstools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite Identity Manager UNIX opt CA IdentityManager lAM_Suite ldentity_Manager 100 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen Gehen Sie wie folgt vor 1 F gen Sie dem DirectorySearch Element siehe Seite 58 in der Datei directory xml f r das CA IdentityMinder Verzeichnis den folgenden Parameter hinzu minsortrules 1 Hinweis Weitere Informationen zum ndern eines vorhandenen CA IdentityMinder Verzeichnisses finden Sie unter Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 2 Legen Sie die folgenden Berechtigungen f r die Datei vlventrl ldif fest ldapmodify D cn Directory Manager w password p port f vlventrl ldif 3 Importieren Sie wie folgt VLV Suchdefinitionen und Indexdefinitionen ldapmodify D cn Directory Manager w password p port f vlvindex ldif 4 Halten Sie das Verzeichnis wie folgt an stop slapd 5 Erstellen Sie die Indizes mithilfe von runvlvindex 6 Starten Sie das Verzeichnis wie folgt start slapd Konfigurieren von MaxPageSize in Active Directory Active Directory verwendet als Standardeinstellung f r MaxPageSize den Wert 1000 Nehme
81. m L schen m GetDB Der GetDB Vorgang ruft w hrend der Erstellung eine eindeutige Kennung aus der Datenbank ab wenn die eindeutige Kennung durch die Datenbank oder eine gespeicherte Prozedur generiert wird Kapitel 4 Verwaltung relationaler Datenbanken 135 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Parameter Element value Definiert die SQL Anweisung oder gespeicherte Prozedur die ausgef hrt werden soll Die folgenden Werte sind g ltig m INSERT m SELECT m UPDATE m DELETE m CALL f r gespeicherte Prozeduren Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Das Operation Element kann ein oder mehrere Parameter Elemente enthalten Ein Parameter Element gibt Werte an die an die Abfrage bergeben werden Wenn mehrere Parameter Elemente definiert werden werden die Werte in der angegebenen Reihenfolge an die Abfrage bergeben Ein Parameter Element erfordert den Parameter name Der Wert des Parameters name kann ein physisches Attribut oder ein bekanntes Attribut siehe Seite 79 sein Hinweis CA IdentityMinder muss die Werte erkennen die im Parameter Element an eine Abfrage bergeben werden Der Wert kann zum Beispiel ein physischer Name oder ein bekanntes Attribut sein das in den ImsManagedObjectAttr Attributen definiert ist Wenn Sie ein physisches Attribut angeben beachten Sie die folgenden Punkte m Verwenden Sie die folgende Syntax um ein physisches Att
82. mit dem Kennwort test Gew hren Sie NeteAuto neteautoadmin Rechte wie etwa public oder db_owner Rechte indem Sie die Eigenschaften des Benutzers bearbeiten Hinweis Um eine NeteAuto Datenbank zu erstellen muss die Neteautoadmin Rolle mindestens minimale Berechtigungen ausw hlen einf gen aktualisieren und l schen f r alle Tabellen besitzen die ber by sql Skript erstellt werden Au erdem muss neteautoadmin in der Lage sein gegebenenfalls alle gespeicherten Prozeduren auszuf hren die in diesen Skripten definiert sind Wenn Sie Benutzereigenschaften bearbeiten machen Sie NeteAuto zur Standarddatenbank f r neteautoadmin F hren Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus m db_type rdbuserdirectory sql Konfiguriert die Tabellen f r das NeteAuto Beispiel und erstellt die Benutzereingaben m ims_db_type_rdb sql Konfiguriert den Support f r Organisationen db_type Definiert Microsoft SQL oder Oracle je nach Typ der Datenbank die Sie konfigurieren Diese Skriptdateien befinden sich im Ordner admin_tools samples NeteAutoRDB Organization In diesem Beispiel bezieht sich admin_tools auf die Administrations Tools die in den folgenden Standardspeicherorten installiert sind m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 33 So wird das NeteAuto
83. nderungen 366 Konfigurationshandbuch CA IdentityMinder verwendet jetzt unterschiedliche Verzeichnisse f r Authentifizierung und Autorisierung SiteMinder Vorg nge So verbessern Sie die Leistung von LDAP Verzeichnisvorg ngen Das Bearbeiten von Verzeichnisvorg ngen kann l nger dauern weil alle CA IdentityMinder Anfragen f r das LDAP Benutzerverzeichnis durch ein festes Set von Verbindungen geleitet werden Um den Durchsatz von CA IdentityMinder Anfragen an den Benutzerspeicher zu erh hen konfigurieren Sie SiteMinder um mehrere Verbindungen f r das gleiche Verzeichnis zu ffnen F gen Sie dazu den LDAP Server in der Richtlinienserver Benutzeroberfl che mehrmals zum LDAP Verzeichnis Failover und zur Lastenausgleichseinrichtung hinzu Wie oft Sie den LDAP Server eingeben und die Anzahl der zu erstellenden Verbindungen h ngt von der Last auf CA IdentityMinder ab Kapitel 12 Integration von CA SiteMinder 367 Anhang A FIPS 140 2 Kompatibilit t Dieses Kapitel enth lt folgende Themen lt FIPS gt bersicht siehe Seite 369 Kommunikation siehe Seite 370 Installation siehe Seite 370 Herstellen einer Verbindung mit SiteMinder siehe Seite 371 Schl sseldatei Speicherung siehe Seite 371 Das Kennwort Tool siehe Seite 372 FIPS Modus Erkennung siehe Seite 374 Verschl sselte Textformate siehe Seite 375 Verschl sselte Informationen siehe Seite 375 FIPS Modus Protokollierung siehe Seite 375
84. nnen Sie Anzeige und Verschl sselungseigenschaften f r Attribute in der Verzeichniskonfigurationsdatei directory xm festlegen Sie k nnen Datenklassifizierungen die vertrauliche Attribute verwalten wie folgt definieren Zeigen Sie in den CA IdentityMinder Aufgabenfenstern den Wert eines Attributs als Reihe von Sternchen an Zum Beispiel k nnen Sie Kennw rter als Sternchen anstelle von Klartext anzeigen Blenden Sie den Attributwert in den Fenstern Gesendete Aufgaben anzeigen aus Mithilfe dieser Option k nnen Sie Attribute ausblenden damit Administratoren sie nicht sehen Zum Beispiel k nnen Gehaltsdetails wie die H he des Gehalts vor Administratoren verborgen werden die den Aufgabenstatus in CA IdentityMinder anzeigen aber keine Gehaltsdetails anzeigen m ssen Ignorieren Sie bestimmte Attribute wenn Sie eine Kopie eines vorhandenen Objekts erstellen Verschl sseln von Attributen Feldtypen in Aufgabenprofilfenstern Wenn Sie ein Attribut nicht in der directory xml Datei ndern m chten legen Sie die Anzeigeeigenschaft f r das Attribut in den Bildschirmdefinitionen fest in denen das vertrauliche Attribut angezeigt wird Mithilfe des Feldtyps k nnen Sie Attribute wie Kennw rter als Reihe von Sternchen anstelle von Klartext anzeigen Hinweis Weitere Informationen zum Feldtyp f r vertrauliche Attribute finden Sie in den Abschnitten zu Feldtypen in der Benutzerkonsolen Hilfe Kapitel 3 Verwaltu
85. openssl ex e pkcs12 export chain inkey key pem in cert pem CAfile cacert pem out my p12 Druckt den Inhalt eines Java Schl sselspeichers keytool list v keystore my keystor e Druckt den Inhalt eines spezifischen Alias in einem Java Schl sselspeicher keytool list v alias myalias keystore my keystor e 380 Konfigurationshandbuch N tzliche Befehle Befehle Beschreibung L scht ein Alias aus einem Java Schl sselspeicher keytool delete alias myalias keystore my keystor e Importiert eine p12 Datei in einen Java Schl sselspeicher keytool importkey store destkeyst ore my keystor e srckeysto re src pl2 srcstoret ype PKCS12 srcalias 1 destalias myalias Importiert ein pem Root CA Zertifikat in einen Java Schl sselspeicher keytool import trustcace rts alias myrootca file rootcacert pem keystore my keystor e Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 381 Index ADMIN_ROLE_CONSTRAINT 145 DYNAMIC_GROUP_MEMBERSHIP 83 ENABLED_STATE 80 FIRST_NAME 80 FULL_NAME 80 GROUP_ MEMBERSHIP 83 GROUP_ADMIN 83 GROUP_ADMIN_GROUP 83 GROUP_DESC 83 GROUP_NAME 83 IDENTITY_POLICY 80 145 LAST_CERTIFIED_ DATE 80 145 LAST_NAME 80 MEMBER_OF 80 NESTED_GROUP_MEMBERSHIP 83 ORG_DESCR 85 ORG_MEMBERSHIP 80 83 85 145 147 Verzeichnisstruktu
86. ordnen Ereignisse die vom Bereitstellungsserver generiert werden einer Admin Aufgabe zu Diese Zuordnungen sind voreingestellt und k nnen nicht ge ndert werden 236 Konfigurationshandbuch Benutzerkonsole Ausgehende Zuordnungen Ausgehende Zuordnungen ordnen Ereignisse die von Admin Aufgaben generiert werden Ereignissen zu die auf das Bereitstellungsverzeichnis angewandt werden F r Ereignisse die sich auf Benutzerattribute auswirken sind Standardzuordnungen vorhanden Benutzerkonsole Auf eine CA IdentityMinder Umgebung wird mithilfe der Benutzerkonsole zugegriffen Dies ist eine Webanwendung die es Benutzern erm glicht Admin Aufgaben auszuf hren Sie definieren gewisse Eigenschaften f r die Benutzerkonsole die Administratoren f r den Zugriff auf die Umgebung verwenden auf der Seite User Console in der Management Konsbole Die Seite User Console enth lt die folgenden Felder General Properties Allgemeine Eigenschaften Definieren Sie allgemeine Eigenschaften die auf eine Umgebung angewandt werden Show Recently Completed Tasks Vor Kurzem abgeschlossene Aufgaben anzeigen Bestimmt ob CA IdentityMinder eine Statusmeldung anzeigt wenn eine Aufgabe abgeschlossen wird Bei Auswahl dieser Option m ssen Benutzer auf OK klicken um die von CA IdentityMinder angezeigte Statusmeldung auszublenden Deaktivieren Sie diese Option um die Meldung auszuschalten sodass Benutzer beim Anzeigen einer Statusmeldun
87. passt m Wenn die NeteAuto Umgebung Organisationen unterst tzt a Klicken Sie im Feld f r den Organisationsnamen auf das Ellipsensymbol um die Organisation auszuw hlen in der CA IdentityMinder die Gruppe erstellt b Erweitern Sie NeteAuto unten im Fenster zum Ausw hlen der Organisation c W hlen Sie die H ndler Organisation aus m Wenn die NeteAuto Umgebung keine Organisationen unterst tzt fahren Sie mit dem n chsten Schritt fort 5 Geben Sie die folgenden Informationen f r die Gruppe ein m Gruppenname H ndler Administratoren m Gruppen Beschreibung Administratoren f r NeteAuto Verkaufsvertretung 6 Klicken Sie auf die Registerkarte Mitgliedschaft und anschlie end auf die Option zum Hinzuf gen eines Benutzers Das Fenster Benutzer ausw hlen wird angezeigt 44 Konfigurationshandbuch 7 8 9 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Klicken Sie auf Suchen Markieren Sie den NeteAuto Administrator und klicken Sie auf Ausw hlen Klicken Sie auf Senden um die Gruppe zu erstellen Verwalten Sie die selbst registrierten Benutzer F hren Sie den folgenden Vorgang aus wenn Sie selbst registrierte Benutzer verwalten m chten Gehen Sie wie folgt vor 1 Melden Sie sich mithilfe der folgenden Anmeldeinformationen am CA IdentityMinder als NeteAuto Administrator an m F r LDAP Verzeichnisse Benutzername NeteAuto Administrator Kennwort test m F r relat
88. sich anzumelden und Kennw rter als Klartext eingeben m Wenn Sie die Verschl sselung auf Attributebene f r einen Benutzerspeicher aktivieren der von anderen Anwendungen als CA IdentityMinder verwendet wird k nnen die anderen Anwendungen das verschl sselte Attribut nicht verwenden Hinzuf gen von Verschl sselung auf Attributebene Nehmen Sie an dass Sie eine Verschl sselung auf Attributebene f r ein CA IdentityMinder Verzeichnis hinzugef gt haben CA IdentityMinder verschl sselt automatisch vorhandene Klartext Attributwerte wenn Sie das Objekt speichern das dem Attribut zugeordnet ist Wenn Sie zum Beispiel das Kennwortattribut verschl sseln wird beim Speichern des Benutzerprofils das Kennwort verschl sselt Hinweis Um den Attributwert zu verschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um das Kennwortattribut im vorherigen Beispiel zu verschl sseln vergewissern Sie sich dass das Kennwortfeld der Aufgabe hinzugef gt wird die Sie zum Speichern des Objekts verwenden zum Beispiel die Aufgabe Benutzer ndern Alle neuen Objekte werden mit verschl sselten Werten im Benutzerspeicher erstellt 132 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Gehen Sie wie folgt vor 1 F hren Sie eine der folgenden Aufgaben aus m Erstellen Sie ein CA IdentityMinder Verzeichnis m Aktualisieren Sie ein vorhandenes Verzeic
89. true wie im folgenden Beispiel gezeigt lt c0nI1lg pr operty name gt vaLlaatesmneauersWwitnr gt lt COnI1g pr perty name gt lt config property type gt java lang String lt config property type gt lt config property value gt true lt config property value gt lt config property gt lt config property gt lt config property name gt Enabled lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt true lt config property value gt lt config property gt lt Set FIPS Mode to true if SiteMinder is in FIPS Only Mode gt lt config property gt lt config property name gt FIPSMode lt config property name gt Suchen Sie die ConnectionURL Eigenschaft und geben Sie den Hostnamen des SiteMinder Richtlinienservers an Verwenden Sie einen vollqualifizierten Dom nennamen FODN Suchen Sie die UserName Eigenschaft und geben Sie das f r die Kommunikation mit SiteMinder zu verwendende Konto an SiteMinder ist der Standardwert f r dieses Konto Suchen Sie die AdminSecret Eigenschaft Geben Sie das verschl sselte Kennwort an Kopieren Sie das Kennwort aus der Datei directory xml die Sie exportiert haben und f gen Sie es in ra xml ein Wenn Sie nicht sicher sind ob Sie ein gebr uchliches Kennwort haben verschl sseln Sie Ihr Kennwort mithilfe des CA IdentityMinder Kennwort Tools F gen Sie das verschl sselte Kennwort in die Datei ra xml e
90. tzlichen Verbindungen fest die ge ffnet werden wenn alle Agent Verbindungen verwendet werden ConnectionTimeout Gibt den Zeitbetrag in Sekunden an die der Agent auf die Verbindung mit SiteMinder warten muss bevor eine Zeit berschreitung eintritt 3 Starten Sie den Anwendungsserver neu Konfigurieren der SiteMinder Hochverf gbarkeit Wenn Sie einen SiteMinder Richtlinienserver Cluster erstellt haben k nnen Sie einen Anwendungsserver Cluster konfigurieren um ihn f r Lastenausgleich und Failover zu verwenden Gehen Sie wie folgt vor 1 Bearbeiten Sie die Datei ra xml an diesem Speicherort WebSphere WAS_PROFILE config cells CELL NAME applications iam im ear deployments Identi tyMinder policyserver_rar META INF Jboss jboss_home server all deploy iam im ear policyserver_rar META INF WebLogic wl_domain applications iam im ear policyserver_rar META INF 2 ndern Sie diese Elemente die in den nachfolgenden Abschnitten erkl rt werden m Verbindungseinstellungen f r den Richtlinienserver m Die Anzahl von Richtlinienservern m Die Auswahl von Lastenausgleich oder Failover f r den Cluster 3 Wiederholen Sie diese Schritte f r jeden CA IdentityMinder Server im Cluster 4 Starten Sie den Anwendungsserver neu damit die nderungen wirksam werden Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis oder eine Umgebung erstellen oder Verzeichnis oder Umgebungseinstellungen ndern legen Sie SiteMinder Failover und Failover
91. u0000000000nnensnennnnnnnennnnnnennnnnnen 290 Konfigurieren einer relationalen Datenbank 220040444000nnennnnennnnnnnnnnnnnnnnnnsnnnnnnnnnnnnsnnnnnsnsnnnnnsnnnnnssnnnn 291 Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server ceeeesssssseenensennensnneennnnenennn 291 Konfigurieren von Microsoft Active Directory zessesesnenennennennnnnenunnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnennnnnsnnnnnennnnnnnenn 292 10 Konfigurationshandbuch Konfigurieren von Microsoft ADAM uessssesessssnsnnnnnenonnnnnennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnennnnnsnsnnnannnnennenn Konfigurieren von CA Directory Server a se Konfigurieren von Novell eDirectory Server ucceeeeensesesnenenssnnennnnnenunnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnonnnnnsnsnnnannnnennenn Konfigurieren von Oracle Internet Directory OID 2220000220ssssssssnnnsnsnennnnnsnnnnnnennnnnnennnnsnsnnnnnnnennnennnenn Pr fen des Richtlinienspeichers u snese ns aandasetarennnan naeh aaa ans i irakar areas Pri en reheer Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Erstellen eines SiteMinder 4 X Agentenobjekts uss0202222220200nonnnnnnnnnnnenonnnneennnn Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen uuuseeseessenansnsnennnannnnnnnnnennnnnnnnnnnnnennnnnnnennnnn L schen aller Verzeichnis und Umgebungsdefinitionen 0222222220000nnnnnnnnnn
92. und Umgebungsdefinitionen Um SiteMinder f r den Schutz von CA IdentityMinder vorzubereiten l scht der Identit tsadministrator die Verzeichnis und Umgebungsdefinitionen mithilfe der CA IdentityMinder Management Konsole Gehen Sie wie folgt vor 1 2 3 4 5 300 Konfigurationshandbuch ffnen Sie die CA IdentityMinder Management Konsole Klicken Sie auf Umgebungen W hlen Sie die erste Umgebung aus Klicken Sie auf L schen Wiederholen Sie diesen Prozess f r jede Ihrer verbleibenden Umgebungen Hinweis L schen Sie die Umgebungen bevor Sie Ihre Verzeichnisse l schen weil die Umgebungen sich auf die Verzeichnisse beziehen Navigieren Sie zur ck zum Abschnitt der Verzeichnisse W hlen Sie alle aufgelisteten Verzeichnisse aus Klicken Sie auf L schen Aktivieren des Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters SiteMinder Richtlinienserver Ressourcenadapters Der Identit tsadministrator aktiviert den SiteMinder Richtlinienserver Ressourcenadapter Der Zweck des Adapters ist den SMSESSION Cookie zu validieren Nach der Validierung erstellt SiteMinder den Benutzerkontext Gehen Sie wie folgt vor 1 Navigieren Sie zum Ordner policysever rar META INF in iam_im ear auf dem Anwendungsserver der CA IdentityMinder ausf hrt ffnen Sie die Datei ra xml in einem Editor Suchen Sie nach config property Enabled und ndern Sie dann den Wert von config property zu
93. und der Benutzer zur Organisation Employees geh rt muss das Profil des Benutzers das Attribut Wertpaar description Employees enthalten Kapitel 6 CA IdentityMinder Umgebungen 193 Erstellen einer CA IdentityMinder Umgebung Gehen Sie wie folgt vor 1 6 Wenn CA IdentityMinder einen Richtlinienserver Cluster verwendet beenden Sie alle bis auf einen Richtlinienserver Wenn Sie einen Cluster von CA IdentityMinder Knoten haben beenden Sie alle bis auf einen CA IdentityMinder Knoten Klicken Sie in der Managementkonsole auf Umgebungen Klicken Sie auf Neu Der CA IdentityMinder Umgebungs Assistent wird ge ffnet Geben Sie die folgenden Informationen an m Umgebungs Name Gibt einen eindeutigen Namen f r die Umgebung an m Beschreibung Beschreibt die Umgebung m Protected Alias Gesch tzter Alias Gibt einen eindeutigen Namen zum Beispiel Mitarbeiter an Dieser Alias wird der URL f r den Zugriff auf gesch tzte Aufgaben in der CA IdentityMinder Umgebung hinzugef gt Wenn dieser Alias zum Beispiel employees ist lautet die URL f r den Zugriff auf die Mitarbeiterumgebung http myserver mycompany com iam im employees Hinweis F r den Alias wird die Gro Kleinschreibung ber cksichtigt und er darf keine Leerzeichen enthalten Es wird empfohlen f r den Alias Kleinbuchstaben und keine Satzzeichen oder Leerzeichen zu verwenden m Base URL Basis DN Gibt die URL f r CA IdentityMinder an Die URL erfor
94. zu sch tzen konfigurieren Sie den SiteMinder Web Agenten der die Umgebung sch tzt sodass die Benutzersitzung beendet wird nachdem der Benutzer sich bei CA IdentityMinder abgemeldet hat Der Web Agent beendet eine Benutzersitzung indem er die SiteMinder Sitzungs und Authentifizierungs Cookies aus dem Webbrowser l scht und den Richtlinienserver beauftragt Sitzungsinformationen zu entfernen 360 Konfigurationshandbuch SiteMinder Vorg nge Um die SiteMinder Sitzung zu beenden konfigurieren Sie die Abmeldefunktionalit t im LogOffURI Feld im Agent Konfigurationsobjekt f r den SiteMinder Agenten der die CA IdentityMinder Umgebung sch tzt Hinweise Ein SiteMinder Agent hat ein LogOff URI Alle vom Agenten gesch tzten Anwendungen verwenden die gleiche Abmeldeseite Wenn Sie benutzerdefinierte Abmeldeseiten in der Management Konsole wie im Abschnitt zum Konfigurieren von benutzerdefinierten Abmeldeseiten beschrieben konfigurieren sendet CA IdentityMinder die Abmeldeanfrage an die benutzerdefinierte Abmeldeseite und den LogOff URI Allerdings zeigt CA IdentityMinder dem Benutzer nur die benutzerdefinierte Abmeldeseite an Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Info
95. zu verwenden und die einzelnen Benachrichtigungen zu verschl sseln Klicken Sie auf Hinzuf gen Wiederholen Sie die Schritte 3 6 f r jede Sicherungsversion der Umgebung Wenn der Anwendungsserver f r die aktuelle Umgebung nicht verf gbar ist wird CA IdentityMinder in einer Sicherungsumgebung ausgef hrt Sie k nnen die aktuelle Umgebung und die Sicherungsumgebungen neu anordnen um die Reihenfolge f r den Failover Befehl festzulegen Wenn es sich um die erste Umgebung handelt geben Sie in die Felder Gemeinsamer geheimer Schl ssel das Kennwort ein das w hrend der CA IdentityMinder Installation f r den Benutzer f r eingebettete Komponenten eingegeben wurde Hinweis Diese Felder gelten nicht wenn FIPS in dieser Installation aktiviert ist Legen Sie die Protokollebene folgenderma en fest m Kein Protokoll Keine Informationen werden in die Protokolldatei geschrieben m Fehler Es werden nur Fehlermeldungen protokolliert m Info Fehler und Informationsmeldungen werden protokolliert Standard m Warnung Fehler Warn und Informationsmeldungen werden protokolliert m Debug Alle Informationen werden protokolliert Starten Sie den Anwendungsserver neu bevor Sie sich bei der Umgebung anmelden Hinweis Ein Protokoll zu eingehenden Synchronisierungsvorg ngen und allen Problemen die w hrend der Synchronisierung aufgetreten sind finden Sie in der folgenden Datei PSHOME logs etanotify lt Datum gt log 202 Ko
96. 1 ist der neue Produktname Identity Manager Der folgende Vorgang umfasst die Schritte zum Erstellen einer Zugriffsrolle 1 Ein Identity Manager Administrator mit der Rolle f r Zugriffsrollen Manager a Erstellt Zugriffsaufgaben b Erstellt eine Zugriffsrolle c Teilt dem SiteMinder Administrator Rollen und Aufgabeninformationen mit Kapitel 12 Integration von CA SiteMinder 345 SiteMinder Vorg nge 2 Ein SiteMinder Administrator erstellt ein rollenbasierte Zugriffssteuerungsrichtlinie wie folgt a Zuordnen eines Benutzerverzeichnisses das mit einer oder mehreren Identity Manager Umgebungen verkn pft ist zu einer Richtliniendom ne b Zuordnen von einer oder mehreren Identity Manager Umgebungen zur Richtliniendom ne in Schritt 1 c Erstellen von Bereichen und Regeln in der Richtliniendom ne wenn sie nicht bereits vorhanden sind Die Bereiche und Regeln sollten den Ressourcen entsprechen auf welche die Zugriffsrollen Zugriff erteilen werden d Erstellen von Richtlinien und Zuordnen zu Rollen in der Identity Manager Umgebung e Optional Angabe von Antworten die den gesch tzten Ressourcen Berechtigungsinformationen liefern Anweisungen zu den vorangehenden Schritten finden Sie unter CA eTrust SiteMinder Richtliniendesign Aktivieren von Zugriffsrollen zur Verwendung mit SiteMinder Um Zugriffsrollen mit CA SiteMinder zu verwenden spiegelt CA IdentityMinder alle Objekte im CA IdentityMinder Objektspeiche
97. 12 52 227 14 und 52 227 19 c 1 bis 2 und DFARS Absatz 252 227 7014 b 3 festgelegten Einschr nkungen soweit anwendbar oder deren Nachfolgebestimmungen Copyright 2013 CA Alle Rechte vorbehalten Alle Marken Produktnamen Dienstleistungsmarken oder Logos auf die hier verwiesen wird sind Eigentum der entsprechenden Rechtsinhaber Technischer Support Kontaktinformationen Wenn Sie technische Unterst tzung f r dieses Produkt ben tigen wenden Sie sich an den Technischen Support unter http www ca com worldwide Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den B rozeiten CA Technolodies Produktreferenzen Dieses Dokument bezieht sich auf die folgenden CA Produkte CA IdentityMinder CA SiteMinder CA Directory CA Berichte zu Benutzeraktivit ten CA GovernanceMinder Inhalt Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 13 Komponenten der CA IdentityMinder Umgebung 240444400nsennnnneennnnnnennnnnnnennnennnensnennnnnnnnnnnnnnnnennsnnnsnnnnnnennnn 13 Mehrere CA IdentityMinder Umgebungen uuuesesessssssnsenonnesnennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnsnnsennonnnnnsnsnnnnnennnnnensnnnnnn 15 CA IdentityMinder Management Konsole uuursssssnessssnnnnesnnnennnsnnnnnonnnennnnnsnnnnnsnsnnnnnnnnnnnnsnannssnsnnnensnnnenssnnnnsnsnnnenn 16 Zugreifen auf die CA IdentityMinder Management Konsole uussesssssenessnnnnennnnnnnonnnnnnnennnnnnnnn
98. 4 Konfigurationshandbuch 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Installieren des Web Proxyserver Plug ins ffnen Sie den Systemmanager und berpr fen Sie dass IIS ISAPI Filter und ISAPI Erweiterung installiert sind Starten Sie inetmgr im Fenster Ausf hren W hlen Sie den Namen aus und doppelklicken Sie auf ISAPI und CGI Einschr nkungen Klicken Sie auf der rechten Seite auf Hinzuf gen Das Fenster ISAPI und CGl Einschr nkungen hinzuf gen wird angezeigt W hlen Sie isapi_redirect dll aus und geben Sie als Beschreibung ISAPI ein Aktivieren Sie das Kontrollk stchen Ausf hrung des Erweiterungspfads zulassen Klicken Sie im Fenster ISAPI und CGl Einschr nkungen hinzuf gen auf OK Erweitern Sie im Bereich Verbindungen den Knoten Sites w hlen Sie die Standardwebsite aus und klicken Sie mit der rechten Maustaste auf Virtuelles Verzeichnis hinzuf gen Geben Sie als Alias jakarta ein und geben Sie den Speicherort der Datei isap_redirect dll c ajp in den physischen Pfad ein Klicken Sie auf die Schaltfl che Einstellungen testen Wenn Authentifizierung und Autorisierung bestanden wurden klicken Sie auf OK Wenn die Autorisierung fehlschl gt klicken Sie auf die Schaltfl che Verbinden als W hlen Sie Bestimmter Benutzer aus und geben Sie den Admin Benutzernamen und das Kennwort an Klicken Sie ern
99. A IdentityMinder erstellt und zu CA IdentityMinder r12 6 1 migriert wurden ndern Sie ggf die Beschreibung die Basis URL oder den gesch tzten bzw ffentlichen Alias Verwalten von Umgebungen 6 Wenn Sie Umgebungseigenschaften ge ndert haben starten Sie die CA IdentityMinder Umgebung neu 7 Wenn Sie in Schritt 1 Richtlinienserver beendet haben starten Sie diese jetzt neu Umgebungseinstellungen Umgebungsspezifische Informationen werden in drei Dateien mit Umgebungseinstellungen gespeichert m alias_environment_roles xml m alias_environment_settings xml m alias_environment xml Hinweis alias bezieht sich auf den Alias f r die Umgebung Sie geben den Alias an wenn Sie die Umgebung erstellen Generieren Sie eine ZIP Datei die diese Dateien enth lt die die aktuelle Konfiguration widerspiegeln wenn Sie die Umgebungseinstellungen exportieren Nachdem Sie die Umgebungseinstellungen exportiert haben importieren Sie die Einstellungen um eine der folgenden Aufgaben auszuf hren m Sie verwalten mehrere Umgebungen mit hnlichen Einstellungen In diesem Fall erstellen Sie eine Umgebung mit den erforderlichen Einstellungen importieren diese Einstellungen in andere Umgebungen und passen dann die Einstellungen in jeder Umgebung nach Bedarf an m Sie migrieren eine Umgebung aus einem Entwicklungssystem in ein Produktionssystem m Sie aktualisieren eine vorhandene Umgebung nachdem Sie ein Upgrade auf eine neue Version von
100. ANCELLED Zeichnet Statusinformationen auf wenn ein Ereignis abgebrochen wird Hinweis Verwenden Sie f r den Wert des Namensparameters nur Gro buchstaben So aktivieren Sie die berpr fung f r eine Aufgabe Nachdem Sie die berpr fung f r CA IdentityMinder konfiguriert haben k nnen Sie festlegen f r welche Aufgaben berpr fungsdaten protokolliert werden Um Audit Daten f r eine Aufgabe zu generieren erstellen oder ndern Sie die Aufgabe in der Benutzerkonsole Aktivieren Sie auf der Registerkarte Profil das Kontrollk stchen berpr fung aktivieren 254 Konfigurationshandbuch So konfigurieren Sie die berpr fung So konfigurieren Sie CA IdentityMinder f r die berpr fung der Anmeldungs und Abmeldungsereignisse von Benutzern Sie k nnen in der Auditeinstellungsdatei konfigurieren dass CA IdentityMinder Anmeldungs und Abmeldungsereignisse berpr ft Standardm ig ist die berpr fung von Anmeldungs und Abmeldungsereignissen aktiviert wenn die berpr fung in der jeweiligen Umgebung aktiviert ist Sie k nnen die berpr fungskonfiguration jedoch aktualisieren um Anmeldungs und Abmeldungsereignisse in einer CA IdentityMinder Umgebung zu aktivieren bzw zu deaktivieren Der Auditstatus f r Anmeldungs und Abmeldungsereignisse wird mittels zwei Statusangaben aufgezeichnet COMPLETE Kennzeichnet eine erfolgreiche Anmeldung bzw Abmeldung des Benutzers INVALID Kennzeichnet eine ung ltige Eingabe des
101. Attribute f r eine relationale Datenbank 4 Geben Sie in den Abfrageparameter das Abfrageschema oder die gespeicherte Prozedur ein das bzw die ausgef hrt werden soll Hinweis ndern Sie nicht den Abfragenamen 5 Speichern Sie die Verzeichniskonfigurationsdatei nachdem Sie die erforderlichen nderungen vorgenommen haben Importieren Sie die Datei um das CA IdentityMinder Verzeichnis zu aktualisieren siehe Seite 188 Bekannte Attribute f r eine relationale Datenbank Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder Sie werden durch die folgende Syntax gekennzeichnet ATTRIBUTENAME In dieser Syntax muss ATTRIBUTENAME gro geschrieben werden Ein bekanntes Attribut wird mithilfe einer Attributbeschreibung siehe Seite 123 einem physischem Attribut zugeordnet In der folgenden Attributbeschreibung wird das Attribut tblUsers password dem bekannten Attribut PASSWORD zugeordnet sodass CA IdentityMinder den Wert in tblUsers password als ein Kennwort erkennt lt ImsManagedObjectAttr physicalname tblUsers password displayname Password description Password valuetype String required false multivalued false wellknown amp PASSWORD maxlength 0 gt Einige bekannte Attribute sind erforderlich w hrend andere optional sind 144 Konfigurationshandbuch Bekannte Attribute f r eine relationale Datenbank Bekannte Attribute f r Benutzer Die folgende Liste enth lt bekannt
102. Aufgaben ausgeblendet wird Nicht kopieren Zeigt an dass das Attribut ignoriert werden muss wenn ein Administrator die Kopie eines Objekts erstellt Kapitel 5 CA IdentityMinder Verzeichnisse 169 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Vormals verschl sselt Zeigt an dass das Attribut auf das im Benutzerspeicher zugegriffen wird vormals verschl sselt war und dass eine Entschl sselung erforderlich ist Der eindeutige Textwert wird im Benutzerspeicher gesichert wenn das Objekt gespeichert wird Ungekennzeichnet verschl sselt Zeigt an dass das Attribut vormals im Benutzerspeicher verschl sselt war und dass kein Kennungsname des Verschl sselungsalgorithmus am Anfang des verschl sselten Textes vorliegt Datentyp Gibt den Datentyp des Wertes f r das verwaltete Objektattribut in der Benutzerkonsole an Zur Auswahl stehen folgende Komponenten m READONLY m WRITEONCE m READWRITE Maximum Length Maximale L nge Gibt die maximale L nge des Wertes f r das verwaltete Objektattribut an Standard 0 Validation Rule Set Validierungsregelsatz Gibt die Validierungsregels tze an um den Wert des verwalteten Objektattributs zu validieren Zur Auswahl stehen folgende Komponenten m User Validation Benutzervalidierung m Phone Format Telefonformat m International Phone Format Internationales Telefonformat Schaltfl che Zur ck Klicken Sie auf diese Schaltfl che um zum M
103. Benutzer sichtbarer Name der Aufgabe m description Ein optionaler Kommentar ber den Zweck der Aufgabe m application Die Anwendung die der Aufgabe zugeordnet ist m tag Die eindeutige Kennung der Aufgabe m reservedi reserved2 reserved3 reserved4 Die Werte f r die reservierten Felder der Aufgabe So konfigurieren Sie die berpr fung G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ADMINISTRATIVE ROLE ADMINISTRATIVE TASK GROUP G ltige Attribute name F r Benutzer sichtbarer Name der Rolle description Ein optionaler Kommentar ber den Zweck der Rolle members Die Benutzer die die Rolle verwenden k nnen administrators Die Benutzer die Rollenmitglieder oder Administratoren zuweisen k nnen owners Die Benutzer die die Rolle ndern k nnen enabled Gibt an ob die Rolle aktiviert ist oder nicht assignable Gibt an ob die Rolle von einem Administrator zugewiesen werden kann oder nicht tasks Die Aufgaben die der Rolle zugeordnet sind name F r Benutzer sichtbarer Name der Aufgabe description Ein optionaler Kommentar ber den Zweck der Aufgabe tag Die eindeutige Kennung der Aufgabe category Die Kategorie in der CA IdentityMinder Benutzeroberfl che unter der die Aufgabe angezeigt wird primary_object Das Objekt auf das die Aufgabe angewandt wird action Der Vorgang der f r das Objekt ausgef hrt wird hidden Gibt an dass die Aufgabe nic
104. Benutzerkonsole erstellt Nehmen Sie zum Beispiel an dass Sie ignore_on_copy f r das Kennwortattribut eines Benutzerobjekts angegeben haben Wenn Sie ein Benutzerprofil kopieren bertr gt CA IdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neue Benutzerprofil Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte AttributeLevelEncrypt Verschl sselt Attributwerte wenn sie im Benutzerspeicher gespeichert werden Wenn CA IdentityMinder f r FIPS 140 2 aktiviert ist verwendet CA IdentityMinder die RC2 Verschl sselung oder die FIPS 140 2 Verschl sselung Weitere Informationen zur Unterst tzung von FIPS 140 2 in CA IdentityMinder finden Sie im Konfigurationshandbuch Die Attribute werden w hrend Laufzeit als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 PreviouslyEncrypted Hat zur Folge dass CA IdentityMinder alle verschl sselte Werte im Attribut erkennt und entschl sselt wenn das Objekt im Benutzerspeicher aufgerufen wird Mithilfe dieser Datenklassifizierung k nnen Sie alle zuvor verschl sselten Werte entschl sseln Der Klartextwert wird im Speicher gespeichert wenn Sie das Objekt speichern Kapitel
105. CA IdentityMinder Konfigurationshandbuch r12 6 1 Diese Dokumentation die eingebettete Hilfesysteme und elektronisch verteilte Materialien beinhaltet im Folgenden als Dokumentation bezeichnet dient ausschlie lich zu Informationszwecken des Nutzers und kann von CA jederzeit ge ndert oder zur ckgenommen werden Diese Dokumentation darf ohne vorherige schriftliche Genehmigung von CA weder vollst ndig noch auszugsweise kopiert bertragen vervielf ltigt ver ffentlicht ge ndert oder dupliziert werden Diese Dokumentation enth lt vertrauliche und firmeneigene Informationen von CA und darf vom Nutzer nicht weitergegeben oder zu anderen Zwecken verwendet werden als zu denen die i in einer separaten Vereinbarung zwischen dem Nutzer und CA ber die Verwendung der CA Software auf die sich die Dokumentation bezieht zugelassen sind oder die ii in einer separaten Vertraulichkeitsvereinbarung zwischen dem Nutzer und CA festgehalten wurden Ungeachtet der oben genannten Bestimmungen ist der Benutzer der ber eine Lizenz f r das bzw die in dieser Dokumentation ber cksichtigten Software Produkt e verf gt berechtigt eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen innerbetrieblichen Gebrauch im Zusammenhang mit der betreffenden Software auszudrucken vorausgesetzt dass jedes Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enth lt Dieses Recht zum Drucken oder anderweitigen Anfertigen einer
106. CA IdentityMinder Format ATTRIBUTENAME Hinweis Wenn ein benutzerdefinierter Vorgang einem Attribut zugeordnet wird m ssen Sie ein bekanntes Attribut siehe Seite 79 angeben maxlength Bestimmt die maximale Gr e der Spalte permission 126 Konfigurationshandbuch Gibt wie folgt an ob der Wert eines Attributs in einem Aufgabenfenster ge ndert werden kann READONLY Der Wert wird angezeigt kann aber nicht ge ndert werden WRITEONCE Der Wert kann nicht mehr ge ndert werden nachdem das Objekt erstellt wurde Zum Beispiel kann eine Benutzer ID nicht ge ndert werden nachdem der Benutzer erstellt wurde READWRITE Der Wert kann ge ndert werden Standardeinstellung So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei hidden Gibt wie folgt an ob ein Attribut in den CA IdentityMinder Aufgabenfenstern angezeigt wird m True Das Attribut wird den Benutzern nicht angezeigt m False Das Attribut wird den Benutzern angezeigt Standardeinstellung Logische Attribute verwenden verborgene Attribute Hinweis Weitere Informationen zu logischen Attributen finden Sie im Programmierhandbuch f r Java system Nur CA IdentityMinder verwendet die Attribute Gibt wie folgt an dass Benutzer die Attribute in der Benutzerkonsole nicht ndern d rfen m True Benutzer d rfen das Attribut nicht ndern Das Attribut wird in der Benutzerkonsole nicht angezeigt m False Benutzer k nnen
107. CA IdentityMinder durchgef hrt haben Kapitel 6 CA IdentityMinder Umgebungen 207 Verwalten von Umgebungen Exportieren einer CA IdentityMinder Umgebung Um eine CA IdentityMinder Umgebung auf einem Produktionssystem bereitzustellen exportieren Sie die Umgebung aus einem Entwicklungs oder Staging System und importieren Sie sie in das Produktionssystem Hinweis Wenn Sie eine zuvor exportierte Umgebung importieren zeigt CA IdentityMinder ein Protokoll in einem Statusfenster in der Management Konsole an Um Validierungs und Bereitstellungsinformationen f r jedes verwaltete Objekt und seine Attribute in diesem Protokoll anzuzeigen w hlen Sie das Feld Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren auf der Seite Environment Properties Umgebungseigenschaften aus bevor Sie die Umgebung exportieren Die Auswahl des Felds Enable Verbose Log Output kann betr chtliche Leistungsprobleme beim Importieren verursachen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 W hlen Sie die Umgebung aus die Sie exportieren m chten 3 Klicken Sie auf die Schaltfl che Exportieren Ein Dateidownload Fenster wird angezeigt 4 Speichern Sie die ZIP Datei an einem Speicherort auf den das Produktionssystem zugreifen kann 5 Klicken Sie auf Fertig ste
108. CBCPKCS12PBES128Handler com rsa jsafe JSAFE_InputException Unexpected padding chars 2010 12 13 10 43 04 262 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server Failed to init Agent API 1 at com netegrity ra policyserver impl PSManagedConnectionFfactory createManagedConnection P amp Mananenfannent innFartarw iawa aa Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AgentSecret in ra xml lt config property gt lt config property name gt AgentSecret lt config property name gt lt config property type gt java lang String lt config property type gt Keonfig property value gt PDRS x1x8 900nHDOB3Rav9VZJA 2 config PEO PEE E VATES lt config property gt lt config property gt 2 Geben Sie das verschl sselte Kennwort an das verwendet wurde als Sie diesen Agenten erstellt haben Weitere Informationen ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels siehe Seite 363 332 Konfigurationshandbuch Fehlerbehebung Kein Benutzerkontext in CA IdentityMinder Symptom Kein Benutzerkontext in CA IdentityMinder Wenn ein Benutzer versucht auf CA IdentityMinder ohne einen SMSESSION Cookie zuzugreifen kann CA IdentityMinder den Benutzer nicht authentifizieren In diesem Fall k nnen Sie eine leere CA IdentityMinder Benutzeroberfl che er
109. CreateDatabaseS chema Schema for Report Snapshot is up to date default Startup Step 2 Attempting to start PolicyServerService jboss resource connectionmanager JBossManagedConnectionPool Throwable while null javax resource spi EISSystemException Cannot connect to policy server Failed to init Agent API 1 at com netegrity ra policyserver impl P5ManagedConnectionFactory createManagedConnection PSManagedConnectionfactory java 299 at org jboss resource connectionmanager InternalManagedConnectionPool createConnectionEventListener Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AgentName in ra xml lt config property gt lt config property gt lt config property gt lt config property gt umnfin mennarte nama A annt Cananunt s unnfin nranarte namen lt config property name gt AgentName lt config property name gt lt config property type gt java lang String lt config property type gt eonfig property value gt idmagent 2 Geben Sie den 4 X Agentennamen an den Sie w hrend Schritt 3 der SiteMinder Konfiguration erstellt haben Kapitel 12 Integration von CA SiteMinder 331 Fehlerbehebung Falscher geheimer Agentenschl ssel Symptom Falscher geheimer Agentenschl ssel L sung Wird ein falscher geheimer Agentenschl ssel angegeben wird in ra xml der Initialisierungsfehler Cannot connect to policy server Failed to init Agent API 1 mit einem vorangestellten
110. Datenbank in einer Verzeichniskonfigurationsdatei 130 Konfigurationshandbuch AttributeLevelEncrypt Verschl sselt Attributwerte wenn sie im Benutzerspeicher gespeichert werden Wenn CA IdentityMinder f r FIPS 140 2 aktiviert ist verwendet CA IdentityMinder die RC2 Verschl sselung oder die FIPS 140 2 Verschl sselung Weitere Informationen zur Unterst tzung von FIPS 140 2 in CA IdentityMinder finden Sie im Konfigurationshandbuch Die Attribute werden w hrend Laufzeit als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 PreviouslyEncrypted Hat zur Folge dass CA IdentityMinder alle verschl sselte Werte im Attribut erkennt und entschl sselt wenn das Objekt im Benutzerspeicher aufgerufen wird Mithilfe dieser Datenklassifizierung k nnen Sie alle zuvor verschl sselten Werte entschl sseln Der Klartextwert wird im Speicher gespeichert wenn Sie das Objekt speichern So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Konfigurieren von Datenklassifizierungs Attributen Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut 2 F gen Sie das folgende Attribut nach der Attributbeschreibung h
111. Der Wert muss eine Ganzzahl sein Der Parameter Number unterst tzt Dezimalzahlen Datum Der Wert muss sich in ein g ltiges Datum nach folgendem Muster aufl sen lassen MM TT JJ ISODate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJ MM TT aufl sen lassen UnicenterDate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJJJJTTT aufl sen lassen Dabei gilt JJJJJJJ ist eine siebenstellige Darstellung f r ein Jahr bei dem am Anfang vor der eigentlichen Jahreszahl drei Nullen stehen Beispiel 0002008 TTT ist eine dreistellige Darstellung f r einen Tag bei dem am Anfang je nach Bedarf Nullen gesetzt werden Die g ltigen Werte umfassen hierbei den Bereich von 001 bis 366 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 67 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Strukturiert Dieser Typ von Attribut besteht aus strukturierten Daten die es einem einzelnen Attributwert erm glichen mehrere verkn pfte Werte zu speichern Zum Beispiel enth lt ein strukturiertes Attribut etwa Werte zu Vornamen Nachnamen oder E Mail Adressen Bestimmte Endpunkttypen verwenden diese Attribute werden aber durch CA IdentityMinder verwaltet Hinweis CA IdentityMinder kann strukturierte Attribute in einer Tabelle in der Benutzerkonsole anzeigen Wenn Benutzer Werte in der Tabelle bearbeiten werden die Werte im Benutzerspeicher gespeichert und zur ck zum Endpunkt
112. Erweiterungsname WASPlugin Pfad C plugin iisWASPlugin_http dil c Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung um sie zum Status Zugelassen zu ndern Starten Sie den IIS Webserver neu Stellen Sie im Master W W W Service sicher dass das WebSphere Plug in sePlugin nach dem SiteMinder Web Agent Plug in angezeigt wird und dass das WebSphere Plug in erfolgreich gestartet wurde Installieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf iPlanet oder Apache Nachdem Sie den IBM HTTP Server und das Proxy Plug in konfiguriert haben vergewissern Sie sich dass plugin cfg xml des Proxys am richtigen Speicherort ist und starten den Webserver neu Gehen Sie wie folgt vor 1 Kopieren Sie plugin cfg xml aus dem System wo Sie das Proxy Plug in installiert haben zum folgenden Speicherort websphere_home AppServer profiles server_name config cells websphere_celN no des webserver1_node servers webserver1 Stellen Sie sicher dass das WebSphere Plug in libns41_http so nach dem SiteMinder Web Agent Plug in NSAPIWebAgent so auf allen iPlanet Webservern geladen wird berpr fen Sie die Reihenfolge von Plug ins in iplanet_home https instance config magnus conf f r IPlanet 6 0 Webserver Kopieren Sie die folgenden Zeilen von iplanet_home https instance config magnus conf nach iplanet_home https instance config obj conf IPlanet 5 x Webserver Init fn load modules funcs a
113. Fehler des Verschl sselungshandlers wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 42 54 622 WARN ims default Copyright 2000 2010 CA All Rights Reserved 2010 12 13 10 42 54 653 WARN ims default HHHHHHHHHHHHHHHHHHHHHRHRHHHHHHHHHHHHHHHHHHHRHHER 2010 12 13 10 42 54 653 WARN ims default IAM Framework 12 5 4 0 461 2010 12 13 10 42 54 653 WARN ims default HHHHHHHHHHHHHHHHHHHHHHHHHHHHRHHHHHHHHHRHHHHHHRHER 2010 12 13 10 42 54 653 WARN ims default HHHHHHHHHHHHHHHHHHHHHRHHHHHRRHHHHHHHRHRHHHHRHHER 2010 12 13 10 42 54 653 WARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 10 42 54 653 WARN ims default BRRRRRRRRRRHHRHHRRRRRRRRRRRRHHHHRRHRHRRRHRRRHRRRRNEN 2010 12 13 10 42 54 653 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 10 42 54 653 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 42 54 809 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 42 54 840 WARN ims tmt CreateDatabaseSchema Schema for Archive is up to date 2010 12 13 10 42 54 887 WARN ims tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 42 54 918 WARN ims tmt CreateDatabaseSchema Schema for Report Snapshot is up to date 2010 12 13 10 42 54 918 WARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 42 54 934 ERROR com netegrity crypto PBESHAIRC2
114. Gruppen in der Benutzerkonsole selbstabonnierend sind Hinweis Weitere Informationen zur Verwaltung von Gruppen finden Sie im Administrationshandbuch Konfigurieren von dynamischen und verschachtelten Gruppen Wenn Sie einen LDAP Benutzerspeicher verwalten k nnen Sie Unterst tzung f r die folgenden Typen von Gruppen in der Verzeichniskonfigurationsdatei konfigurieren Dynamische Gruppen Erm glicht Ihnen die Definition von Gruppenmitgliedschaften indem Sie in der Benutzerkonsole eine LDAP Filterabfrage dynamisch angeben Bei Verwendung von dynamischen Gruppen m ssen Administratoren nicht einzeln nach Gruppenmitgliedern suchen und diese hinzuf gen Verschachtelte Gruppen Erm glicht es Ihnen Gruppen als Mitglieder anderer Gruppen hinzuzuf gen Sie k nnen dynamische und verschachtelte Gruppen mithilfe der Verzeichniskonfigurationsdatei aktivieren Kapitel 3 Verwaltung des LDAP Benutzerspeichers 89 So konfigurieren Sie Gruppen Gehen Sie wie folgt vor 1 Ordnen Sie nach Bedarf die folgenden bekannten Attribute siehe Seite 83 physischen Attributen f r das verwaltete Objekt Gruppe zu m DYNAMIC_GROUP_MEMBERSHIP m NESTED_GROUP_MEMBERSHIP Hinweis Das ausgew hlte physische Attribut muss mehrere Werte unterst tzen 2 F gen Sie im Abschnitt f r das Verzeichnisgruppenverhalten das folgende GroupTypes Element hinzu lt GroupTypes type group gt 3 Geben Sie einen Wert f r den folgenden Parameter ein g
115. HHRHHHRRHRRRRHHEHHRRRRHHRHRR 2010 12 13 10 26 23 293 WARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 10 26 23 293 WARN ims default HHARHHRRHHRHHRHHRHHHRHRHRHHRHRRRHHRRRRRRHRRRRRRR 2010 12 13 10 26 23 293 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 10 3 293 WARN ims default Startup Step 1 Attempting to start ServiceLocator 2010 12 13 10 3 465 VARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 23 497 WARN ims tmt CreateDatabaseSchema Schema for Archive is up to date 2010 12 13 10 26 23 528 WARN ims tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 26 23 559 WARN ims tmt CreateDatabaseSchema Schema for Report Snapshot is up to date 2010 12 13 10 26 23 559 WARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 26 25 809 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server dfsadf dfsadf at com netegrity ra policyserver impl PSManagedConnectionFactory createManagedConnection PSManagedConnectionFactory java 299 at org jboss resource connectionmanager InternallanagedConnectionPool createConnectionEventListener InternalManagedConnectionPool java 619 at org jboss resource connectionmanager Internallfa
116. Hinweis CA IdentityMinder l scht keine Objekt oder Attributdefinitionen Die Verzeichniskonfigurationsdatei darf nur die nderungen enthalten die Sie vornehmen wollen Sie sollten keine Eigenschaften oder Attribute einschlie en die bereits definiert sind Hinweis Wenn Sie einen Cluster von CA IdentityMinder Knoten haben kann nur ein CA IdentityMinder Knoten aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen Halten Sie alle au er einen CA IdentityMinder Knoten an bevor Sie ein CA IdentityMinder Verzeichnis erstellen oder ndern Gehen Sie wie folgt vor 1 Exportieren Sie die aktuellen CA IdentityMinder Verzeichniseinstellungen in eine XML Datei 2 ndern Sie die XML Datei um Ihre nderungen widerzuspiegeln 3 Klicken Sie auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 4 Klicken Sie auf den Namen des zu aktualisierenden Verzeichnisses Die Eigenschaften f r das CA IdentityMinder Verzeichnis werden angezeigt 5 Klicken unten im Eigenschaftsfenster auf Aktualisieren 6 Geben Sie den Pfad und Dateinamen der XML Datei f r das Aktualisieren des CA IdentityMinder Verzeichnisses ein oder suchen Sie nach der Datei Klicken Sie auf Fertig stellen Statusinformationen werden im Verzeichniskonfigurations Ausgabefeld angezeigt 7 Klicken Sie auf Fortfahren 188 Konfigurationshandbuch Aktualisieren von Einstellungen f r ein CA IdentityMinder Ver
117. IIS siehe Seite 311 m Abschlie en der Konfiguration auf iPlanet oder Apache siehe Seite 313 Kapitel 12 Integration von CA SiteMinder 307 Installieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf IIS 7 0 Bevor Sie diesen Vorgang starten berpr fen Sie dass Sie eine Version 6 1 0 9 oder h her des Webserver Plug ins verwenden ltere Plug in Versionen unterst tzen das Windows Server 2008 Betriebssystem nicht Gehen Sie wie folgt vor 1 308 Konfigurationshandbuch Installieren Sie IIS Version 7 0 mit den Verwaltungskompatibilit tskomponenten von IIS Version 6 0 Die Verwaltungskompatibilit tskomponenten von IIS Version 6 0 werden nicht standardm ig installiert F hren Sie die folgenden Schritte aus um das Server Manager Fenster auf Windows Server 2008 aufzurufen 1 Klicken Sie auf Start Verwaltung Server Manager 2 Klicken Sie auf Aktion Rollen hinzuf gen und klicken Sie dann auf Weiter 3 W hlen Sie die Rolle f r Webserver IIS auf der Seite Serverrollen ausw hlen aus und klicken Sie dann auf Weiter 4 Klicken Sie auf Feature hinzuf gen Weiter wenn eine Aufforderung f r den Windows Prozessaktivierungsdienst angezeigt wird 5 Klicken Sie auf der IIS Einf hrungsseite auf Weiter Wenn das Fenster Rollendienste angezeigt wird stellen Sie sicher dass die folgenden Optionen zus tzlich zu den Standardoptionen die bereits ausgew hlt si
118. ION PARENTORG RELATIONSHIP Das Objekt RELATIONSHIP beschreibt Containerbeziehungen wenn ein Objekt ein oder mehrere andere Objekte einschlie t Beispiele f r Containerbeziehungen sind verschachtelte Gruppen Gruppen und Rollenmitgliedschaften sowie hierarchische Organisationen Im Objekt RELATIONSHIP werden das bergeordnete Objekt und die im bergeordneten Objekt enthaltenen Objekte dargestellt USER NONE So konfigurieren Sie die berpr fung auditlevel Gibt die Art von Informationen an die f r ein Attribut im Profil eines Objekts aufgezeichnet werden Die Auditebene die Sie f r das AuditProfile Element angeben wird auf alle Attribute im Profil eines Objekts angewandt sofern keine andere Auditebene im AuditProfileAttribute Element definiert wurde In diesen Elementen festgelegte Auditebenen berschreiben die im AuditProfile Element definierten Auditebenen AuditLevel Werte siehe Seite 246 f hren g ltige Werte f r das AuditLevel Element auf AuditProfileAttribute Element AuditProfileAttribute Elemente geben die Attribute an die CA IdentityMinder berpr ft Die Attribute beziehen sich auf das im AuditProfile Element angegebene Objekt Hinweis Wenn keine Auditprofilattribute angegeben wurden werden alle Attribute f r das im AuditProfile Element angegebene Objekt protokolliert Das AuditProfileAttribute Element beinhaltet die folgenden Parameter name Definiert den Namen des zu berpr fenden Attributs
119. In den folgenden Abschnitten wird beschrieben wie Sie eine SQL oder Oracle Datenquelle f r WebSphere Anwendungsserver erstellen Erstellen einer SQL Server Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 112 Konfigurationshandbuch Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben W hlen Sie im Abschnitt Weitere Eigenschaften die Option Datenquellen aus Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore Datenbankname userstore_name Servername db_systemname So erstellen Sie eine JDBC Datenquelle 4 Konfigurieren Sie die selectMethod Eigenschaft wie folgt a W hlen Sie im Abschnitt Weitere Eigenschaften die Option Benutzerdefinierte Eigenschaften aus b Klicken Sie auf die benutzerdefinierte Eigenschaft selectMethod c Geben Sie den folgenden Text in das Feld Wert ein cursor d Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen 5 Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a W hlen Sie im Abschnitt f r verkn pfte Elemente J2EE Connector Architecture Authentifizierungsdateneintr ge J2C aus b Klicken Sie auf Neu c Geben Sie folgende Eige
120. Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server Sun Java System Directory Server unterst tzt Virtual List View VLV eine Methode zum Zur ckgeben von Suchergebnissen in einer bestimmten Reihenfolge oder in bestimmten Teilmengen Diese Methode unterscheidet sich von der Simple Paged Results Methode von der CA IdentityMinder ausgeht Um VLV verwenden zu k nnen m ssen Sie Berechtigungen festlegen und Indizes erstellen CA IdentityMinder beinhaltet die folgenden Dateien die Sie f r die Paging Unterst tzung konfigurieren m ssen m vlventrl ldif m vlvindex ldif m runvlvindex cmd runvlvindex sh Diese Dateien sind Teil des NeteAuto Beispiels unter samples NeteAuto in den Verwaltungstools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager UNIX opt CA IdentityManager lAM_Suite Identity_Manager Gehen Sie wie folgt vor 1 F gen Sie dem DirectorySearch Element siehe Seite 58 in der Datei directory xml f r das CA IdentityMinder Verzeichnis den folgenden Parameter hinzu minsortrules 1 Hinweis Weitere Informationen zum ndern eines vorhandenen CA IdentityMinder Verzeichnisses finden Sie unter Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 2 Legen Sie die folgenden Berechtigungen f r die Datei vlventrl ldif fest ldapmodify D cn Directory Manager
121. Kopie der Dokumentation beschr nkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz Sollte die Lizenz aus irgendeinem Grund enden best tigt der Lizenznehmer gegen ber CA schriftlich dass alle Kopien oder Teilkopien der Dokumentation an CA zur ckgegeben oder vernichtet worden sind SOWEIT NACH ANWENDBAREM RECHT ERLAUBT STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEW HRLEISTUNG ZUR VERF GUNG DAZU GEH REN INSBESONDERE STILLSCHWEIGENDE GEW HRLEISTUNGEN DER MARKTTAUGLICHKEIT DER EIGNUNG F R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN IN KEINEM FALL HAFTET CA GEGEN BER IHNEN ODER DRITTEN GEGEN BER F R VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCH DEN DIE AUS DER NUTZUNG DIESER DOKUMENTATION ENTSTEHEN DAZU GEH REN INSBESONDERE ENTGANGENE GEWINNE VERLORENGEGANGENE INVESTITIONEN BETRIEBSUNTERBRECHUNG VERLUST VON GOODWILL ODER DATENVERLUST SELBST WENN CA BER DIE M GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE Die Verwendung aller in der Dokumentation aufgef hrten Software Produkte unterliegt den entsprechenden Lizenzvereinbarungen und diese werden durch die Bedingungen dieser rechtlichen Hinweise in keiner Weise ver ndert Diese Dokumentation wurde von CA hergestellt Zur Verf gung gestellt mit Restricted Rights eingeschr nkten Rechten geliefert Die Verwendung Duplizierung oder Ver ffentlichung durch die US Regierung unterliegt den in FAR Abs tze 12 2
122. L Zertifikate anstelle von Zertifikaten konfigurieren die mit der SHA 1 Hash Funktion signiert wurden Hinweis Weitere Informationen zur Konfiguration von SSL Zertifikaten finden Sie im Installationshandbuch Die folgende Tabelle zeigt den Pfad auf dem CA IdentityMinder Server an wo Sie die SHA 2 signierten Zertifikate speichern k nnen Zertifikate Installationspfad Bereitstellungsserver Z Bereitstellungsserver Installationsverzeichnis d ertifikat ata tls server eta2_servercert pem Bereitstellungsserver Installationsverzeichnis d ata tls server eta2_serverkey pem cs_install ccs data tls server eta2_servercert pe m cs_install ccs data tls server eta2_serverkey pe m cs_install jes conf eta2_server p12 Beschreibung Vom Bereitstellungsserver im pem Format und von CA IAM CS im p12 Format verwendet einschlie lich signiertes Zertifikat privater Schl ssel und Stamm CA Zertifikat Hinweis Importieren Sie eta2_server p12 in cs_install jes conf ssl keystore unter dem Alias eta2_server und entfernen Sie den vorhandenen Eintrag Das ssl keystore Kennwort ist das Kennwort des Connector Servers das w hrend der Installation angegeben wird Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 377 FIPS Modus Protokollierung Zertifikate Bereitstellungs Client Z ertifikat Vertrauensw rdiges Zertifikat des Bereitstellungsverzeich nisses Pers nliches Zertifika
123. Migrieren von Workflow Prozessdefinitionen Wenn Sie in der Entwicklungsumgebung einen Workflow verwendet haben exportieren Sie die Workflow Definitionen und importieren Sie sie in die Produktionsumgebung Konfigurieren Sie anschlie end den Workflow in jedem Serverknoten Exportieren von Prozessdefinitionen Exportieren Sie die Workflow Prozessdefinitionen auf dem Entwicklungsumgebungssystem Gehen Sie wie folgt vor 1 2 266 Konfigurationshandbuch Stellen Sie sicher dass der Anwendungsserver ausgef hrt wird Wechseln Sie in das Verzeichnis admin_tools Workpoint bin und f hren Sie die Datei Archive bat f r Windows oder Archive sh f r UNIX wie folgt aus a b C W hlen Sie im Dialogfeld Importieren das Stammobjekt aus Klicken Sie auf Hinzuf gen Geben Sie den Namen der zu generierenden Datei an Migrieren von Workflow Prozessdefinitionen d Klicken Sie auf Exportieren e Klicken Sie auf Los admin_tools bezieht sich auf die Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools F hren Sie die Anweisungen im n chsten Abschnitt Importieren von Prozessdefinitionen siehe Seite 267 aus Importieren von Prozessdefinitionen Importieren Sie auf dem Produktionsumgebungssystem die Workflow Prozess
124. Minder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen USER_ID Erforderlich F hrt Zuordnungen zur ID eines Benutzers durch Bekannte Attribute f r Gruppen Die folgenden Elemente stellen die Liste der Gruppe der bekannten Attribute dar GROUP_ADMIN_GROUP Zeigt an welches Attribut eine Liste von Gruppen speichert die wiederum als Administratoren einer Gruppe fungieren k nnen Wenn zum Beispiel die Gruppe 1 ein Administrator der Gruppe A ist wird Gruppe 1 im GROUP_ADMIN_GROUP Attribut gespeichert Hinweis Wenn Sie kein GROUP_ADMIN_GROUP Attribut angeben speichert CA IdentityMinder die Administratorgruppen im GROUP_ADMIN Attribut Hinweis Um eine Gruppe als Administrator einer anderen Gruppe hinzuzuf gen lesen Sie die entsprechenden Abschnitte im Administrationshandbuch Kapitel 3 Verwaltung des LDAP Benutzerspeichers 83 Bekannte Attribute f r einen LDAP Benutzerspeicher GROUP_ADMIN Zeigt an welches Attribut die DNs der Administratoren einer Gruppe enth lt Das physische Attribut das zu GROUP_ADMIN zugeordnet ist muss mehrwertig sein GROUP_DESC Zeigt an welches Attribut die Beschreibung einer Gruppe enth lt GROUP_MEMBERSHIP Erforderlich Zeigt an welches Attribut eine Liste der Mitglieder einer Gruppe enth lt Das physische Attribut das zu GROUP_MEMBERSHIP zu
125. Minder Objekte sind in der Datenbank oder dem Verzeichnis des Richtlinienspeichers vorhanden Die CA IdentityMinder Objekte fangen mit dem Pr fix ims an Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Der Richtlinienadministrator importiert das CA IdentityMinder Schema in den Richtlinienspeicher Durch diese Aufgabe kann CA IdentityMinder Richtlinienobjekte erstellen aktualisieren und l schen Beispiele hierf r sind Verzeichnisobjekte Dom nen Bereiche Regeln Richtlinien und die Richtlinienobjekte die Zugriffsrollen und aufgaben aktivieren Gehen Sie wie folgt vor 1 2 Beenden Sie auf dem SiteMinder Richtlinienserver den Richtlinienserverdienst F hren Sie das CA IdentityMinder Installationsprogramm f r die Version aus die Sie verwenden Wenn Sie gefragt werden welche Komponenten Sie installieren m chten w hlen Sie die Erweiterungen f r SiteMinder aus wenn SiteMinder lokal installiert ist Stellen Sie sicher dass der Richtlinienserverdienst neu gestartet wurde bevor Sie fortfahren Erstellen eines SiteMinder 4 X Agentenobjekts Der Richtlinienadministrator erstellt einen SiteMinder 4 x Web Agenten Diese Aufgabe erm glicht die Kommunikation zwischen SiteMinder und CA IdentityMinder Der Identit tsadministrator bezieht sich w hrend der CA IdentityMinder Konfiguration auf diesen Agenten Gehen Sie wie folgt vor
126. Minder im FIPS Modus ausgef hrt wird indem Sie nach der folgenden Schl sseldatei suchen config com netegrity config keys FIPSkey dat Wenn diese Datei vorhanden ist wird CA IdentityMinder im FIPS Modus ausgef hrt Die FIPSkey dat Schl sseldatei wird vom Kennwort Tool Hilfsprogramm pwdtools bat oder pwdtools sh w hrend der Installation von lt CA idmgr gt erstellt 374 Konfigurationshandbuch Verschl sselte Textformate Verschl sselte Textformate Der Algorithmusname wird dem verschl sselten Text als ein Pr fix hinzugef gt und informiert CA IdentityMinder welcher Algorithmus f r die Verschl sselung verwendet wurde Im FIPS Modus ist das Pr fix AES Wenn Sie beispielsweise den Text password verschl sseln ist der verschl sselte Text hnlich wie das folgende Beispiel AES eolQCTq1CGPyg6ge 0asg Im Nicht FIPS Modus oder JSAFE Modus ist das Pr fix Algorithmustag je nach Algorithmus PBES oder RC2 Wenn Sie beispielsweise den Text password verschl sseln ist der verschl sselte Text hnlich wie folgt PBES gSex2 BhDGzEKWVF mzca4w Sie k nnen dynamische Schl ssel mithilfe der Aufgabe f r geheime Schl ssel im System erstellen Wenn Sie dynamische Schl ssel definieren wird die Schl ssel ID zwischen einem Algorithmustag und Tagtrennzeichen eingef gt Fehlt die Schl ssel ID in den verschl sselten Daten zeigt dies an dass hartcodierter Schl ssel f r die Verschl sselung verwe
127. Mitgliederrichtlinie auf der Registerkarte Mitglieder angezeigt wird Um eine Richtlinie zu bearbeiten klicken Sie links auf das Pfeilsymbol Um sie zu entfernen klicken Sie auf das Minuszeichen Aktivieren Sie auf der Registerkarte Mitglieder das Kontrollk stchen Administratoren k nnen Mitglieder dieser Rolle hinzuf gen oder aus ihr entfernen Sobald Sie diese Funktion aktivieren definieren Sie die Aktion zum Hinzuf gen und Aktion zum Entfernen Diese Aktionen definieren was geschieht wenn ein Benutzer als ein Rollenmitglied hinzugef gt oder entfernt wird Kapitel 12 Integration von CA SiteMinder 351 SiteMinder Vorg nge Definieren von Admin Richtlinien f r Zugriffsrollen Eine Admin Richtlinie definiert Admin Regeln Bereichsregeln und Administratorrechte f r eine Rolle Sie k nnen verschiedene Admin Richtlinien f r eine Rolle definieren Jede Richtlinie zeigt an dass wenn ein Administrator der Bedingung in der Admin Regel entspricht er den Bereichsumfang und die Administratorrechte hat die f r die Richtlinie definiert sind Gehen Sie wie folgt vor 1 W hlen Sie die Registerkarte Administratoren f r die Zugriffsrolle aus 2 Wenn Sie die Option Administratoren verwalten verf gbar machen wollen aktivieren Sie das Kontrollk stchen Administratoren k nnen Mitglieder dieser Rolle hinzuf gen oder aus ihr entfernen Sofern Sie diese Funktion aktiviert haben definieren Sie die Aktionen daf r wenn
128. NBEESEFEIFEIHTETESHRTEE PER Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses uusuesesssensnnnsnennnnennennnnennnnnnnnnnnnnennnnnnnnnnnnennennn Konfigurieren der Sortierreihenfolge 222022020000n0nnnnnnnnnennnnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennennannnnnensnnnnnn Suchen ber mehrere Objektklassen e nenne hans nenn Angeben der Wartezeit f r Replikationen Angeben von LDAP Verbindungseinstellungen 00000022222000000ononnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnsennennn So verbessern Sie die Leistung von Verzeichnissuchen So verbessern Sie die Leistung von gro en Suchen zuusessensnsssnannnnnenonnnnnnnnnnennnnnnnnnnnnnnnonnnnnnnnnsnnnnnnnnnennnnennenn 97 Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server eeseeseensssssnennnnnsnnnnnnennnnnnnennnnnn 99 Konfigurieren von Paging Unterst tzung f r Active Directory 6 Konfigurationshandbuch Kapitel 4 Verwaltung relationaler Datenbanken 103 CA IdentityMinder Verzeichnisse uussesessesssssnsnenennnnsnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnanennnnnsnnnnnnnnnnnnnsnsnsnannnnnnnnnn 103 Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken nnee 105 Erstellen einer Oracle Datenquelle f r WebSphere uneneesssssssesnennnnsennnnnnonnnnnnnnnnennunnnnnnnnnnnnnnnnnnnnnsnnennnnennnnnennnnnn 106 So
129. Nur FIPS r12 FIPS kompatibler Modus r12 FIPS kompatibler Modus r12 Nicht FIPS Modus r6 Schl sseldatei Speicherung Komponente CA IdentityMinder Server Bereitstellungsserver C Connector Server CA IdentityMinder verwendet das Dateisystem zum Speichern des FIPS Verschl sselungscodes Der CA IdentityMinder Administrator ist daf r verantwortlich unbefugten Zugriff auf Dateien zu verhindern Zu diesem Zweck legt er die Verzeichniszugriffsberechtigungen f r bestimmte Gruppen oder Benutzertypen fest beispielsweise f r Benutzer die berechtigt sind CA IdentityMinder auszuf hren In der folgenden Tabelle ist der Speicherort der FIPS Schl sseldateien f r jede CA IdentityMinder aufgef hrt Installationsort IdentityMinder ear config com netegrity config keys FIPSkey dat IdentityMinder ear ist der Ort an dem CA IdentityMinder auf dem Anwendungsserver installiert wird Bereitstellungsserverinstallation data tls keymgmt imps_datakey Bereitstellungsserverinstallation data tls keymgmt imps_datakey Anhang A FIPS 140 2 Kompatibilit t 371 Das Kennwort Tool Das Kennwort Tool Das FIPS kompatible Kennwort Tool Hilfsprogramm pwdtools bat oder pwdtools sh kann w hrend der CA IdentityMinder Installation von der Befehlszeile den Verschl sselungscode generieren Bearbeiten Sie die Datei pwdtools bat pwdtools sh bevor Sie das Kennwort Tool verwenden und legen Sie die JAVA_HOME Variable wie erforderlich fest
130. Problem kann auch auftreten wenn SiteMinder nicht Teil der Bereitstellung ist CA Management Console Home gt Environments gt Import Environment Environment Import Output Deploying environment configuration Error 187 128 cvc complex type 3 2 2 Attribute requireadminpassword is not allowed to appear in element WebService null rn 1 error s 0 warning s L sung Dieser Fehler erlaubt eine teilweise Bereitstellung der Umgebung Die teilweise Bereitstellung kann leere Elemente im CA IdentityMinder Objektspeicher erstellen Korrigieren Sie eine der Umgebungs XMLs und importieren Sie erneut Gehen Sie wie folgt vor 1 Suchen Sie die archivierte ZIP Datei und berpr fen Sie sie 2 Erstellen Sie eine Kopie von XXX_environment_settings xml 3 Bearbeiten Sie diese Datei und suchen Sie das WebService Element 4 L schen Sie den Tag requireadminpassword false Hinweis Entfernen Sie den Tag und den Wert Entfernen Sie nicht nur den Wert 5 Speichern Sie Ihre nderungen und f gen Sie die Datei zur ck in die ZIP Datei ein 6 Importieren Sie die archivierte Umgebungs ZIP Datei erneut Sie m ssen die Umgebung nicht l schen die aus dem fehlgeschlagenen Versuch erstellt wurde Beim erneuten Importieren behebt eine korrigierte Datei die Fehler des fehlgeschlagenen Versuchs Kapitel 12 Integration von CA SiteMinder 335 Fehlerbehebung CA IdentityMinder Verzeichnis oder Umgebu
131. ROLE_CONSTRAINT Um ADMIN_ROLE_CONSTRAINT als Einschr nkung f r alle Admin Rollen zu verwenden f hren Sie die folgenden Schritte aus m Ordnen Sie das bekannte Attribut ADMIN_ROLE_CONSTRAINT einem mehrwertigen Profilattribut zu um mehrere Rollen zu ber cksichtigen m Wenn Sie eine Admin Rolle in der CA IdentityMinder Benutzeroberfl che konfigurieren kann das folgende Szenario eine Einschr nkung darstellen Die Admin Rollen stimmen mit dem Rollennamen berein role name Definiert den Namen der Rolle f r die Sie die Einschr nkung angeben Beispiel Admin Rollen User Manager Hinweis Admin Rollen ist der Standardanzeigename f r das Attribut ADMIN_ROLE_CONSTRAINT 148 Konfigurationshandbuch So konfigurieren Sie selbstabonnierende Gruppen Konfigurieren von bekannten Attributen F hren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen HH Erforderliche Werte werden durch zwei Rautenzeichen gekennzeichnet Ersetzen Sie den Wert der mit beginnt durch den physischen Namen des gew nschten Attributs so wie es in der Datenbank enthalten ist Geben Sie den Attributnamen im folgenden Format an tablename columnname Wenn zum Beispiel das Kennwortattribut in der Spalte password der Tabelle tblUsers gespeichert ist geben Sie dies wie folgt an tblUsers password Wiederh
132. SA an und starten Sie ihn als DSA Benutzer neu damit die Schema nderungen wirksam werden dxserver stop dsa_name dxserver start dsa_name Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Novell eDirectory Server Um einen Novell eDirectory Server Richtlinienspeicher zu konfigurieren wenden Sie das Skript novell_imsd ldif an Gehen Sie wie folgt vor 1 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Suchen Sie den definierten Namen DN des NCPServer f r Novell eDirectory Server indem Sie die folgenden Informationen in ein Befehlsfenster auf dem System eingeben auf dem der Richtlinienserver installiert ist ldapsearch h hostname p port b container s sub D admin_login w password objectClass ncpServer dn Beispiel ldapsearch h 192 168 1 47 p 389 b o nwqa47container s sub D cn admin o nwqa47container w password objectclass ncpServer dn ffnen Sie die Datei novell_ims8 ldif Ersetzen Sie jede NCPServer Variable durch den in Schritt 2 ermittelten Wert Der Standardspeicherort der Datei novell_ims8 ldif unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas NovelleDirectory Wenn zum Beispiel der DN Wert en servername o servercontainer ist w rden Sie jede Insta
133. Servers auf false fest Andernfalls k nnte das Verzeichnisobjekt zwar erstellt aber nicht rechtzeitig zur Verwendung repliziert werden Beispielsweise erstellen Sie ein Verzeichnis auf Server 1 Dann erstellen Sie ein Attribut unter Verwendung der Objekt ID von diesem Verzeichnis auf Server 2 aber das zweite Verzeichnis ist noch nicht vorhanden Es wird ein Fehler ber nicht gefundene Objekte angezeigt 338 Konfigurationshandbuch Konfigurieren der SiteMinder Hochverf gbarkeit ndern der Richtlinienserver Verbindundseinstellungen Die Richtlinienserver Verbindungsinformationen m ssen den Prim rserver f r die Produktionsumgebung widerspiegeln Diese Information besteht aus ConnectionURL dem Benutzernamen und Kennwort f r das SiteMinder Admin Konto und dem Namen sowie dem gemeinsamen geheimen Schl ssel f r den Agenten Im folgenden Beispiel werden die bearbeitbaren Werte in GROSSBUCHSTABEN angezeigt lt config property gt lt config property name gt ConnectionURL lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt DEVELOPMENT SEVERCOMPANY COM VALUE VALUE VALUE lt co nfig property value gt lt config property gt lt config property gt lt config property name gt UserName lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt SITEMINDER ADMIN NAME lt c
134. Sie die Leistung von LDAP Verzeichnisvorg ngen uuuesssssssesensnnnnennsnennnnnnnennnnnnnnnnnsennnnnsn nenn 367 Anhang A FIPS 140 2 Kompatibilit t 369 lt A SPA UDe 5cl e 112 NEE a a a TE R e RER e Ee RHEIN Eora ea aa eae eea nden nE En NEETA 369 Kommunikations a E A EE A EE E EE A AE EE E EEEE REES 370 Installation nee nina EEN AE aE Ena K ENE EESO Ehen EE AEEA EAEEREN nest 370 Herstellen einer Verbindung mit SiteMinder 2 00442000004s000snnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnsnsnnnnnsnsnensnnnnnnnnsnannnnnsnnnenn 371 Schl sseldatei Speicherung eisor neenaka e eie E E aee a Eee AE E EEE EE E RENEE 371 Das Kennwort TOO arenaer EIGENE EURE een E eA E RRE EE reee E Ae RE e ENEE ENa AESA RESTE ENEE ASTER 372 PIPS Modus Erkenn Ng sesioen sape a E S in anhand 374 Verschl sselte Textform te u ae aaa aae EO Ena EEE OA E NE EE Ea EEEE 375 Verschl sselte Informationen sssri ainsasse is aiaa a San iaasa ahnen be EEEa EASE EEEE een eher 375 FIPS Modus Protokollierung sesssesssssesesreesersserssrrssrrsersterseesstessteeresetatttnttenstensttustesstenteasteateaatenttenstesstessteseeeteneennee 375 Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 377 N tzlicheBefehle un ae ER Bye hang rent ersehen N AE ehe ee 380 Index 383 12 Konfigurationshandbuch Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen Dieses Kapitel enth lt folgende Themen Komponenten der CA Identi
135. Systemen in der Reihenfolge Verbindung aufzunehmen in der sie aufgelistet sind Die alternativen Bereitstellungsserver werden verwendet wenn der prim re Bereitstellungsserver fehlschl gt Wenn der prim re Bereitstellungsserver erneut verf gbar wird wird der alternative Bereitstellungsserver weiterhin verwendet Wenn Sie zur Verwendung des Bereitstellungsservers zur ckkehren m chten starten Sie den alternativen Bereitstellungsserver neu Klicken Sie auf Weiter W hlen Sie die zu verwaltenden Objekte aus wie Benutzer oder Gruppen Nachdem Sie die Objekte nach Bedarf konfiguriert haben lassen Sie die Zusammenfassung der Bereitstellung des Verzeichnisses anzeigen und berpr fen die Einstellungen f r das Bereitstellungsverzeichnis Klicken Sie auf eine dieser Aktionen a klicken Sie auf Zur ck um etwas zu ndern b Klicken Sie auf Speichern um die Verzeichnisinformationen zu speichern wenn Sie sp ter zur Bereitstellung zur ckkommen wollen c Klicken Sie auf Fertig stellen um diesen Vorgang abzuschlie en und anzufangen eine Umgebung f r die Bereitstellung zu konfigurieren siehe Seite 199 Anzeigen von CA IdentityMinder Verzeichnissen F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis anzuzeigen Gehen Sie wie folgt vor 1 Klicken Sie in der CA IdentityMinder Management Konsole auf Directories Verzeichnisse Klicken Sie auf den Namen des anzuzeigenden CA Identit
136. Umgebung einem Benutzerverzeichnis und einer Richtliniendom ne in SiteMinder zu Hinweis Sie m ssen den der CA IdentityMinder Umgebung zugeordneten Benutzerspeicher zur Richtliniendom ne hinzuf gen bevor Sie die CA IdentityMinder Umgebung der Richtliniendom ne hinzuf gen k nnen So f gen Sie eine CA IdentityMinder Umgebung zu einer Richtliniendom ne hinzu 1 F gen Sie im Dialogfeld Richtliniendom ne in der Richtlinienserver Benutzeroberfl che den zur CA IdentityMinder Umgebung zugeordneten Benutzerspeicher folgenderma en zu einer Richtliniendom ne hinzu a b d W hlen Sie die Registerkarte Benutzerverzeichnisse aus W hlen Sie im Dropdown Listenfeld unten auf der Registerkarte das in die Richtliniendom ne einzuschlie ende Benutzerverzeichnis aus Klicken Sie auf die Schaltfl che Hinzuf gen Die Richtlinienserver Benutzeroberfl che f gt das Verzeichnis zu der in der Registerkarte Benutzerverzeichnisse angezeigten Liste hinzu Klicken Sie auf Apply bernehmen F gen Sie die CA IdentityMinder Umgebung wie folgt zur Richtliniendom ne hinzu a b W hlen Sie die Registerkarte der CA IdentityMinder Umgebungen aus W hlen Sie die CA IdentityMinder Umgebung die Sie der Richtliniendom ne zuordnen wollen im Dropdown Listenfeld unten auf der Registerkarte aus Klicken Sie auf Hinzuf gen Die Richtlinienserver Benutzeroberfl che f gt Ihre Auswahl zur Liste der CA IdentityM
137. Verzeichnisstruktur CA IdentityMinder unterst tzt die folgenden Verzeichnisstrukturen m Hierarchisch Enth lt eine bergeordnete Organisation Stamm und Unterorganisationen Die Unterorganisationen k nnen ebenfalls Unterorganisationen besitzen was zu einer Multiebenen Struktur f hrt Dies l sst sich in der folgenden Abbildung erkennen Unternehmen Stamm Hierarchische Organisations struktur Benutzerprofile in Organisationen der Verzeichnisstruktur Gruppen in Organisationen der gesamten Verzeichnis struktur 48 Konfigurationshandbuch Verzeichnisstruktur Flach Benutzer und Gruppen werden im Suchstamm oder in einem Container eine Ebene unterhalb des Suchstamms gespeichert Organisationen besitzen eine hierarchische Struktur wie in der folgenden Abbildung einer flachen Verzeichnisstruktur angezeigt wird Unternehmen Hierarchische Stamm Organisa tionsstruktur Interner Verkaufsun Verkauf terst tzung Benutzerprofile im Stamm oder Container eine Ebene darunter Gruppen im Stamm eine Ebene darunter Um die Benutzerverwaltung und Delegation in flachen Verzeichnisstrukturen zu erleichtern geh ren Benutzer und Gruppen zu logischen Organisationen Die logische Organisation wird als ein Attribut in Benutzer und Gruppenprofilen gespeichert Flache Benutzer Organisationen und Gruppen werden hierarchisch gespeichert Benutzer werden jedoch im Suchstamm oder in einem Container
138. Wichtig CA IdentityMinder unterst tzt keine Datenmigration oder Wiederverschl sselung Stellen Sie deshalb sicher dass die Verschl sselungscodes nach der Installation nicht ge ndert werden Dieser Befehl hat folgende Syntax pwdtools FIPSKEY JSAFE FIPS RC2 p plain text k lt key file location gt f lt encrypting parameters file gt JSAFE Verschl sselt einen einfachen Textwert unter Verwendung des PBE Algorithmus Beispiel pwdtools JSAFE p mypassword FIPSKEY Erstellt eine FIPS Schl sseldatei f r das Installationsprogramm Sie generieren den Schl ssel bevor Sie CA IdentityMinder installieren Beispiel pwdtools FIPSKEY k C keypath FIPSkey dat Dabei ist keypath der vollst ndige Pfad zu dem Speicherort wo Sie den FIPS Schl ssel speichern wollen Das Kennwort Tool erstellt den FIPS Schl ssel am angegebenen Speicherort W hrend Installation geben Sie den Speicherort der FIPS Schl sseldatei f r das Installationsprogramm an Hinweis Sichern Sie den Schl ssel indem Sie die Verzeichniszugriffsberechtigungen f r bestimmte Gruppen oder Benutzertypen festlegen z B der Benutzer der zum Ausf hren von CA IdentityMinder berechtigt ist 372 Konfigurationshandbuch Das Kennwort Tool FIPS Verschl sseln Sie einen einfachen Textwert unter Verwendung einer FIPS Schl sseldatei FIPS verwendet die vorhandene FIPS Schl sseldatei Beispiel pwdtools FIPS p firewall k C keypath FIPSkey dat Wobei
139. Zeile und dem Beginn der zweiten Zeile notwendig ist geben Sie entweder am Ende der ersten Zeile vor dem umgekehrten Schr gstrich oder am Anfang der zweiten Zeile ein Leerzeichen ein Teilen Sie keine Attribute ber mehreren Zeilen Installieren des Web Proxyserver Plug ins Die iPlanet Konfigurationsdateien f r Ihre iPlanet Instanz befinden sich an folgendem Speicherort iplanet_home https instance_name config wobei iplanet_home das Stammwverzeichnis der iPlanet Installation und instance_name Ihre jeweilige Serverkonfiguration ist Gehen Sie wie folgt vor 1 Kopieren Sie aus dem Verzeichnis weblogic_home server lib die Datei libproxy so die Ihrer Version des iPlanet Webservers auf dem Dateisystem entspricht wo Sie iPlanet installiert haben ndern Sie in einem Texteditor die iPlanet Datei magnus conf Um iPlanet anzuweisen die Datei libproxy so als ein iPlanet Modul zu laden f gen Sie die folgenden Zeilen am Anfang der magnus conf Datei hinzu Init fn load modules funcs wl_proxy wl_init shlib Pfad in Dateisystem aus Schritt 1 libproxy so Init fn wl_init Beispiel Init fn load modules funcs wl_proxy wl_init shlib usr local netscape plugins libproxy so Init fn wl_init Das Funktionslademodul kennzeichnet die gemeinsam genutzte Bibliothek zum Laden wenn iPlanet startet Die Werte wI_proxy und wI_init identifizieren die Funktionen die das Plug in ausf hrt Kapitel 12 Integration v
140. _ Prowmsorung 1 Screens 1621 Cu gt Approve Certify Ri gt na Dalta Tasks 568 odite Adenan Robes 84 Access Roles Provsioning Roles 4 Config Xpress kann die XML Konfiguration f r eine bestimmte Komponente anzeigen Die Informationen in dieser XML Datei helfen Ihnen dabei sich mit einem System vertraut zu machen Gehen Sie wie folgt vor 1 Laden Sie eine Umgebung in Config Xpress 2 Klicken Sie auf eine Komponente im Config Xpress Fenster 3 Klicken Sie auf XML anzeigen Die XML Konfiguration wird angezeigt lt Screen name Approye Delete Group Profile tag ApproveDeleteGroupProfile screendefinition StandardProfile objet GROUP xminsixsi httpi wun w3 0rg 2001 KMLSchema instance xminstims http imsenvironmentobjectz xsd xminziimzrule httpi fimsmmemberrule xzd xminstimsscope http fimsscoparula xsd xminstimschange http imschangeaction xsd gt lt ScraenfieldGroup name Flalds gt lt ScreenField name Organization permission R attribute ORG_MEMBERSHIP gt lt PropertyDiet name Config gt Property name FieldSpan gt 1 lt Property gt lt Property name LabelSpan gt 1 lt Proparty gt lt Property name OrgSearchSareen gt DefaultOrganizationsSearch lt s Property gt lt Property name Style gt OrgSeledtor lt Property gt lt PropertyDict gt lt ScreenField gt lt Screanfield nama Group Name parmission R attribute SGROUP_NAMES gt l
141. _home ist der Richtlinienserver Installationspfad 344 Konfigurationshandbuch SiteMinder Vorg nge Planen von Zugriffsrollen Um den Zugriff auf Anwendungen zu steuern erstellen Sie Zugriffsrollen und Aufgaben Eine Zugriffsaufgabe gibt den Zugriff auf eine Funktion in einer Anwendung an Eine Zugriffsrolle enth lt eine oder mehrere Zugriffsaufgaben f r eine oder mehrere Anwendungen Wenn eine Zugriffsrolle einem Benutzer zugewiesen worden ist kann der Benutzer die Funktionen verwenden die in dieser Rolle vorhanden sind Zugriffsrollen f r Anwendungszugriff enth lt weitere Details zum Zweck von Zugriffsrollen Zugriffsrollen erfordern die Konfiguration in Identity Manager und SiteMinder Zwei Administratoren m ssen beteiligt werden m Identity Manager Administrator Muss f hig sein Zugriffsrollen und Aufgaben in Identity Manager zu erstellen Die Standardrollen System Manager und Zugriffsrollen Manager schlie en diese Aufgaben ein m SiteMinder Administrator Muss einen Systemgeltungsbereich haben und System und Dom nenobjekte verwalten k nnen Weitere Informationen dazu finden Sie unter CA eTrust SiteMinder Richtliniendesign Hinweis Die Richtliniendesign Benutzeroberfl che verwendet den Begriff Identity Manager Umgebung um sich auf das zu beziehen was jetzt eine dentity Manager Umgebung genannt wird Die mit diesem Produkt gelieferte SiteMinder Dokumentation bezeichnet dies auch als Identity Manager Ab r8
142. _http dll durch die Verwendung dieses Befehls install is javahome c IBM WebSphere AppServer Java Beantworten Sie auf die angezeigten Fragen basierend auf Ihrer Konfiguration Wenn der Assistent beendet ist wird die Datei iisWASPlugin_http dll im Ordner C IBM WebSphere Plugs bin gespeichert Suchen Sie die Unterordner f r 32 Bit oder 64 Bit Kopieren Sie dieDatei iisWASPlugin_http dll in den Ordner C plugin auf dem System mit dem Web Agenten Erstellen Sie wie folgt ein virtuelles Verzeichnis a ffnen Sie den IIS Manager b Klicken Sie mit der rechten Maustaste auf die Standardwebsites c Klicken Sie auf Neues virtuelles Verzeichnis und geben Sie diese Werte an Alias sePlugins es Gro und Kleinschreibung beachtet wird Pfad c plugin Berechtigung Lesen Ausf hren ISAPI oder CGI Kapitel 12 Integration von CA SiteMinder 311 Installieren des Web Proxyserver Plug ins 10 312 Konfigurationshandbuch F gen Sie wie folgt einen ISAPI Filter hinzu a Klicken Sie mit der rechten Maustaste auf die Standardwebsite b Klicken Sie auf Eigenschaften c Klicken Sie auf der Registerkarte ISAPI Filter auf Hinzuf gen d Geben Sie diese Werte an Filtername sePlugins Ausf hrbar c plugin iisWASPlugin_http dll Erstellen Sie wie folgt eine Webdiensterweiterung a Blenden Sie in IIS6 Manager den Computernamen ein b Erstellen Sie eine Webdiensterweiterung und setzen Sie sie auf Zulassen
143. _name schema dxg b Bearbeiten Sie die Datei dxserver_home config schema company_name schema dxg indem Sie am Ende der Datei die folgenden Zeilen einf gen Identity Manager Schema source etrust_ims8 dxc Bearbeiten Sie die Datei dxserver_home bin schema txt indem Sie den Inhalt der Datei etrust_ims_schema txt am Ende der Datei einf gen Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas eTrustDirectory Erstellen Sie wie folgt eine benutzerdefinierte Beschr nkungskonfigurationsdatei a Kopieren Sie die Datei dxserver_home config limits default dxc nach dxserver_home config limits company_name limits dxc b Erh hen Sie die Standardgr enbeschr nkung in der Datei dxserver_home config limits company_name limits dxc wie folgt auf 5 000 set max op size 5000 Hinweis Beim Upgrade von CA Directory wird die Datei limits dxc berschrieben Stellen Sie daher sicher dass Sie nach Abschluss des Upgrades den Wert von max op size auf 5 000 zur cksetzen Bearbeiten Sie die Datei dxserver_home config servers dsa_name dxi wie folgt schema source company _name schema dxg service limits source company _name limits dxc Dabei steht dsa_name f r den Namen des DSA bei Verwendung der angepassten Konfigurationsdateien F hren Sie das Dienstprogramm dxsyntax aus Halten Sie wie folgt den D
144. aben importieren Sie die sich ergebende Rollendefinitionsdatei siehe Seite 220 in die Management Konsole Hinweis Weitere Informationen zum Generator f r Rollendefinitionen finden Sie im Connector Xpress Handbuch ndern des Systemmanager Kontos Ein Systemmanager ist f r die Einrichtung und Verwaltung von CA IdentityMinder Umgebungen verantwortlich Zu den typischen Aufgaben eines Systemmanagers geh ren m Erstellen und Verwalten der anf nglichen Umgebung m Erstellen und ndern von Admin Rollen m Erstellen und ndern von anderen Administratorkonten Sie erstellen ein Systemmanagerkonto wenn Sie eine CA IdentityMinder Umgebung erstellen Wenn dieses Konto gesperrt ist zum Beispiel wenn der Systemmanager das Kennwort vergessen hat k nnen Sie das Konto mithilfe des Systemmanager Assistenten erneut erstellen Kapitel 6 CA IdentityMinder Umgebungen 221 ndern des Systemmanager Kontos Der Systemmanager Assistent leitet Sie schrittweise durch den Vorgang zum Zuweisen einer Systemverwaltungsrolle zu einem Benutzer Beachten Sie vor dem ndern eines Systemmanagerkontos Folgendes Vergewissern Sie sich dass Sie einen LDAP Benutzerspeicher verwenden und einen Benutzercontainer wie ou People in der Verzeichniskonfigurationsdatei directory xm f r Ihr CA IdentityMinder Verzeichnis konfiguriert haben Die ausgew hlten Benutzer m ssen in dem gleichen Container vorhanden sein in dem Sie den Systemmanager konfigurieren
145. agement Konsole anzugeben Wenn Sie das Kennwort in der Management Konsole angeben wird es von CA IdentityMinder verschl sselt Andernfalls sollten Sie das Kennwort mit dem Kennwort Tool das zusammen mit CA IdentityMinder installiert wird verschl sseln sodass dieses nicht als unverschl sselter Text angezeigt wird Unter SiteMinder Kennw rter finden Sie Anweisungen zur Verwendung des Kennworttools Hinweis Sie k nnen nur einen Satz von Anmeldeinformationen angeben Wenn Sie mehrere Datenquellen definieren m ssen die angegebenen Anmeldeinformationen f r alle Datenquellen gelten Die Parameter f r Anmeldeinformationen lauten wie folgt user Definiert den Anmelde ID f r ein Konto das auf die Datenquelle zugreifen kann Geben Sie keinen Wert f r den Parameter user in der Datei directory xml an CA IdentityMinder fordert Sie beim Erstellen des CA IdentityMinder Verzeichnisses in der Management Konsole zur Eingabe der Anmelde ID auf cleartext Gibt an ob das Kennwort in der Datei directory xml als unverschl sselter Text angezeigt wird m True Das Kennwort wird als unverschl sselter Text angezeigt m False Das Kennwort wird verschl sselt Standardeinstellung Hinweis Diese Parameter sind optional Data Source Name DSN Das DSN Element in der Datei directory xml hat einen Parameter den Namen der ODBC Datenquelle die CA IdentityMinder zum Herstellen einer Verbindung mit der Datenbank verwendet Der Wert
146. ammen mit dem Fehler angegeben um Ihnen bei der Integration zu helfen Kapitel 12 Integration von CA SiteMinder 327 Fehlerbehebung Fehlende Windows DLL Symptom Fehlende Windows DLL MSVCP71 dll Wir haben festgestellt dass JBoss nach der Aktivierung der SiteMinder Verbindung einen Java Fehler ber eine fehlende DLL ausl st MSVCP71 dll Hinweis Dieser Fehler wird m glicherweise nicht angezeigt wenn JBoss als Dienst ausgef hrt wird Wenn m glich testen Sie Ihre Konfiguration ohne JBoss als Dienst auszuf hren L sung Gehen Sie wie folgt vor 1 Suchen Sie MSVCP71 dll auf dem SiteMinder Richtlinienserver wenn es unter Windows l uft 2 Kopieren Sie diese DLL MSVCP71 dIl in den Ordner Windows system32 3 Nachdem Sie diese Datei am richtigen Speicherort platziert haben registrieren Sie sie beim BS 4 F hren Sie von einem Befehlsfenster den regsvr32 Befehl aus Solange die Datei geladen ist sollte alles in Ordnung sein 5 Starten Sie den Anwendungsserver neu Falscher SiteMinder Richtlinienserver Speicherort Symptom Falscher SiteMinder Richtlinienserver Speicherort L sung Wird ein falscher Speicherort angegeben wird in ra xml der Fehler Cannot connect to policy server xxx in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 26 23 293 WARN ims default HHRRRHHHEHHHRHRHHHNHHHHRHHHRHHRRRRHHRHHRRRRRNHRNER 2010 12 13 10 26 23 293 WARN ims default HHHHRHHHHHHHRHRHHHHHH
147. amples NeteAuto in den Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern installiert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Hinweis Wenn Sie beim Import der LDIF Datei oder beim Erstellen des CA IdentityMinder Verzeichnisses Probleme feststellen f gen Sie den folgenden Text am Anfang der LDIF Datei hinzu dn dc security dc com objectClass top objectClass domain dc security Speichern Sie die Datei und wiederholen Sie die Schritte 1 und 2 Konfigurieren einer relationalen Datenbank F hren Sie den folgenden Vorgang aus um eine relationale Datenbank zu konfigurieren Gehen Sie wie folgt vor 1 2 24 Konfigurationshandbuch Erstellen Sie eine Datenbankinstanz mit der Bezeichnung NeteAuto Erstellen Sie einen Benutzer names neteautoadmin mit dem Kennwort test Gew hren Sie NeteAuto neteautoadmin Rechte wie etwa public oder db_owner Rechte indem Sie die Eigenschaften des Benutzers bearbeiten Hinweis Um eine NeteAuto Datenbank zu erstellen muss die Neteautoadmin Rolle mindestens minimale Berechtigungen ausw hlen einf gen aktualisieren und l schen f r alle Tabellen besitzen die ber by sql Skript erstellt werden Au erdem muss neteautoadmin in der Lage sein gegebenenfalls alle gespeicherten Prozeduren auszuf hren die in diesen Skripten definiert sind
148. and und Postleitzahl f r das verwaltete Objekt Benutzer enthalten Die folgenden Eigenschaften werden f r sekund re Tabellen angezeigt Tabelle Gibt den Namen der Tabelle an Referenz Beschreibt die Zuordnung zwischen der prim ren Tabelle und der sekund ren Tabelle Die Referenz wird mithilfe des folgenden Formats angezeigt primarytable attribute secondarytable attribute Zum Beispiel zeigt tblUsers id tblUserAddress userid an dass das id Attribut in der prim ren Tabelle tblUsers zum userid Attribut in der Tabelle tblUserAddress zugeordnet wird Attributeigenschaften im Fenster Managed Object Properties Die folgenden Eigenschaften werden f r Attribute im Fenster Managed Object Properties Eigenschaften von verwalteten Objekten angezeigt Anzeigename Der benutzerfreundliche Name des Attributs Dieser Name wird in der Liste der verf gbaren Attribute angezeigt wenn Sie ein Aufgabenfenster f r eine bestimmte Aufgabe in der Benutzerkonsole entwerfen Physischer Name Der Name des Attributs im Benutzerspeicher Benutzername Well Known Der bekannte Benutzername Well Known zeigt Attribute an die eine besondere Bedeutung in CA IdentityMinder haben wie das Attribut das verwendet wird um Benutzerkennw rter zu speichern Kapitel 5 CA IdentityMinder Verzeichnisse 183 CA IdentityMinder Verzeichniseigenschaften Attributeigenschaften in den Attributeigenschaften Fenstern Sie k nnen zus tzliche Details b
149. andbuch Klicken Sie auf Akzeptieren um fortzufahren Geben Sie auf der Registerkarte Profil die folgenden Details an a Geben Sie die Werte f r die Mussfelder ein welche mit einem Sternchen versehen sind b Geben Sie Hinweise und Antworten f r die Kennwortabfrage ein F r den Fall eines vergessenen Kennworts stellt CA IdentityMinder einen Hinweis zum Kennwort bereit und fordert die Antwort an Wenn die Antwort richtig ist fordert CA IdentityMinder den Benutzer auf ein neues Kennwort anzugeben und dieses zu best tigen Lassen Sie die Registerkarte Gruppen unver ndert Klicken Sie auf Senden So wird die NeteAuto CA IdentityMinder Umgebung verwendet Als selbst registrierter Benutzer anmelden F hren Sie den folgenden Vorgang aus um sich als ein selbst registrierter Benutzer anzumelden Gehen Sie wie folgt vor 1 Geben Sie die folgende URL f r die NeteAuto CA IdentityMinder Umgebung in einen Browser ein http hostname iam im neteauto imcss index jsp Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Melden Sie sich mit dem Benutzernamen und dem Kennwort an die Sie bei der Registrierung angegeben haben Richten Sie das NeteAuto Design ein Um das NeteAuto Design einzurichten erstellen Sie eine SiteMinder Antwort im SiteMinder Richtlinienserver Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden S
150. angegebenen Administratorgruppe sind nicht berechtigt die Gruppe zu verwalten Gehen Sie wie folgt vor 1 Ordnen Sie das bekannte Attribut GROUP_ADMIN_GROUP einem physischen Attribut zu in dem die Liste der Gruppen gespeichert ist die als Administratoren dienen Hinweis Das ausgew hlte physische Attribut muss mehrere Werte unterst tzen Unter Gruppieren bekannter Attribute siehe Seite 83 finden Sie weitere Informationen ber das Attribut GROUP_ADMIN_GROUP Hinweis Wenn Sie als Typ der Admin Gruppe ALL festlegen ohne das bekannte Attribut GROUP_ADMIN_GROUP festzulegen speichert CA IdentityMinder die Administratorgruppen im Attribut GROUP_ADMIN 2 Konfigurieren Sie im Abschnitt f r das Verhalten von Verzeichnisadministratorgruppen das AdminGroupTypes Element wie folgt lt AdminGroupTypes type ALL gt Hinweis Die Standardeinstellung von AdminGroupTypes ist NONE Nachdem Sie die Unterst tzung von Gruppen als Administratoren im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren in der Benutzerkonsole Gruppen als Administratoren von anderen Gruppen angeben Validierundgsregeln Eine Validierungsregel setzt Anforderungen an Daten durch die ein Benutzer in ein Feld des Aufgabenfensters eingibt Die Anforderungen k nnen festlegen dass ein bestimmter Datentyp oder ein bestimmtes Format zu verwenden ist Vergewissern Sie sich daher ob die Daten im Kontext der andere
151. apitel 4 Verwaltung relationaler Datenbanken 131 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beachten Sie Folgendes bevor Sie die Verschl sselung auf Attributebene implementieren CA lIdentityMinder kann bei einer Suche keine verschl sselten Attribute finden Nehmen Sie an dass ein verschl sseltes Attribut einer Mitglieds Admin oder Eigent merrichtlinie bzw einer Identit tsrichtlinie hinzugef gt wird CA IdentityMinder kann die Richtlinie nicht richtig aufl sen weil eine Suche nach dem Attribut nicht m glich ist Ziehen Sie in Erw gung das Attribut in der directory xml Datei auf searchable false festzulegen zum Beispiel lt ImsManagedObjectAttr physicalname title description Title displayname Title valuetype String maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt ImsManagedObjectAttr gt m Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und ein gemeinsames Bereitstellungsverzeichnis verwendet verschl sseln Sie nicht die Bereitstellungsserver Attribute m Aktivieren Sie AttributeLevelEncrypt nicht f r Benutzerkennw rter in Umgebungen die den folgenden Kriterien entsprechen Umfassen eine CA SiteMinder Integration und Speichern Benutzer in einer relationalen Datenbank Wenn CA IdentityMinder mit CA SiteMinder integriert wird f hren verschl sselte Kennw rter zu Problemen wenn neue Benutzer versuchen
152. at wie folgt ausf hren a Bearbeiten Sie websphere_home Plugins bin configurewebserveri bat sh in einem Texteditor b F gen Sie nach wsadmin bat sh einen Benutzernamen und ein Kennwort hinzu wie folgt wsadmin bat user wsadmin password Kennwort f configureWebserverDefinition jacl c F hren Sie configurewebserverl bat sh aus Hinweis Weitere Informationen zum Befehl configurewebserver finden Sie in der IBM WebSphere Dokumentation 3 Fahren Sie mit dem Vorgang fort um das Proxy Plug in zu konfigurieren siehe Seite 307 306 Konfigurationshandbuch Installieren des Web Proxyserver Plug ins Konfigurieren des Proxy Plug ins F r alle Webserver aktualisieren Sie das Plug in mithilfe des GenPluginCfg Befehls von WebSphere Gehen Sie wie folgt vor 1 2 Melden Sie sich bei dem System an auf dem WebSphere installiert ist Navigieren Sie von der Befehlszeile zu websphere_home bin wobei websphere_home das Installationsverzeichnis von WebSphere ist Beispiel m Windows C Programme WebSphere AppServer profile AppSrvo1 bin m UNIX home_dir WebSphere AppServer profile AppSrvo1 bin F hren Sie den Befehl GenPluginCfg bat oder GenPluginCfg sh aus Wenn Sie diesen Befehl ausf hren wird die Datei plugin cfg xml an folgendem Speicherort erstellt websphere_home AppServer profiles AppSrvO1 config cells Fahren Sie mit einem der folgenden Vorg nge fort m Abschlie en der Konfiguration auf
153. at durchsetzen oder sicherstellen dass die Daten im Kontext der anderen Daten im Aufgabenfenster g ltig sind Validierungsregeln sind Profilattributen zugeordnet Bevor eine Aufgabe verarbeitet wird stellt CA IdentityMinder sicher dass die f r ein Profilattribut eingegebenen Daten alle zugeordneten Validierungsregeln erf llen Sie k nnen Validierungsregeln definieren und sie Profilattributen in der Verzeichniskonfigurationsdatei zuordnen Organisationsverwaltung F r relationale Datenbanken bietet CA IdentityMinder die Option Organisationen zu verwalten Wenn Ihre Datenbank Organisationen unterst tzt gilt Folgendes m Organisationen haben eine hierarchische Struktur m Alle verwalteten Objekte wie Benutzer Gruppen und andere Organisationen geh ren einer Organisation an m Wenn Sie eine Organisation l schen werden alle Objekte die dieser Organisation angeh ren ebenfalls gel scht Sie konfigurieren das Organisationsobjekt auf die gleiche Weise wie Benutzer und Gruppenobjekte jedoch mit einigen zus tzlichen Schritten So richten Sie die Unterst tzung von Organisationen ein F hren Sie die folgenden Schritte aus um die Unterst tzung von Organisationen einzurichten 1 Konfigurieren Sie die Unterst tzung von Organisationen in der Datenbank siehe Seite 152 2 Beschreiben Sie das Organisationsobjekt in ImsManagedObject siehe Seite 118 Stellen Sie sicher dass Sie die Unterelemente Table und Uni
154. at org apache jasper runtime HttpJspBase service HttpJspBase java 70 at javax serlet http HttpSenvlet service HttpSenvet java 803 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 290 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at org apache catalina core ApplicationDispatcher invoke ApplicationDispatcher java 654 at org apache catalina core ApplicationDispatcher processRequest ApplicationDispatcher java 445 at org apache catalina core ApplicationDispatcher doForward ApplicationDispatcher java 379 at org apache catalina core ApplicationDispatcher forward ApplicationDispatcher java 292 at com netegrity webapp filter ConsolePagefFilter doFilter ConsolePagefilter java 521 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 235 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at com netegrity webapp page jsf FacesFilter doFilter2 FacesFilter java 180 Kapitel 12 Integration von CA SiteMinder 333 Fehlerbehebung L sung Ein paar Dinge k nnen dies verursachen aber es ist blicherweise eines des Folgenden Sie haben direkt auf CA IdentityMinder zugegriffen Der SiteMinder Agent am Proxy ist deaktiviert das hei t nichts ist gesch tzt der SMSESSION Cookie wird nicht erstellt Die SiteMinder Dom ne f r die CA IdentityMinder Umgebung ist falsch konf
155. aten f r jedes ausgew hlte Attribut definieren indem er den Anzeigenamen ndert und indem er das Attribut in den Benutzerkonsolen Fenstern den Datentyp des Wertes die maximale L nge und den Validierungsregelsatz verwaltet Sobald Sie die Attributdefinitionen angegeben haben klicken Sie auf Weiter um fortzufahren Dieses Fenster enth lt folgende Felder Anzeigename Gibt den eindeutigen Namen f r das verwaltete Objektattribut an Dies ist der Name der in der Benutzerkonsole angezeigt wird Kennungen Gibt die Kennungen der Datenklassifizierung f r den Wert des verwalteten Objektattributs an Die Kennungen sind alle optional und standardgem auf falsch eingestellt au er die f r die Suche vorgesehenen Die folgenden Kennungen k nnen ausgew hlt werden erforderlich Zeigt an dass das Attribut beim Erstellen von Objekten obligatorisch ist Mehrere Werte Zeigt an dass das Attribut mit mehreren Werten angezeigt wird Ausgeblendet Zeigt an dass das Attribut ausgeblendet wird System Zeigt an dass das Attribut ein Systemattribut ist und den Aufgabenfenstern nicht hinzugef gt wird Durchsuchbar Zeigt an dass das Attribut zu Suchfiltern hinzugef gt wird Standardgem wahr Sensible Verschl sselung Zeigt an dass das Attribut empfindlich ist Es wird als eine Reihe von Sternchen angezeigt Ausgeblendet in VST Zeigt an dass das Attribut im Fenster der Ereignisdetails zur Anzeige der gesendeten
156. auf Attributebene Wenn im CA IdentityMinder Verzeichnis ein verschl sseltes Attribut enthalten ist dessen Wert als Klartext gespeichert ist k nnen Sie die AttributeLevelEncrypt Datenklassifizierung entfernen Nachdem die Datenklassifizierung entfernt worden ist werden die neuen Attributwerte in CA IdentityMinder nicht mehr verschl sselt Vorhandene Werte werden entschl sselt wenn Sie das Objekt speichern das dem Attribut zugeordnet wird Hinweis Um den Attributwert zu entschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um zum Beispiel ein Kennwort f r einen vorhandenen Benutzer zu entschl sseln speichern Sie das Benutzerobjekt mit einer Aufgabe die das Kennwortfeld enth lt beispielsweise die Aufgabe Benutzer ndern 76 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Um zu erzwingen dass CA IdentityMinder alle verschl sselten Werte erkennt und entschl sselt die f r das Attribut im Benutzerspeicher verbleiben k nnen Sie eine andere Datenklassifizierung PreviouslyEncrypted angeben Der Klartextwert wird im Benutzerspeicher gespeichert wenn Sie das Objekt speichern Hinweis Durch die Datenklassifizierung PreviouslyEncrypted wird bei jedem Laden des Objekts der Verarbeitungsaufwand erh ht Um Leistungsbeeintr chtigungen zu verhindern k nnen Sie die Datenklassifizierung PreviouslyEncrypted hinzuf gen j
157. auf die Authentifizierungsdaten Administratorprofile das andere Verzeichnis bezieht sich auf die Autorisierungsdaten Benutzerprofile 3 Erstellen Sie in der Management Konsole eine CA IdentityMinder Umgebung W hlen Sie das Autorisierungsverzeichnis als das CA IdentityMinder Verzeichnis aus Kapitel 12 Integration von CA SiteMinder 365 SiteMinder Vorg nge Feld Attribut Attributtyp Variablenname Attributname F gen Sie in der Schnittstelle f r die verwendete Version von SiteMinder das Authentifizierungsverzeichnis der Dom ne f r die CA IdentityMinder Umgebung hinzu die Sie im vorherigen Schritt erstellt haben Die Dom ne und andere Objekte die f r SiteMinder erforderlich sind werden automatisch erstellt wenn Sie eine Umgebung erstellen und SiteMinder in CA IdentityMinder integriert ist Die Dom ne verwendet die folgende Namenskonvention Identity Manager UmgebungDomain Vergewissern Sie sich dass dieses Verzeichnis zuerst in der Liste von Verzeichnissen angezeigt wird die zur Dom ne zugeordnet sind Suchen Sie Identity Manager Umgebung_ims_realm Ordnen Sie das Autorisierungverzeichnis zum Authentifizierungsverzeichnis im Abschnitt Erweitert der Bereichsdefinition zu Suchen Sie die Antwort Identity Manager Umgebungresponse_ims F gen Sie den Antworten wie folgt Antwortattribute hinzu Wert Web Agent HTTP Header Variable Benutzerattribut sm_userdn SM_USERNAME 10 Speichern Sie die
158. beitet CA IdentityMinder nur Eintr ge im Container Wenn Sie zum Beispiel den Container ou People angeben verarbeitet CA IdentityMinder nur Benutzer die im People Container vorhanden sind Hinweis Benutzer und Gruppen die im LDAP Verzeichnis aber nicht im definierten Container vorhanden sind k nnen in der Benutzerkonsole angezeigt werden Es kann jedoch Probleme geben wenn man diese Benutzer und Gruppen verwaltet Container gruppieren nur Benutzer und Gruppen Sie k nnen keinen Container f r Organisationen angeben Zu den Eigenschaften eines Containers geh ren objectclass Gibt die LDAP Objektklasse des Containers an wo Objekte von einem bestimmten Typ erstellt werden Zum Beispiel ist der Standardwert f r den Benutzercontainer top organizationalUnit was anzeigt dass Benutzer in LDAP Organisationseinheiten ou erstellt werden 182 Konfigurationshandbuch CA IdentityMinder Verzeichniseigenschaften ID Gibt das Attribut an das den Containernamen zum Beispiel ou speichert Das Attribut wird mit dem Namenswert paarweise angeordnet um den zugeh rigen DN des Containers zu bilden wie im folgenden Beispiel ou People Name Gibt den Namen des Containers an Eigenschaften von sekund ren Tabellen nur f r relationale Datenbanken Sekund re Tabellen enthalten zus tzliche Attribute f r ein verwaltetes Objekt Zum Beispiel kann eine sekund re Tabelle namens tblUserAddress die Attribute f r Stra e Stadt L
159. ben werden AUDIT Zeichnet besondere Ereignisse auf die nur zur berpr fung von Informationen dienen Diese Ereignisse gehen nur in den Status AUDIT ber und werden nicht ausgef hrt BEGIN berpr ft die Attribute die ber die Benutzeroberfl che und die benutzerdefinierten Handler ausgef llt werden einschlie lich Business Logic Task Handler Logical Attribute Handler und Attributvalidierungsimplementierungen Zudem werden in diesem Status auch von TEWS ausgef llte Attribute berpr ft PRE berpr ft Attribute auf die sich Ereignis Listener auswirken die w hrend des Status BEGIN ausgef hrt werden APPROVED berpr ft nderungen an Attributen w hrend des Genehmigungsprozesses REJECTED Zeichnet Statusinformationen auf wenn ein Ereignis unter Workflow Steuerung abgelehnt wird Hinweis Nachdem ein Ereignis abgelehnt wurde geht es in den abgebrochenen Status ber EXECUTE Zeichnet Information auf wenn ein Ereignis ausgef hrt wird POST berpr ft alle nderungen die ein Ereignis Listener an einem Attribut im Status POST vornimmt INVALID Zeichnet Statusinformationen auf wenn CA IdentityMinder ein ung ltiges Ereignis erkennt Kapitel 8 berpr fung 253 So konfigurieren Sie die berpr fung PENDING Zeichnet Statusinformationen auf wenn sich ein Ereignis im ausstehenden Status befindet COMPLETE Zeichnet Statusinformationen auf wenn ein Ereignis abgeschlossen wird C
160. bertragen Weitere Informationen zum Anzeigen von Attributen mit mehreren Werten finden Sie im Administrationshandbuch required Zeigt folgenderma en an ob das Attribut erforderlich ist m True Das Attribut ist erforderlich m False Das Attribut ist optional Standard Hinweis Wenn ein Attribut f r einen LDAP Verzeichnisserver erforderlich ist legen Sie den erforderlichen Parameter auf Wahr True fest mehrwertig Zeigt an ob das Attribut mehrere Werte aufweisen kann So ist zum Beispiel das Attribut der Gruppenmitgliedschaft mehrwertig damit das Benutzer DN jedes Gruppenmitglieds gespeichert werden kann Die folgenden Werte sind g ltig m True Das Attribut kann mehrere Werte aufweisen m False Das Attribut kann nur einen Einzelwert Standard aufweisen Wichtig Die Attribute der Gruppenmitgliedschaft und der Admin Rollen m ssen in der Benutzerobjekt Definition mehrwertig sein wellknown Definiert den Namen des bekannten Attributs Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder siehe Seite 79 Sie werden ber die Syntax identifiziert ATTRIBUTENAME maxlength Definiert die maximale L nge die der Wert eines Attributs haben kann Legen Sie den maxlength Parameter auf 0 fest um eine unbegrenzte L nge anzugeben Hinweis Dieser Parameter ist erforderlich 68 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte permission Z
161. bung einer Gruppe GROUP_ID Enth lt die eindeutige Kennung einer Gruppe GROUP_MEMBERSHIP Erforderlich Enth lt eine Liste der Mitglieder einer Gruppe Hinweis Das Attribut GROUP_MEMBERSHIP muss mehrere Werte zulassen GROUP_NAME Erforderlich Speichert den Namen einer Gruppe ORG_MEMBERSHIP Bei Unterst tzung von Organisationen erforderlich Enth lt die eindeutige Kennung der Organisation der die Gruppe angeh rt Kapitel 4 Verwaltung relationaler Datenbanken 147 Bekannte Attribute f r eine relationale Datenbank ORG_MEMBERSHIP_NAME Bei Unterst tzung von Organisationen erforderlich Enth lt den benutzerfreundlichen Namen der Organisation der die Gruppe angeh rt SELF_SUBSCRIBING Bestimmt ob Benutzer eine Gruppe abonnieren k nnen Attribut Admin_Role_Constraint Wenn Sie eine Admin Rolle erstellen geben Sie eine oder mehrere Regeln f r die Rollenmitgliedschaft an Die Rolle wird allen Benutzern erteilt die die Mitgliedschaftsregeln erf llen Wenn zum Beispiel die Mitgliedschaftsregel f r die Rolle des Benutzer Managers title User Manager lautet wird Benutzern mit dem Titel User Manager die Rolle User Manager erteilt Hinweis Weitere Informationen zu Regeln finden Sie im Administrationshandbuch ADMIN_ROLE_CONSTRAINT erm glicht es Ihnen ein Profilattribut anzugeben in dem alle Admin Rollen eines Administrators gespeichert werden So verwenden Sie das Attribut ADMIN_
162. bungen siehe Seite 299 exportiert haben Klicken Sie auf Weiter Klicken Sie auf Fertig stellen und berpr fen Sie die Lastausgabe Vergewissern Sie sich dass das Verzeichnis in CA IdentityMinder und SiteMinder vorhanden ist Wiederholen Sie diese Schritte f r den Bereitstellungsspeicher und verbleibende Verzeichnisse Melden Sie sich bei der SiteMinder Verwaltungsoberfl che an um die Erstellung der Benutzerverzeichnisse zu validieren Aktualisieren und Importieren von Umgebungsdefinitionen Aktualisieren und Importieren von Umgebundsdefinitionen Der Identit tsadministrator importiert die aktualisierten Umgebungen zur ck in CA IdentityMinder Gehen Sie wie folgt vor 1 gt xx no u Im Gegensatz zu den Verzeichnisexporten ist der Umgebungsexport in Form einer ZIP Datei Ziehen Sie eine Kopie der name xmi Datei aus der ZIP Datei Kopieren Sie die name xml Datei F gen Sie am Ende des Elements ImsEnvironment einen Verweis auf den Schutzagenten nicht der SM 4 x Agent ein vor der schlie enden Klammer gt agent idmadmin Speichern und f gen Sie die Datei zur ck in die ZIP Datei ein ffnen Sie die CA IdentityMinder Management Konsole klicken Sie auf Umgebungen und dann auf Import Geben Sie den Namen der aktualisierten Umgebungs ZIP Datei ein Klicken Sie auf Fertig stellen und berpr fen Sie die Importausgabe Wiederholen Sie diesen Prozess f r alle Ihre verbleibenden Umgebungen
163. chen aktivieren f hrt CA IdentityMinder Ereignisse im Zusammenhang mit der Bereitstellungsrollen Mitgliedschaft in einer bestimmten Reihenfolge aus Alle Hinzuf gungsaktionen werden zu einem einzelnen Vorgang zusammengefasst und zur Verarbeitung an den Bereitstellungsserver gesendet Im Anschluss an die Verarbeitung dieser Hinzuf gungsaktionen kombiniert CA IdentityMinder die Entfenrungsaktionen zu einem einzelnen Vorgang und sendet diesen ebenfalls an den Bereitstellungsserver Ein einzelnes Ereignis namens AccumulatedProvisioningRoleEvent wird generiert um die Ereignisse in dieser Reihenfolge auszuf hren Hinweis Weitere Informationen zu AccumulatedProvisioningRoleEvent finden Sie im Administrationshandbuch 234 Konfigurationshandbuch Bereitstellung Organization for Creating Inbound Users Organisation zum Erstellen von Inbound Benutzern Definiert den vollst ndig qualifizierten Pfad zu dem Benutzerspeicher den CA IdentityMinder verwendet Dieses Feld wird nur angezeigt wenn der Benutzerspeicher eine Organisation enth lt Innenadministrator Definiert ein CA IdentityMinder Administratorkonto mit dem Aufgaben im Zusammenhang mit eingehenden Zuordnungen ausgef hrt werden Diese Aufgaben sind in die Rolle Manager f r Bereitstellungssynchronisierung eingeschlossen Der Administrator muss in der Lage jede Aufgabe f r jeden CA IdentityMinder Benutzer auszuf hren Bereitstellungsverzeichnis Das Bereitstellungsverzeic
164. chenfolgedatentypen eine maximale L nge an um zu verhindern dass diese abgeschnitten werden Um die L nge von Zeichenfolgen zu beschr nken k nnen Sie eine Validierungsregel erstellen durch die ein Fehler angezeigt wird wenn ein Benutzer eine Zeichenfolge eingibt die die maximale L nge berschreitet Kapitel 4 Verwaltung relationaler Datenbanken 123 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Die ImsManagedObjectAttr Parameter lauten wie folgt Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist physicalname Erforderlich Gibt den physischen Namen des Attributs an und muss eines der folgenden Details enthalten m Name und Verzeichnis in dem der Wert gespeichert ist Format tablename columnname Wenn zum Beispiel ein Attribut in der Spalte id der Tabelle tblUsers gespeichert ist lautet der physische Name dieses Attributs wie folgt tblUsers id Sie m ssen jede Tabelle die ein Attribut enth lt in einem Table Element siehe Seite 119 definieren m Ein bekanntes Attribut Ein bekanntes Attribut kann einen berechneten Wert darstellen Sie k nnen zum Beispiel ein bekanntes Attribut verwenden um auf ein Attribut zu verweisen das mithilfe eines benutzerdefinierten Vorgangs siehe Seite 134 berechnet wurde displayName Erforderlich Gibt einen eindeutigen Namen f r das Attribut an In der Benutzerkonsole wird der Anzeigename in der Liste der ve
165. chnittstellen als Administrator mit Dom nenberechtigungen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden ffnen Sie neteautoDomain W hlen Sie unter neteautoDomain Bereiche aus Die folgenden Bereiche werden angezeigt neteauto_ims_realm Sch tzt die CA IdentityMinder Umgebung neteauto_pub_realm Erm glicht den Support f r ffentliche Aufgaben wie etwa die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 39 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Erstellen Sie in jedem der Bereiche eine Regel Geben Sie die folgenden Details an m Ressource m Aktionen GET POST Um die Verwaltung zu vereinfachen nehmen Sie das NeteAuto Design in den Regelnamen auf Erstellen Sie f r die Dom ne eine Antwort mit den folgenden Antwortattributen m Attribut WebAgent HTTP Header Variable Dieses Attribut f gt einen neuen HTTP Header zur Antwort hinzu m Attributtyp Statisch m Ver nderlicher Name Design Ver nderlicher Wert neteauto ndern Sie die Richtlinie die CA IdentityMinder unter neteautoDomain erstellt hat Geben Sie
166. chreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte uususuenensssnsnnnnnennnnnenennenne Beschreibung von verwalteten Objekten uueeeeesesssenennenssnnnnenunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsennnnnnnnnnsnsesnnnnnnnensnnnnnn Attrib tbeschreibungen euere a en en anilenalinaiasn Verwalten vertraulicher Attribute CA Directory berlegungen uuneansensnnennennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Microsoft Active Directory berlegungen uuuuenenensensnnennennnnennennnnennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnann IBM Verzeichnisserver berlegungen uucnennsensnnennennnenennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnannnnann 78 Oracle Internet Directory berlegungen uunnsenaennsenannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 79 Bekannte Attribute f r einen LDAP Benutzerspeicher uuueeeesssssseenennenssnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnennonnnnnnnsnsnnnonnnnnenennnnnn 79 Bekannte Attribute f r Benutzer uussnesssssnessnnnnnsnnnnnnnennennnsnsnnnnnnnnnnnnnnannnnnsnnnensnsnnnennnnnnensnnnnnsnsnensnsnnnennnnnn 80 Bekannte Attribute T r Gruppen au uesscaenene nase nannten ERE an ann anne E rennen ah ERE Oaa na iiaeaa 83 Bekannte Attribute zur Organisation d u uues nne ann anheben 85 Attribut YADMIN_ROLE_CONSTRAINT uucnsenensenssnnnnenne
167. d Dies ist f r den Fall vorgesehen dass das Prim rsystem nicht verf gbar ist Wenn das Prim rsystem wieder verf gbar ist kann das Failover System wieder verwendet werden Um zur Verwendung des Prim rsystems zur ckzukehren starten Sie das sekund re System neu Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der aufgelisteten Reihenfolge herzustellen Geben Sie den Hostnamen und die IP Adresse im Failover Attribut in einer unterteilten Liste wie folgt an failover IPaddress port IPaddress port Beispiel lt Connection host 123 456 789 001 port 20389 failover 123 456 789 002 20389123 456 789 003 20389 gt Hinweis Port 20389 ist der Standard Port f r den Provisioning Server Hinweis Die Parameter sind optional Provisioning Unterelement Wenn die CA IdentityMinder Umgebung eine Bereitstellung umfasst definieren Sie die Provisioning Dom ne folgenderma en lt eTrustadmin domain SMDirProvisioningDomain gt Das Provisioning Unterelement enth lt den folgenden Parameter domain Gibt den Namen der Provisioning Dom ne an die durch CA IdentityMinder verwaltet wird Wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen werden Sie nach dem Dom nennamen gefragt berpr fen Sie dass Sie einen Wert f r den Dom nenparameter in der Verzeichniskonfigurationsdatei directory xml angeben Verzeichnissuchparameter Sie k nnen die f
168. dbc objectstore service N oTxCM lt module option gt lt login module gt lt authentication gt lt application policy gt Kopieren Sie den gesamten Eintrag und f gen Sie ihn in die Datei login cfg xml zwischen den Tags lt policy gt und lt policy gt ein Nehmen Sie in dem Eintrag den Sie in die Datei eingef gt haben die folgenden nderungen vor a ndern Sie wie folgt den Wert des Namensattributs von imobjectstoredb in imuserstoredb lt application policy name imuserstoredb gt b Geben Sie wie folgt den Namen des Benutzers f r die Authentifizierung am Benutzerspeicher an lt module option name userName gt user_store_user lt module option gt c Geben Sie wie folgt das Kennwort f r den im vorherigen Schritt angegebenen Benutzer an So erstellen Sie eine JDBC Datenquelle lt module option name password gt user store user password lt module option gt Hinweis Um das Kennwort f r den Benutzerspeicher zu verschl sseln verwenden Sie das Kennworttool pwdtools das zusammen mit CA IdentityMinder installiert wurde d Geben Sie wie folgt im Element lt module option name managedConnectionFactoryName gt den korrekten jdbc jca name an lt module option name managedConnectionFactoryName gt jboss jca name userstore service NoTxCM lt module option gt 6 Speichern Sie die Datei 7 Starten Sie den Anwendungsserver neu Erstellen einer JDBC Datenquelle f r WebLogic Sie erstelle
169. definitionen Gehen Sie wie folgt vor 1 2 Starten Sie den Anwendungsserver neu Erstellen Sie optional eine Sicherungskopie der aktuellen Definitionen indem Sie die Definitionen mithilfe des vorangehenden Verfahrens exportieren Wechseln Sie in das Verzeichnis admin_tools Workpoint bin und f hren Sie das Archive Skript wie folgt aus a W hlen Sie im Dialogfeld Importieren alle zu importierenden Elemente aus b Wenn Sie gefragt werden ob das neue oder das alte Format verwendet werden soll behalten Sie das alte Format bei CA IdentityMinder wird von dem neuen Format nicht unterst tzt c Geben Sie den Namen der durch den Export generierten Datei an d Klicken Sie auf Los admin_tools bezieht sich auf die Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Kapitel 9 Produktionsumgebungen 267 Kapitel 10 CA IdentityMinder Protokolle Dieses Kapitel enth lt folgende Themen So verfolgen Sie Probleme in CA IdentityMinder siehe Seite 269 So verfolgen Sie Komponenten und Datenfelder siehe Seite 271 So verfolgen Sie Probleme in CA IdentityMinder CA IdentityMinder beinhaltet die folgenden Methoden zum Aufzeichnen des Status und Nachverfolgen von Problemen Die Aufgabe Gesendete Aufgaben anzeigen Zeigt
170. den Namensparameter Der Wert des Namensparameters ist das Attribut in dem die eindeutige Kennung gespeichert ist Der Wert kann ein physisches Attribut oder ein bekanntes Attribut siehe Seite 79 sein Wenn Sie ein physisches Attribut angeben beachten Sie die folgenden Punkte m Vergewissern Sie sich dass das angegebene Attribut in der Datenbank vorhanden ist und dass es in der Verzeichniskonfigurationsdatei definiert ist wie in So ndern Sie Attributbeschreibungen siehe Seite 123 beschrieben Geben Sie in der Attributbeschreibung die Berechtigung nur lesen oder einmal schreiben an um zu verhindern dass die eindeutige Kennung w hrend einer Sitzung ge ndert wird m Verwenden Sie die folgende Syntax um ein physisches Attribut anzugeben tablename columnname tablename Definiert den Namen der Tabelle in der sich das Attribut befindet Die angegebene Tabelle muss die prim re Tabelle sein columnname Definiert den Namen der Spalte in der das Attribut gespeichert ist m Wenn die Datenbank die eindeutige Kennung generiert geben Sie einen benutzerdefinierten Vorgang f r das Attribut siehe Seite 134 an Zum Beispiel k nnen Sie einen Vorgang angeben durch den die zuletzt generierte Kennung aus der Datenbank abgerufen wird 122 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei So ndern Sie Attributbeschreibungen In einem Attribut werden Informationen zu einer Benutze
171. den Status aller Ereignisse und Aufgaben in einer CA IdentityMinder Umgebung an Administratoren verwenden diese Aufgabe in der Benutzerkonsole Durch Gesendete Aufgaben anzeigen werden die folgenden Arten von Informationen bereitgestellt m Die Liste der Ereignisse und Aufgabe in der Umgebung m Die Liste der Attribute die einem Ereignis zugeordnet sind m Erfolgreiche und fehlgeschlagene Ereignisse m Ausstehende oder blockierte Ereignisse m Abgelehnte Ereignisse einschlie lich des Grundes f r die Ablehnung m Status der Kontosynchronisierung m Status der Identit tsrichtliniensynchronisierung m Bereitstellungsinformationen wenn die Bereitstellung aktiviert ist Kapitel 10 CA IdentityMinder Protokolle 269 So verfolgen Sie Probleme in CA IdentityMinder Anwendungsserverprotokolle Diese Protokolle zeigen Informationen zu allen Komponenten in einer CA IdentityMinder Installation an und enthalten Details zu allen Vorg ngen in CA IdentityMinder Der Speicherort und Typ der Protokolldatei h ngt davon ab welchen der folgenden Anwendungsservertypen Sie verwenden m WebLogic CA IdentityMinder Informationen werden in die Standardausgabe geschrieben Die Standardausgabe ist normalerweise das Konsolenfenster in dem die Serverinstanz ausgef hrt wird m JBoss CA IdentityMinder Informationen werden in das Konsolenfenster in dem die Serverinstanz ausgef hrt wird und in die Datei iboss_home server log server log geschrieben
172. den entsprechend aufgef hrt 1 Begrenzen Sie den Umfang der Suchergebnisse siehe Seite 58 2 ndern Sie die durch Standardbenutzer Organisation oder Gruppe verwalteten Objekte Kapitel 3 Verwaltung des LDAP Benutzerspeichers 53 Verbindung zum Benutzerverzeichnis 3 ndern Sie die Standardattributbeschreibungen 4 ndern Sie bekannte Attribute siehe Seite 79 erforderlich Bekannte Attribute kennzeichnen besondere Attribute wie das Kennwortattribut in CA IdentityMinder 5 Konfigurieren Sie CA IdentityMinder f r Ihre Verzeichnisstruktur siehe Seite 87 erforderlich 6 Erm glicht es Benutzern sich an Gruppen anzumelden siehe Seite 88 Verbindung zum Benutzerverzeichnis CA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her um Informationen wie etwa zu Benutzer Gruppe oder auch organisatorische Information wie in der folgenden Darstellung angezeigt zu speichern Identity Manager Benutzer speicher Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich Allerdings m ssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhanden sein das einen vollst ndig qualifizierten Dom nennamen besitzt FQDN Eine Liste der unterst tzten Verzeichnis und Datenbanktypen finden Sie ber die CA IdentityMinder Support Matrix auf der CA Support Website Sie konfigurieren eine Verbindung zum Benutzerspeicher wenn Sie ein CA IdentityMinder Ve
173. den keine Informationen aufgezeichnet OLDCHANGED F r nderungsereignisse zeichnet CA IdentityMinder den Wert des Attributs vor dem nderungsereignis nur dann auf wenn der Wert in einen neuen Wert ge ndert wird F r andere Ereignistypen wie CreateUserEvent werden keine Informationen aufgezeichnet NEW F r nderungsereignisse zeichnet CA IdentityMinder den Wert des Attributs nach dem nderungsereignis auf CA IdentityMinder berpr ft das Attribut unabh ngig davon ob das Ereignis sich direkt auf den Wert auswirkt F r andere Ereignistypen zeichnet CA IdentityMinder die vorhandenen Werte auf NEWCHANGED F r nderungsereignisse zeichnet CA IdentityMinder den Wert des Attributs nach dem nderungsereignis nur dann auf wenn der Wert in einen neuen Wert ge ndert wird W hrend eines ModifyUserEvent Ereignisses ndert sich beispielsweise der Titel eines Benutzers von Assistant Manager in Manager CA IdentityMinder berpr ft den Wert Manager aber nicht den Namen und die Adresse des Benutzers die sich nicht ndern BOTH F r nderungsereignisse zeichnet CA IdentityMinder den Wert des Attributs vor und nach einem nderungsereignis auf unabh ngig davon ob sich das nderungsereignis auf diesen Wert auswirkt So konfigurieren Sie die berpr fung m _BOTHCHANGED F r nderungsereignisse zeichnet CA IdentityMinder den alten und den neuen Wert des Attributs nach dem nderungsereignis nur dann auf wen
174. dentityManager lAM_Suite ldentity_Manager tools Installieren Sie die NeteAuto Umgebund F hren Sie den folgenden Prozess aus um die NeteAuto Umgebung zu installieren Gehen Sie wie folgt vor 1 Vergewissern Sie sich dass die erforderliche Software installiert ist siehe Seite 22 2 Konfigurieren Sie den Benutzerspeicher und importieren Sie die Beispieldaten m F r LDAP Benutzer Konfigurieren Sie ein LDAP Benutzerverzeichnis siehe Seite 23 m F r Benutzer von relationalen Datenbanken Konfigurieren Sie eine relationale Datenbank 3 Erstellen Sie das NeteAuto CA IdentityMinder Verzeichnis 4 Erstellen Sie die NeteAuto CA IdentityMinder Umgebung 5 Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder Benutzeroberfl che f r NeteAuto Benutzer siehe Seite 39 Konfigurieren Sie ein LDAP Benutzerverzeichnis Das LDAP Verzeichnis ist in Abh ngigkeit von Ihrer Installation verf gbar Sie k nnen mit dem folgenden Verfahren berpr fen ob das Verzeichnis vorhanden ist oder Sie k nnen das Verzeichnis erstellen Gehen Sie wie folgt vor 1 Erstellen Sie in der Verzeichnisserverkonsole eine Instanz von LDAP mit folgendem Stamm dc security dc com Notieren Sie die Port Nummer f r zuk nftige Referenzzwecke Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 23 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Importieren Sie die NeteAuto ldif Datei in den Verzeichnisserver von s
175. dentityMinder Framework Authentication Filter siehe Seite 302 Starten Sie den Anwendungsserver neu siehe Seite 303 Konfigurieren Sie eine Datenquelle f r SiteMinder siehe Seite 303 Importieren Sie die Verzeichnisdefinitionen siehe Seite 304 Aktualisieren und importieren Sie die Umgebungsdefinitionen siehe Seite 305 Starten Sie den Anwendungsserver neu siehe Seite 303 Installieren Sie das Web Proxy Server Plug in siehe Seite 305 Ordnen Sie den SiteMinder Agenten einer CA IdentityMinder Dom ne zu siehe Seite 326 Konfigurieren Sie den Parameter LogOffUrl in SiteMinder siehe Seite 327 Kapitel 12 Integration von CA SiteMinder 289 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Als Richtlinienadministrator verwenden Sie die CA IdentityMinder Verwaltungstools um auf SQL Skripte oder LDAP Schematext zuzugreifen und das IMS Schema dem Richtlinienspeicher hinzuzuf gen Der Identit tsadministrator hat diese Tools im Ordner Admin Tools installiert F hren Sie eines der folgenden Verfahren durch um den Richtlinienspeicher zu konfigurieren Konfigurieren einer relationalen Datenbank siehe Seite 291 Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server siehe Seite 291 Konfigurieren von Microsoft Active Directory siehe Seite 292 Konfigurieren von Microsof
176. der Die folgende Abbildung zeigt ein Beispiel f r eine CA IdentityMinder Installation mit einem SiteMinder Richtlinienserver und Web Agenten Bereitstellungs verzeichnis CA IdentityMinder Server Anwendungsserver Bereitstellungsserver SiteMinder Web Agent SiteMinder Richtlinienserver IdentityMinder Erweiterung Datenbanken SQL Server Richtlinien speicher Benutzer speicher IBM Directory ADLDS on Server Windows Hinweis Die Komponenten werden als Beispiele auf unterschiedlichen Plattformen installiert Allerdings k nnen Sie andere Plattformen w hlen Die CA IdentityMinder Datenbanken befinden sich auf Microsoft SQL Server und der Benutzerspeicher auf IBM Directory Server Der SiteMinder Richtlinienspeicher befindet sich auf AD LDS unter Windows F r diesen Prozess werden zwei Rollen ben tigt der CA IdentityMinder Identit tsadministrator und der SiteMinder Richtlinienadministrator In manchen Organisationen hat eine Person beide Rollen inne Wenn zwei Personen an dem Prozess beteiligt sind ist f r die Verfahren in diesem Szenario eine enge Zusammenarbeit erforderlich Der Richtlinienadministrator beginnt und beendet diesen Prozess w hrend der Identit tsadministrator die Schritte dazwischen ausf hrt Wichtig F r CA IdentityMinder Installationen ab Release 12 5 SP7 werden Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files JCE Bibl
177. der die Struktur eines Benutzerverzeichnisses zu beschreiben erstellen Sie eine Verzeichniskonfigurationsdatei Die Verzeichniskonfigurationsdatei enth lt einen oder mehrere der folgenden Abschnitte Informationen zum CA IdentityMinder Verzeichnis Enth lt Informationen ber das CA IdentityMinder Verzeichnis Hinweis ndern Sie keine Information in diesem Abschnitt CA IdentityMinder fordert Sie auf diese Information anzugeben wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsole erstellen Attributvalidierung Definiert die Validierungsregeln die auf das CA IdentityMinder Verzeichnis angewandt werden Informationen zum Anbieter Beschreibt den Benutzerspeicher den CA IdentityMinder verwaltet Informationen zur Verzeichnissuche Erm glicht Ihnen anzugeben wie CA IdentityMinder den Benutzerspeicher durchsucht 50 Konfigurationshandbuch So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus Benutzerobjekt Beschreibt wie Benutzer im Benutzerspeicher gespeichert und wie sie in CA IdentityMinder dargestellt werden Gruppenobjekt Beschreibt wie Gruppen im Benutzerspeicher gespeichert und wie sie in CA IdentityMinder dargestellt werden Organisationsobjekt Beschreibt wie Organisationen gespeichert und wie sie in CA IdentityMinder dargestellt werden Das Organisationsobjekt stellt nur dann Details bereit wenn der Benutzerspeicher Organisationen enth lt Self Subscribing Objekt Konfiguriert
178. der verwendet um die Selbstregistrierung f r die CA IdentityMinder Umgebung zu aktivieren m NeteAuto Administrator besitzt keine Berechtigungen wenn Sie die NeteAuto Umgebung installieren Allerdings k nnen Sie den Gruppenmanager als eine Benutzerrolle zuweisen wie unter Zuweisen der Gruppenmanager Rolle beschrieben Relationale Datenbank f r NeteAuto Die folgende Abbildung beschreibt die relationale Datenbank f r das NeteAuto Beispiel einschlie lich einer Organisationstabelle tblUserRoles tblGroupMembers Ki grupid Juserid tblusers tblUserAddress userid imsorgid6 E Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 21 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Erforderliche Software f r NeteAuto F r die NeteAuto CA IdentityMinder Umgebung gelten die folgenden Voraussetzungen Installieren Sie CA IdentityMinder wie im Installationshandbuch beschrieben Stellen Sie sicher dass Sie die CA IdentityMinder Admin Tools installieren Sie m ssen Zugriff auf den Verzeichnisserver eines Sun Java Systems Sun ONE oder iPlanet oder auf eine Microsoft SQL Server Datenbank haben Installationsdateien f r die NeteAuto Umgebung CA IdentityMinder enth lt ein Set von Dateien die Sie verwenden k nnen um eine CA IdentityMinder Beispielumgebung einzurichten Die CA IdentityMinder Umgebung stellt die Ansicht eines Verwaltungs Namespace dar deres CA IdentityMinder Admini
179. dern k nnen Hinweis Definieren Sie Eigent merregeln die nur Verzeichnisattribute verwenden zum Beispiel title Manager Wenn Sie Eigent merregeln definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen Klicken Sie auf Senden Eine Meldung wird eingeblendet um anzuzeigen dass die Aufgabe gesendet worden ist Es kann eine vor bergehende Verz gerung auftreten bevor ein Benutzer die Rolle verwenden kann Aktivieren von Zugriffsrollen in SiteMinder Ein SiteMinder Administrator bindet Rollen an Sicherheitsrichtlinien die definieren wie Benutzer mit Ressourcen interagieren Richtlinien k nnen die folgenden Objekte verkn pfen Benutzer und Benutzergruppen Identifizieren ein Set von Benutzern die von einer Richtlinie betroffen sind Rollen Identifizieren Benutzer denen ein Set von Berechtigungen in Identity Manager zugewiesen worden ist Regeln Identifizieren eine Ressource und die Aktionen die f r die Ressource erlaubt oder unzul ssig sind Die Ressource ist normalerweise eine URL eine Anwendung oder ein Skript Antworten Bestimmen eine Reaktion auf eine Regel Wenn eine Regel ausgel st wird werden Antworten an einen SiteMinder Agenten zur ckgegeben Identity Manager verwendet SiteMinder Antworten um bestimmte Aufgabe und Rolleninformationen zu einer gesch tzten Ressource zu liefern Sie k nnen SiteMind
180. dert einen Hostnamen localhost ist nicht zul ssig Schlie en Sie auch nicht den Alias ein zum Beispiel http myserver mycompany com iam im Wenn Sie einen Web Agenten verwenden vergewissern Sie sich dass die Basis URL ge ndert wurde und die URL des Web Agenten widerspiegelt Hinweis Wenn Sie einen Web Agenten verwenden um CA IdentityMinder Ressourcen zu sch tzen geben Sie im Feld Basis URL keine Portnummer an Wenn Sie einen Web Agenten verwenden und die Basis URL eine Portnummer enth lt funktionieren die Links zu CA IdentityMinder Aufgaben nicht ordnungsgem Weitere Informationen zum Schutz von CA IdentityMinder Ressourcen finden Sie im Installationshandbuch f r Ihren Anwendungsserver Klicken Sie auf Weiter W hlen Sie ein CA IdentityMinder Verzeichnis aus um es der Umgebung zuzuordnen die Sie erstellen und klicken Sie auf Weiter 194 Konfigurationshandbuch Erstellen einer CA IdentityMinder Umgebung Wenn die CA IdentityMinder Umgebung die Bereitstellung unterst tzt w hlen Sie den entsprechenden Bereitstellungsserver f r die Verwendung aus Hinweis Sie werden nicht aufgefordert einen Bereitstellungsserver auszuw hlen wenn Sie ein Bereitstellungsverzeichnis als CA IdentityMinder Verzeichnis ausgew hlt haben Konfigurieren Sie die Unterst tzung von ffentlichen Aufgaben Diese Aufgaben sind in der Regel Self Service Aufgaben wie Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessen
181. die folgenden Details an m Benutzer F r LDAP W hlen Sie ou People ou Employees oder ou NeteAuto unter den verf gbaren Mitgliedern aus und f gen Sie die jeweilige Auswahl zu den aktuellen Mitgliedern hinzu Klicken Sie auf OK F r relationale Datenbanken Suchen Sie nach Benutzern bei denen das ID Attribut dem Wert entspricht W hlen Sie alle Benutzer unter den verf gbaren Mitgliedern aus und f gen Sie diese zu den aktuellen Mitgliedern hinzu Klicken Sie auf OK m Regeln Rules F gen Sie die Regeln hinzu die Sie in Schritt 4 erstellt haben Klicken Sie f r jede Regel auf Vorgegebene Antwort Verkn pfen Sie jede Regel mit der Antwort die Sie in Schritt 5 erstellt haben Hinweis Das neteauto Design beruht auf der imcss Konsole Um das Design anzuzeigen h ngen Sie imcss index jsp an die URL f r die NeteAuto CA IdentityMinder Umgebung folgenderma en an http hostname iam im neteauto imcss index jsp Der Zugriff auf die NeteAuto CA IdentityMinder Umgebung siehe Seite 42 bietet vollst ndige Anweisungen f r den Zugriff auf die NeteAuto Umgebung 40 Konfigurationshandbuch So wird die NeteAuto CA IdentityMinder Umgebung verwendet Verwenden Sie die entsprechende Funktion im Falle eines vergessenen Kennworts F hren Sie den folgenden Vorgang aus um die Funktion f r den Fall eines vergessenen Kennworts zu verwenden Gehen Sie wie folgt vor 1 Benutzerverwaltung Geben Sie die f
182. dieses Attribut ndern und das Attribut kann Aufgabenfenstern in der Benutzerkonsole hinzugef gt werden Standardeinstellung validationruleset Ordnet dem Attribut einen Validierungsregelsatz zu Stellen Sie sicher dass der angegebene Validierungsregelsatz in einem ValidationRuleSet Element in der Verzeichniskonfigurationsdatei definiert ist delimiter Definiert das Zeichen durch das die Werte getrennt werden wenn mehrere Werte in einer Spalte gespeichert werden Wichtig Stellen Sie sicher dass der Parameter multivalued auf true festgelegt ist damit der Parameter delimiter angewandt wird Hinweis Um zu verhindern dass in der Benutzerkonsole vertrauliche Informationen angezeigt werden wie Kennw rter oder Geh lter k nnen Sie den Parameter DataClassification siehe Seite 74 angeben Kapitel 4 Verwaltung relationaler Datenbanken 127 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Verwalten vertraulicher Attribute CA IdentityMinder bietet die folgenden Methoden f r die Verwaltung vertraulicher Attribute 128 Konfigurationshandbuch Datenklassifizierungen f r Attribute Mithilfe von Datenklassifizierungen k nnen Sie Anzeige und Verschl sselungseigenschaften f r Attribute in der Verzeichniskonfigurationsdatei directory xm festlegen Sie k nnen Datenklassifizierungen die vertrauliche Attribute verwalten wie folgt definieren Zeigen Sie in den CA IdentityMinder Au
183. dschaft wie die Liste der Rollen eines Benutzer und die Liste der Mitglieder in einer bestimmten Rolle IM_RoleAdmins Verfolgt Informationen bez glich der Rollenverwaltung wie die Liste der Rollen die ein Benutzer verwalten kann und die Liste der Administratoren f r eine bestimmte Rolle IM_RoleOwners Verfolgt Informationen bez glich des Rollenbesitzes wie die Liste der Rollen die ein Benutzer besitzt und die Liste der Besitzer f r eine bestimmte Rolle IM_PolicyServerRules Verfolgt die Auswertung von Mitgliederregeln wie RoleMember RoleAdmin und RoleOwner die der Richtlinienserver aufgel st hat und von Bereichsregeln wie All und AccessTaskfFilter f r Zugriffsaufgaben 272 Konfigurationshandbuch So verfolgen Sie Komponenten und Datenfelder IM_LLSDK_Command Verfolgt die Kommunikation zwischen dem internen CA IdentityMinder SDK und dem Richtlinienserver Der technische Support verwendet diese Verfolgungskomponente IM_LLSDK_Message Verfolgt ob Meldungen mittels Java Code explizit vom internen CA IdentityMinder SDK an den Richtlinienserver gesendet werden Der technische Support verwendet diese Verfolgungskomponente IM_IdentityPolicy Verfolgt die Auswertung und Anwendung von Identit tsrichtlinien IM_PasswordPolicy Verfolgt die Auswertung von Kennwortrichtlinien IM_Version Stellt Informationen zur CA IdentityMinder Version bereit IM_CertificationPolicy Verfolgt die Auswertung von Zertifizierungsr
184. dung aufzunehmen URL Gibt die URL oder IP Adresse des Benutzerspeichers an Benutzername Gibt den Benutzernamen f r ein Konto an das auf den Benutzerspeicher zugreifen kann Search Maximum Rows Maximale Such Zeilen Zeigt die H chstanzahl von zur ckgegebenen Zeilen als Ergebnis einer Suche an 178 Konfigurationshandbuch CA IdentityMinder Verzeichniseigenschaften Search Page Size Suchseiten Gr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Der Benutzerspeicher den CA IdentityMinder verwaltet muss Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch Supports Paging Unterst tzt Paging Zeigt an dass das Verzeichnis Paging unterst tzt Search Timeout Such Zeitlimit nur f r LDAP Verzeichnisse Gibt die maximale Anzahl von Sekunden die CA IdentityMinder einen Benutzerspeicher durchsucht bevor es die Suche beendet Provisioning Domain Bereitstellungsdom ne nur f r Bereitstellungsserververzeichnisse Bereitstellungsdom ne die CA IdentityMinder verwaltet Fenster CA IdentityMinder Directory Properties Verzeichniseigenschaften Im Eigenschaftsfenster werden allgemeine Informationen ber das von Ihnen ausge
185. e Eigenschaften aus W hlen Sie die Registerkarte ISAPI Filter aus und klicken Sie auf Hinzuf gen Installieren des Web Proxyserver Plug ins 13 Geben Sie jakarta f r den Filternamen ein und klicken Sie dann auf Durchsuchen um isapi_redirect dll auszuw hlen Klicken Sie anschlie end zweimal auf OK 14 Aktivieren Sie f r IIS 6 0 diesen Filter unter den Webdiensterweiterungen 15 W hlen Sie den Webdiensterweiterungs Ordner aus Klicken Sie auf den blauen Link links f r Neue Webdiensterweiterung hinzuf gen 16 Geben Sie Jakarta Tomcat als Name an Klicken Sie auf Hinzuf gen und suchen Sie die gleiche dll wie oben Klicken Sie auf OK Aktivieren Sie Erweiterungsstatus auf Zugelassen setzen und klicken Sie dann auf OK 17 Starten Sie den IIS Server neu Mit dem jetzt eingerichteten Proxy k nnen Sie ber IIS auf CA IdentityMinder zugreifen Hier sind beispielsweise die Links um auf CA IdentityMinder zuzugreifen vor und nach der Proxy Konfiguration Vor http identitymgr forwardinc ca 83080 idmmange http identitymgr forwardinc ca 8080 idmmange Nach http smserver forwardinc idmmanage http smserver forwardinc idmmanage Hinweis Ein Schr gstrich kann am Ende dieser URL gebraucht werden damit der Proxy arbeitet berpr fen Sie die Proxy Protokolle wenn Sie nicht zur Management Konsole weitergeleitet werden Kapitel 12 Integration von CA SiteMinder 317 Installieren des Web
186. e Administratoren hinzuzuf gen geben Sie ein CA IdentityMinder Verzeichnis an das die Benutzer enth lt die Zugriff auf die Management Konsole haben sollen Durch die Verwendung eines vorhandenen Verzeichnisses k nnen Sie Benutzern in Ihrer Organisation Zugriff auf die Management Konsole erteilen ohne dass Sie neue Konten erstellen m ssen Sie k nnen nur ein Verzeichnis f r die Authentifizierung angeben Ein Verzeichnis das f r die Authentifizierung konfiguriert ist kann nicht gel scht werden Gehen Sie wie folgt vor 1 Melden Sie sich mit den w hrend der Installation angegebenen Benutzeranmeldeinformationen an der Management Konsole an 2 ffnen Sie Directories und klicken Sie auf das Verzeichnis mit den Benutzern die Zugriff auf die Management Konsole ben tigen 3 Klicken Sie auf Update Authentication 4 W hlen Sie die Option Used for Authentication aus 5 Geben Sie den Benutzernamen des ersten Benutzers ein und klicken Sie auf Add 6 F gen Sie weitere Benutzer hinzu die Zugriff auf die Management Konsole ben tigen bis alle Benutzer hinzugef gt wurden Klicken Sie dann auf Speichern Die angegebenen Benutzer k nnen nun mit ihrem Benutzernamen und Kennwort auf die Management Konsole zugreifen Kapitel 11 CA IdentityMinder Schutz 277 Sicherheit an der Management Konsole Deaktivieren der systemeigenen Sicherheit f r die Management Konsole Wenn Sie die systemeigene Sicherheit f r die Manageme
187. e Attribute f r Benutzer ADMIN_ROLE_CONSTRAINT Enth lt eine Liste der Admin Rollen siehe Seite 148 die dem Administrator siehe Seite 148 zugeordnet sind Das physische Attribut das ADMIN_ROLE_CONSTRAINT zugeordnet ist muss mehrere Werte zulassen sodass es verschiedene Rollen aufnehmen kann Es wird empfohlen das Attribut das ADMIN_ROLE_CONSTRAINT zugeordnet ist zu indizieren CERTIFICATION_STATUS F r die Verwendung der Benutzerzertifizierungsfunktion erforderlich Enth lt den Zertifizierungsstatus eines Benutzers Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch DELEGATORS Wird einer Liste mit Benutzern zugeordnet die Arbeitselemente an den aktuellen Benutzer delegiert haben Dieses Attribut ist f r die Verwendung der Delegierung erforderlich Das physische Attribut das DELEGATORS zugeordnet ist muss mehrere Werte umfassen und es muss Zeichenfolgen enthalten k nnen Wichtig Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder Aufgaben oder einem externen Tool hat betr chtliche Auswirkungen auf die Sicherheit EMAIL F r die Aktivierung der E Mail Benachrichtigungsfunktion erforderlich Speichert die E Mail Adresse eines Benutzers ENABLED_STATE Erforderlich Verfolgt den Status eines Benutzers Hinweis Der Datentyp des physischen Attributs das ENABLED_STATE zugeordnet ist muss String sein FIRST_NAME Enth lt den V
188. e Kennw rter Benutzer m ssen sich nicht anmelden um auf ffentliche Aufgaben zuzugreifen Hinweis Damit Benutzer Self Service Aufgaben verwenden k nnen konfigurieren Sie die Unterst tzung von ffentlichen Aufgaben a Geben Sie einen eindeutigen Namen an der zur URL f r den Zugriff auf ffentliche Aufgaben hinzugef gt wird Beispiel Mithilfe der folgenden URL k nnen Sie auf die standardm ige Selbstregistrierungsaufgabe zugreifen http myserver mycompany com iam im alias index jsp task tag SelfRegistra tion In dieser URL ist alias der eindeutige Name den Sie angeben b Geben Sie eins der folgenden vorhandenen Benutzerkonten an das als ffentliches Benutzerkonto dient CA IdentityMinder erm glicht mit diesem Konto unbekannten Benutzern den Zugriff auf ffentliche Aufgaben ohne die Angabe von Anmeldeinformationen LDAP Benutzer geben die eindeutige Kennung oder den zugeh rigen DN des ffentlichen Benutzerkontos ein Vergewissern Sie sich dass dieser Wert dem bekannten Attribut USER_ID siehe Seite 79 zugeordnet ist Wenn der DN des Benutzer DN zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin ein Benutzer von relationalen Datenbanken geben den Wert der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordnet ist oder die eindeutige Kennung f r den Benutzer ein Klicken Sie auf Validieren um die vollst ndige Kennung des Benutzers
189. e Rollendefinitionsdateien aus um S tze von Standardaufgaben f r Ihre Umgebung zu erstellen und klicken Sie auf Weiter Rollendefinitionsdateien sind XML Dateien die einen Satz von Aufgaben und Rollen definieren die f r die Unterst tzung bestimmter Funktionen erforderlich sind Wenn Sie zum Beispiel Active Directory und UNIX NIS Endpunkte verwalten m chten w hlen Sie die entsprechenden Rollendefinitionsdateien aus Hinweis Dieser Schritt ist optional Wenn Sie keine zus tzlichen Standardaufgaben zur Unterst tzung neuer Funktionen erstellen m chten berspringen Sie dieses Fenster 11 Definieren Sie einen Benutzer als Systemmanager f r diese Umgebung wie folgt a Geben Sie im Feld System Manager Systemmanager den Wert ein der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordnet ist oder geben Sie eins der folgenden Benutzerkonten an LDAP Benutzer geben die eindeutige Kennung oder den zugeh rigen DN des Benutzers ein Wenn der DN des Benutzer DN zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin ein Benutzer von relationalen Datenbanken geben die eindeutige Kennung f r den Benutzer ein 196 Konfigurationshandbuch 12 13 14 15 16 17 Erstellen einer CA IdentityMinder Umgebung b Klicken Sie auf Hinzuf gen CA IdentityMinder f gt die vollst ndige Kennung des Benutzers in der Liste mit Benutzern hinzu c
190. e Seite 172 Aktivieren von Bereitstellungsserver Zugriff siehe Seite 174 Anzeigen von CA IdentityMinder Verzeichnissen siehe Seite 177 CA IdentityMinder Verzeichniseigenschaften siehe Seite 178 Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 Voraussetzungen zum Erstellen eines CA IdentityMinder Verzeichnisses Bevor Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie folgende Schritte durchf hren m Halten Sie alle au er einen CA IdentityMinder Knoten an bevor Sie ein CA IdentityMinder Verzeichnis erstellen oder ndern Hinweis Wenn Sie einen Cluster von CA IdentityMinder Knoten haben kann nur ein CA IdentityMinder Knoten aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen m Halten Sie alle au er einen Richtlinienserver an bevor Sie CA IdentityMinder Verzeichnisse erstellen oder aktualisieren Hinweis Wenn Sie einen Cluster von SiteMinder Richtlinienservern haben kann nur ein SiteMinder Richtlinienserver aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen Kapitel 5 CA IdentityMinder Verzeichnisse 157 So erstellen Sie ein Verzeichnis So erstellen Sie ein Verzeichnis In der Management Konsole erstellen Sie ein CA IdentityMinder Verzeichnis das Struktur und Inhalt des Benutzerspeicher beschreibt und das Bereitstellungsverzeichnis das erforderliche Informationen f r den Bereitstellungsserver speichert Diese
191. e Seite 83 Bekannte Attribute zur Organisation siehe Seite 85 Kapitel 5 CA IdentityMinder Verzeichnisse 167 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster der grundlegenden Objektattribut Definition Verwenden Sie dieses Fenster um die in blicher Weise festgelegten Definitionen anzuzeigen und zu ndern Name und Beschreibung anzeigen Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Tabelle der verwalteten Objekte Gibt den Anzeigenamen physischen Namen bekannten Namen und die Beschreibung des verwalteten Objekts an Verwenden Sie das Drop down Men um die Beschreibung bei Bedarf zu ndern Sobald Sie die nderungen vorgenommen haben klicken Sie auf Weiter um fortzufahren Schaltfl che Zur ck Klicken Sie hier um zum Fenster der bekannten Zuordnungen zur ckzukehren und um die Details der Zuordnungen zu ndern Schaltfl che Weiter Klicken Sie hier um im Fenster Detailed Object Attribute Definition Screen Detaillierte Objektattribut Definition fortzufahren wo Sie zus tzliche Attributdefinitionen angeben k nnen 168 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster Detailed Object Attribute Definition Screen Detaillierte Objektattribut Definition Verwenden Sie dieses Fenster um weitere Attributdefinitionen anzugeben Ein Administrator kann die Metad
192. e Sie die Rollen und Aufgabeneinstellungen importieren m chten Das Eigenschaftsfenster f r diese Umgebung wird angezeigt 3 Klicken Sie auf Role and Task Settings Rollen und Aufgaben Einstellungen und anschlie end auf Importieren 4 F hren Sie eine der folgenden Aktionen aus m W hlen Sie eine oder mehrere Rollendefinitionsdateien aus um Standardrollen und aufgaben f r die Umgebung zu erstellen Um alle verf gbaren Rollendefinitionsdateien auszuw hlen klicken Sie auf Select Deselect All Alle ausw hlen Gesamte Auswahl aufheben m Geben Sie den Pfad und Dateinamen f r die zu importierende Rollendefinitionsdatei ein oder suchen Sie nach der Datei Klicken Sie dann auf Fertig stellen 5 Klicken Sie auf Fertig stellen Der Status wird im Ausgabefenster der Rollenkonfiguration angezeigt 6 Klicken Sie zum Beenden auf Fortfahren 220 Konfigurationshandbuch ndern des Systemmanager Kontos Erstellen von Rollen und Aufgaben f r dynamische Endpunkte Mithilfe von Connector Xpress k nnen Sie dynamische Connector konfigurieren um die Bereitstellung und Verwaltung von SQL Datenbanken und LDAP Verzeichnissen zu erm glichen Sie k nnen den Generator f r Rollendefinitionen f r jeden dynamischen Connector verwenden um Aufgaben und Fensterdefinitionen f r Kontoverwaltungsfenster zu erstellen die in der Benutzerkonsole angezeigt werden Nachdem Sie den Generator f r Rollendefinitionen ausgef hrt h
193. e Umgebung importieren Das Umgebungsprotokoll wird im Statusfenster in der Management Konsole angezeigt wenn Sie eine Umgebung oder andere Objektdefinitionen aus einer Datei importieren Hinweis Wenn Sie dieses Kontrollk stchen aktivieren kann sich dies betr chtlich auf die Leistung auswirken Das ausf hrliche Protokoll schlie t Validierungs und Bereitstellungsmeldungen f r jedes Objekt Aufgabe Fenster Rolle und Richtlinie und die zugeh rigen Attribute in der Umgebung ein Um das ausf hrliche Protokoll anzuzeigen aktivieren Sie dieses Kontrollk stchen und speichern Sie die Umgebungseigenschaften Wenn Sie Rollen oder andere Einstellungen aus einer Datei importieren werden die zus tzlichen Informationen im Protokoll angezeigt Bereitstellungsserver Gibt das Bereitstellungsverzeichnis an das als Benutzerspeicher f r die Bereitstellung verwendet wird Klicken Sie auf die Schaltfl che mit dem Rechtspfeil um das Bereitstellungsverzeichnis auf der Seite Provisioning Properties Bereitstellungseigenschaften zu konfigurieren Kapitel 6 CA IdentityMinder Umgebungen 205 Verwalten von Umgebungen 206 Konfigurationshandbuch Version Definiert die Versionsnummer von CA IdentityMinder Base URL Basis DN Gibt den Teil der CA IdentityMinder URL an die nicht den gesch tzten oder ffentlichen Alias f r die Umgebung enth lt CA IdentityMinder verwendet die Basis URL f r die Bildung der Umleitungs URL die auf
194. e angeben in einem ValidationRuleSet Element in der Verzeichniskonfigurationsdatei definiert ist objectclass Zeigt die LDAP Hilfsklasse f r ein Benutzer Gruppen oder Organisationsattribut an wenn das Attribut nicht Teil der im ImsManagedObject Element angegebenen prim ren Objektklasse ist Kapitel 3 Verwaltung des LDAP Benutzerspeichers 69 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Nehmen Sie zum Beispiel an dass die prim re Objektklasse f r Benutzer top person und organizationalperson ist wodurch die folgenden Benutzerattribute definiert werden m allgemeiner Name cn m Zuname sn m Benutzer ID uid m Kennwort userPassword Um das Attribut employeelD einzuschlie en das in der Mitarbeiter Hilfsklasse definiert wird f gen Sie die folgende Attributbeschreibung hinzu lt ImsManagedObjectAttr physicalname employeeID displayname Employee ID description Employee ID valuetype String required true multivalued false maxlength 0 objectclass Employee gt Geben Sie Attributbeschreibungen an Das Beschreiben von Attributen beinhaltet die folgenden Schritte 1 Lesen Sie die zugeh rigen Abschnitte zu den folgenden Themen m CA Directory berlegungen siehe Seite 77 m Microsoft Active Directory berlegungen siehe Seite 78 m BM Verzeichnisserver berlegungen siehe Seite 78 m Oracle Internet Directory berlegungen siehe Seite 79
195. e den Namen employees angeben erstellt SiteMinder zum Beispiel Objekte mit dem Namen employeesobject_type object_type Definiert das SiteMinder Objekt wie employees_ims_realm Die folgende Abbildung zeigt zwei der Objekte die SiteMinder erstellt System Domains Domains employeesDomain E ap Realms J employees_ims_realm Responses amp Policies Aktualisieren eines Alias in SiteMinder Bereichen Wenn Sie das gesch tzte oder ffentliche Alias in der Management Konsole ndern versucht CA IdentityMinder die Aliasnamen im Richtlinienserver zu aktualisieren Wenn CA IdentityMinder die Namen nicht aktualisieren kann k nnen Sie sie manuell in einer der folgenden Schnittstellen aktualisieren m F r CA SiteMinder Web Access Manager r12 oder h her verwenden Sie die Verwaltungsoberfl che m F r CA eTrust SiteMinder 6 0 SP5 verwenden Sie die Richtlinienserver Benutzeroberfl che 362 Konfigurationshandbuch SiteMinder Vorg nge Gehen Sie wie folgt vor 1 Suchen Sie die Bereiche f r die CA IdentityMinder Umgebung Diese Bereiche werden automatisch erstellt mit anderen erforderlichen SiteMinder Objekten wenn CA IdentityMinder in SiteMinder integriert ist Die Bereiche verwenden die folgende Namenskonvention m Identity Manager Umgebung_ims_realm Sch tzt die Benutzerkonsole m Identity Manager Umgebung_pub_realm Erm glicht die Unterst tzung von ffentlichen Aufgaben wie Selbstregistrierung
196. e die Umgebung exportieren Die Auswahl des Felds Enable Verbose Log Output kann betr chtliche Leistungsprobleme beim Importieren verursachen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 W hlen Sie die Umgebung aus die Sie exportieren m chten 3 Klicken Sie auf die Schaltfl che Exportieren Ein Dateidownload Fenster wird angezeigt 4 Speichern Sie die ZIP Datei an einem Speicherort auf den das Produktionssystem zugreifen kann 5 Klicken Sie auf Fertig stellen Die Umgebungsinformationen werden in eine ZIP Datei exportiert die Sie in eine andere Umgebung importieren k nnen Kapitel 9 Produktionsumgebungen 261 Migrieren der Datei iam_im ear f r JBoss So importieren Sie eine CA IdentityMinder Umgebung Nachdem Sie eine CA IdentityMinder Umgebung von einem Entwicklungssystem exportiert haben k nnen Sie sie in ein Produktionssystem importieren Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 Klicken Sie auf die Schaltfl che Importieren Das Fenster Umgebung importieren wird angezeigt 3 Suchen Sie nach der entsprechenden ZIP Datei um eine Umgebung zu importieren 4 Klicken Sie auf F
197. e erwartet Um dieses Problem zu vermeiden verwenden Sie den vollst ndig qualifizierten Hostnamen oder eine IPv4 Adresse Definiert den Anwendungsserver Port Hinweis Wenn Sie einen Web Agenten verwenden um eine erweiterte Authentifizierung f r CA IdentityMinder bereitzustellen m ssen Sie die Port Nummer nicht angeben So wird eine CA IdentityMinder Umgebung erstellt Hinweis Aktivieren Sie JavaScript in dem Browser den Sie verwenden um auf die Management Konsole zuzugreifen Beispiel Pfade zur Management Konsole F r Geologic Weblogs http myserver mycompany org 7001 iam immanage F r JBoss http myserver mycompany org 8080 iam immanage F r WebSphere http myserver mycompany org 9080 iam immanage So wird eine CA IdentityMinder Umgebung erstellt Um eine CA IdentityMinder Umgebung zu erstellen f hren Sie die folgenden Schritte in der Management Konsole aus 1 3 4 Verwenden Sie den Assistenten f r Verzeichniskonfiguration siehe Seite 158 um ein CA IdentityMinder Verzeichnis zu erstellen Wenn Ihre Umgebung Bereitstellung einschlie t verwenden Sie den Assistenten f r Verzeichniskonfiguration erneut um ein Provisioning Verzeichnis siehe Seite 174 zu erstellen Erstellen Sie eine CA IdentityMinder Umgebung Greifen Sie auf die Umgebung siehe Seite 198 zu um zu berpr fen dass diese ausgef hrt wird Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 17 Kapitel 2 Beispiel
198. eMinder Richtlinienspeicher Entfernen Sie dann die Eigenschaft EnableSMRBAC aus der Liste mit verschiedenen Eigenschaften und starten Sie die Umgebung neu Hinzuf gen einer Zugriffsaufgabe zur Admin Rolle Standardm ig werden die Zugriffsaufgaben nicht auf der Registerkarte Rollen und Aufgaben angezeigt Sie m ssen die Zugriffsaufgaben zur Admin Rolle des angemeldeten Benutzers hinzuf gen Gehen Sie wie folgt vor 1 Melden Sie sich bei einem CA IdentityMinder Konto mit einer Rolle an die eine Aufgabe f r das Erstellen von Zugriffsrollen einschlie t Klicken Sie auf Rollen und Aufgaben Admin Rolle ndern W hlen Sie die Admin Rolle des angemeldeten Benutzers aus Klicken Sie auf die Registerkarte Aufgaben Feld Nach Kategorie filtern und w hlen Sie Rollen und Aufgaben aus der Dropdown Liste aus W hlen Sie in der Dropdown Liste Aufgabe hinzuf gen die Option Zugriffsaufgabe erstellen aus Klicken Sie auf Senden Kapitel 12 Integration von CA SiteMinder 347 SiteMinder Vorg nge Erstellen von Zugriffsaufgaben Eine Zugriffsaufgabe ist eine einzelne Aktion die ein Benutzer in einer Unternehmensanwendung ausf hren kann wie beispielsweise eine Bestellung in einer Finanzanwendung zu generieren Benutzer k nnen diese Aktion ausf hren wenn ihnen eine Zugriffsrolle zugewiesen wird die die Zugriffsaufgabe einschlie t Wichtig Um eine Zugriffsaufgabe zu erstellen m ssen Sie die Zugriffsau
199. edes Objekt dem dieses Attribut zugeordnet ist laden und speichern und anschlie end die Datenklassifizierung wieder entfernen Mit dieser Methode werden alle gespeicherten verschl sselten Werte automatisch in gespeicherten Klartext konvertiert Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniseinstellungen f r das entsprechende CA IdentityMinder Verzeichnis 2 Entfernen Sie in der directory xml Datei die Datenklassifizierung AttributeLevelEncrypt f r Attribute die Sie entschl sseln m chten 3 Wenn Sie erzwingen m chten dass CA IdentityMinder zuvor verschl sselte Werte entfernt f gen Sie das Datenklassifizierungs Attribut PreviousiyEncrypted hinzu Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name PreviouslyEncrypted gt 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort entschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch CA Directory berlegungen Wenn Sie Attribute f r einen CA Directory Benutzerspeicher beschreiben m ssen Sie die folgenden Punkte beachten m Bei Attributnamen wird die Gro Kleinschreibung ber cksichtigt m Die Verwendung des seeAlso Attributs als das Attribut welches eine selbstabon
200. ehung zwischen einem CA IdentityMinder Verzeichnis und einem Benutzerspeicher Benutzerdatenbank Identity Manager Verzeichnis Benutzerobjekte Tabellen Mitarbeiter ID tblUsers Vorname tblAddress Nachname E Mail Anmelde ID Attribute Alter Mitarbeiter ID Geburtsdatum Vorname Nachname E Mail tblAddress Anmelde ID Stra e Mitarbeiter ID Stadt Bundesland PLZ Bundesland PLZ Benutzerdatenbank Administrator Verzeichnis Benutzerobjekte Tabellen Mitarbeiter ID tblUsers Vorname Nachname E Mail Anmelde ID 2 i Alter Mitarbeiter ID Geburtsdatum Vorname Adresse Nachname Stadt E Mail Anmelde ID Hinweis Einige Benutzerattribute in der Datenbank sind nicht Teil des CA IdentityMinder Verzeichnisses Sie werden daher von CA IdentityMinder nicht verwaltet 104 Konfigurationshandbuch Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken ID Bevor Sie CA IdentityMinder f r die Verwaltung einer relationalen Datenbank konfigurieren m ssen Sie sicherstellen dass die Datenbank die folgenden Anforderungen erf llt Auf die Datenbank muss ber einen JDBC Treiber oder einen ODBC Treiber Open Database Connectivity zugegriffen werden k nnen wenn CA IdentityMinder mit SiteMinder integriert ist Der Treiber muss u ere Verkn pfungen unterst tzen Wenn mehr als zwei
201. ei m glichen Authentifizierungstypen an Weitere Informationen zum Ausgeben von Remoteanfragen bei CA IdentityMinder durch den Webservice zur externen Ansteuerung von Aufgaben finden Sie im Programmierhandbuch f r Java Kapitel 7 Erweiterte Einstellungen 239 Workflow Properties Workflow Eigenschaften Workflow Properties Workflow Eigenschaften Bei Aktivierung steuert die Workflow Funktion die Ausf hrung einer CA IdentityMinder Aufgabe die einem Workflow Vorgang zugeordnet ist Ein Workflow Vorgang ist ein Satz von Schritten die zur Erf llung eines Gesch ftsziels ausgef hrt werden z B zum Erstellen eines Benutzerkontos Normalerweise beinhaltet einer dieser Schritte dass die Aufgabe genehmigt oder zur ckgewiesen wird Eine Admin Aufgabe ist einem oder mehreren Ereignissen zugeordnet die einen oder mehrere Workflow Vorg nge ausl sen k nnen Nachdem die Workflow Vorg nge abgeschlossen wurden f hrt CA IdentityMinder die Aufgabe aus oder weist sie zur ck je nach Ergebnis der Workflow Vorg nge Die folgende Abbildung zeigt die Beziehung zwischen einer CA IdentityMinder Aufgabe einem zugeordneten Ereignis und einem Workflow Vorgang Aufgabe Ereignis Workflow Prozess Benutzer CreateUserApproveProcess erstellen Workflow Properties Workflow Eigenschaften Verwenden Sie das Kontrollk stchen um den Workflow f r die CA IdentityMinder Umgebung zu aktivieren oder zu deaktivieren Work Item Delegation Arbei
202. eichniskonfigurationsdatei F hren Sie das folgende Verfahren aus um die Verzeichniskonfigurationsdatei zu ndern Gehen Sie wie folgt vor 1 2 Konfigurieren Sie eine Verbindung zur Datenbank Geben Sie an wie lange CA IdentityMinder ein Verzeichnis suchen soll bevor die Suche beendet wird Definieren Sie die von CA IdentityMinder verwalteten Objekte siehe Seite 118 f r Benutzer und Gruppen ndern Sie bekannte Attribute Bekannte Attribute kennzeichnen besondere Attribute wie das Kennwortattribut in CA IdentityMinder Konfigurieren Sie die Unterst tzung f r selbstabonnierende Gruppen Wenn Ihre Umgebung Organisationen einschlie t konfigurieren Sie die Unterst tzung f r Organisationen Weitere Informationen Beschreibung von verwalteten Objekten siehe Seite 118 Bekannte Attribute f r eine relationale Datenbank siehe Seite 144 So konfigurieren Sie selbstabonnierende Gruppen siehe Seite 149 Organisationsverwaltung siehe Seite 151 Kapitel 4 Verwaltung relationaler Datenbanken 117 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beschreibung von verwalteten Objekten In CA IdentityMinder verwalten Sie die folgenden Objekttypen die Eintr gen in einem Benutzerspeicher entsprechen m Benutzer Stellt Benutzer in einem Unternehmen dar m Gruppen Stellt Gruppen von Benutzern dar die etwas gemein haben m Optional Organisationen Stellt Gesch ftsbereiche dar O
203. eigt an ob der Wert eines Attributs in einem Aufgabenfenster ge ndert werden kann Die folgenden Werte sind g ltig READONLY Der Wert wird angezeigt kann aber nicht ge ndert werden WRITEONCE Der Wert kann nicht mehr ge ndert werden nachdem das Objekt erstellt wurde Zum Beispiel kann eine Benutzer ID nicht ge ndert werden nachdem der Benutzer erstellt wurde READWRITE Der Wert kann ge ndert werden Standardeinstellung hidden Zeigt an ob ein Attribut in CA IdentityMinder Aufgabenformularen angezeigt wird Die folgenden Werte sind g ltig m True Das Attribut wird den Benutzern nicht angezeigt m False Das Attribut wird den Benutzern angezeigt Standardeinstellung Logische Attribute verwenden verborgene Attribute Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java system Gibt ausschlie lich die von CA IdentityMinder verwendeten Attribute an Benutzer in der Benutzerkonsole sollen die Attribute nicht ndern Die folgenden Werte sind g ltig m True Benutzer d rfen das Attribut nicht ndern Das Attribut wird auf der CA IdentityMinder Benutzeroberfl che ausgeblendet m Falsch Benutzer k nnen dieses Attribut ndern Das Attribut ist verf gbar um zu Aufgabenfenstern auf der CA IdentityMinder Benutzeroberfl che hinzugef gt zu werden Standard validationruleset Verkn pft einen Validierungsregelsatz mit dem Attribut berpr fen Sie dass der Validierungsregelsatz den Si
204. ein Benutzer als ein Administrator der Rolle hinzugef gt oder entfernt wird 3 F gen Sie auf der Registerkarte Administratoren Admin Richtlinien hinzu die Admin und Bereichsregeln sowie Administratorrechte einschlie en Jede Richtlinie ben tigt mindestens eine Berechtigung Mitglieder verwalten oder Administratoren verwalten Sie k nnen mehrere Admin Richtlinien mit unterschiedlichen Regeln und unterschiedlichen Berechtigungen f r Administratoren die der Regel entsprechen hinzuf gen Hinweis Definieren Sie Admin Richtlinien die nur Verzeichnisattribute verwenden zum Beispiel title Manager Wenn Sie Mitgliederrichtlinien definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen 4 Um eine Richtlinie zu bearbeiten klicken Sie links auf das Pfeilsymbol Um sie zu entfernen klicken Sie auf das Minuszeichen 5 Fahren Sie mit dem n chsten Abschnitt Definieren von Eigent merregeln f r Zugriffsrollen fort 352 Konfigurationshandbuch SiteMinder Vorg nge Definieren von Eigent merregeln f r Zugriffsrollen Eine Eigent merregel definiert wer eine Rolle ndern kann Sie k nnen verschiedene Eigent merregeln f r eine Rolle definieren Gehen Sie wie folgt vor 1 2 W hlen Sie die Registerkarte Eigent mer f r die Zugriffsrolle aus Definieren Sie Eigent merregeln die bestimmen welche Benutzer die Rolle n
205. eine Ebene unterhalb des Suchstamms gespeichert Die Darstellung der Verzeichnisstruktur eines flachen Benutzers wird im folgenden Diagramm angezeigt Unternehmen Stamm Hierarchische Organisations struktur Benutzerprofile im Stamm oder Container eine Ebene darunter Gruppen in Organisationen der gesamten Verzeichnis struktur In den Verzeichnisstrukturen eines flachen Benutzers geh ren Benutzer zu logischen Organisationen Die logische Organisation eines Benutzers wird als Attribut in einem Benutzerprofil gespeichert Kapitel 3 Verwaltung des LDAP Benutzerspeichers 49 Verzeichniskonfigurationsdatei m Keine Organisationen Das Verzeichnis schlie t keine Organisationen ein Benutzer und Gruppen werden im Suchstamm oder in einem Container eine Ebene unterhalb des Suchstamms gespeichert Die Verzeichnisstruktur zu Keine Organisationen wird in der folgenden Darstellung angezeigt Unternehmen Stamm am A Gruppen im Benutzerprofile Stamm oder im Stamm oder Container Container eine eine Ebene Ebene darunter darunter Hinweis Ein Verzeichnis kann mehr als einen Strukturtyp enthalten Beispiel Benutzerprofile k nnen in einer flachen Struktur in einem Teil des Verzeichnisses und hierarchisch in einem anderen gespeichert werden Um eine hybride Verzeichnisstruktur zu unterst tzen erstellen Sie mehrere CA IdentityMinder Umgebungen Verzeichniskonfigurationsdatei Um CA IdentityMin
206. einer CA IdentityMinder Umgebung Dieses Kapitel enth lt folgende Themen bersicht des Beispiels einer CA IdentityMinder Umgebung siehe Seite 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert siehe Seite 20 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert siehe Seite 30 So wird die NeteAuto CA IdentityMinder Umgebung verwendet siehe Seite 37 So werden zus tzliche Funktionen konfiguriert siehe Seite 46 Einschr nkung beim SiteMinder Anmeldenamen f r globalen Benutzernamen siehe Seite 46 bersicht des Beispiels einer CA IdentityMinder Umgebung CA IdentityMinder umfasst eine Beispielumgebung die Sie verwenden k nnen um CA IdentityMinder kennenzulernen und zu testen Als Beispielumgebung dient die Autohandelsgesellschaft namens NeteAuto NeteAuto Administratoren verwenden CA IdentityMinder um Mitarbeiter Zulieferer und regionale Verkaufsvertretungen zu verwalten Im Folgenden sind Benutzerspeicher Konfigurationen zur Verwendung von NeteAuto Beispielumgebungen aufgelistet m LDAP Benutzerspeicher die Organisationen unterst tzen m LDAP Benutzerspeicher die keine Organisationen unterst tzen m Benutzerspeicher der relationalen Datenbanken die Organisationen unterst tzen m Benutzerspeicher der relationalen Datenbanken die keine Organisationen unterst tzen Hinweis Provisioning Funktionen sind nicht verf gbar da diese Umgebung kein Provision
207. eite 271 So verfolgen Sie Komponenten und Datenfelder Web Agent Protokolldateien Wenn CA IdentityMinder mit SiteMinder integriert ist schreiben die Web Agenten Informationen in die beiden folgenden Protokolle m Fehlerprotokolldatei Diese enth lt Fehler auf Programm und Betriebsebene zum Beispiel wenn der Web Agent keine Verbindung mit dem Richtlinienserver herstellen kann m Verfolgungsprotokolldatei Diese enth lt Warnungen und Informationsmeldungen wie Ablaufverfolgungsmeldungen und Ablaufstatusmeldungen Dar ber hinaus sind Daten wie Headerdetails und Cookievariablen hierin eingeschlossen Hinweis Weitere Informationen zu Web Agent Protokolldateien finden Sie im CA SiteMinder Web Access Manager Web Agent Konfigurationshandbuch So verfolgen Sie Komponenten und Datenfelder Wenn CA IdentityMinder mit SiteMinder integriert ist k nnen Sie den Richtlinienserver Profiler von SiteMinder verwenden um Komponenten und Datenfelder in den CA IdentityMinder Erweiterungen f r den Richtlinienserver zu verfolgen Mithilfe des Profilers k nnen Sie Filter f r die Ablaufverfolgungsausgabe konfigurieren sodass nur bestimmte Werte f r eine Komponente oder ein Datenfeld erfasst werden Hinweis Anweisungen zur Verwendung des Richtlinienserver Profilers finden Sie im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch Sie k nnen die Ablaufverfolgung f r die folgenden Komponenten aktivieren Function_Begin_End
208. el das Profil eines Benutzers der Marketingorganisation angeh rt sucht CA IdentityMinder nach selbstabonnierenden Gruppen in der Marketingorganisation und in allen Unterorganisationen m SPECIFICORG nur f r Umgebungen die Organisationen unterst tzen CA IdentityMinder sucht in einer bestimmten Organisation Geben Sie die eindeutige Kennung der jeweiligen Organisation im Parameter org an org Definiert die eindeutige Kennung der Organisation in der CA IdentityMinder nach selbstabonnierenden Gruppen sucht Hinweis Stellen Sie sicher dass Sie den Parameter org angeben wenn type SPECIFICORG festgelegt ist 3 Starten Sie den SiteMinder Richtlinienserver neu wenn Sie eines der folgenden Elemente ge ndert haben m Den Parameter type in oder von SPECIFICORG m Den Wert des Parameters org Nachdem Sie die Unterst tzung f r selbstabonnierende Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche Gruppen in der Benutzerkonsole selbstabonnierend sind Wenn sich ein Benutzer anmeldet sucht CA IdentityMinder nach Gruppen in den angegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppen an 150 Konfigurationshandbuch Validierungsregeln Validierundgsregeln Eine Validierungsregel setzt Anforderungen an Daten durch die ein Benutzer in ein Feld des Aufgabenfensters eingibt Die Anforderungen k nnen einen Datentyp oder ein Form
209. elEncrypt gt In Umgebungen die die folgenden Komponenten einschlie en werden bei Verschl sselung der Kennw rter auf Attributebene Benutzer daran gehindert sich anzumelden m CA SiteMinder und m Eine relationale Datenbank So konfigurieren Sie CA IdentityMinder Agent Einstellungen Wenn CA IdentityMinder in SiteMinder integriert wird verwendet CA IdentityMinder einen integrierten CA IdentityMinder Agenten um mit dem SiteMinder Richtlinienserver zu kommunizieren Um die Leistung zu optimieren konfigurieren Sie die folgenden Verbindungseinstellungen f r den CA IdentityMinder Agenten 1 F hren Sie einen der folgenden Schritte durch m Wenn CA IdentityMinder auf einem WebLogic oder WebSphere Anwendungsserver ausgef hrt wird bearbeiten Sie den Ressourcenadapter im Connector Deskriptor policyserver_rar in der Konsole des Anwendungsservers m Wenn CA IdentityMinder auf einem JBoss Anwendungsserver ausgef hrt wird ffnen Sie policyserver service xml in lt JBoss_home gt server default deploy iam_im ear policyserver_rar META INF 2 Konfigurieren Sie die Einstellungen wie folgt ConnectionMax Legt die H chstanzahl von Verbindungen zum Richtlinienserver fest zum Beispiel 20 Kapitel 12 Integration von CA SiteMinder 337 Konfigurieren der SiteMinder Hochverf gbarkeit ConnectionMin Legt die Mindestanzahl von Verbindungen zum Richtlinienserver fest zum Beispiel 2 ConnectionStep Legt die Anzahl von zus
210. eld f r das SiteMinder Antwortattribut ffnet sich W hlen Sie in der Attribut Dropdown Liste die WebAgent HTTP Header Variable Antwortattribut aus W hlen Sie in der Registerkarte zur Attributeinrichtung das Optionsfeld Benutzerattribut aus Geben Sie im Feld Variable den Namen der Variable ein die an die Anwendung bergeben wird Wenn Sie zum Beispiel die Variable TASKS angeben wird der folgende Header zur Anwendung zur ckgegeben HTTP_TASKS SiteMinder Vorg nge 11 Geben Sie im Feld Attributname das Antwortattribut folgenderma en an m SM_USER_APPLICATION_ROLES Anwendungs ID1 Anwendungs ID2 Anwendungs IDn Gibt eine Liste von Rollen zur ck die einem Benutzer zugeordnet sind m SM_USER_APPLICATION_TASKS Anwendungs ID1 Anwendungs ID2 Anwendungs IDn SiteMinder generierte Antwortattribute siehe Seite 355 bieten weitere Informationen 12 Klicken Sie auf OK um die nderungen zu speichern und zum SiteMinder Verwaltungsfenster zur ckzukehren Hinzuf gen von Rollen zu einer SiteMinder Richtlinie Wenn ein Benutzer dem die entsprechende Zugriffsrolle zugewiesen worden ist versucht auf eine gesch tzte Ressource zuzugreifen berpr ft der SiteMinder Richtlinienserver dass die Zugriffsrolle dem Benutzer zugewiesen worden ist und l st dann die in die Richtlinie eingeschlossenen Regeln aus um zu best tigen ob der Benutzer auf die Ressource zugreifen darf So f gen Sie R
211. ellen einer Oracle Datenquelle f r WebSphere Wenn Ihre Umgebung Organisationen beinhaltet f hren Sie den folgenden Schritt aus Bearbeiten Sie ein in CA IdentityMinder enthaltenes SQL Skript und f hren Sie es in der Datenbank aus um die Unterst tzung f r Organisationen zu konfigurieren siehe Seite 152 CA IdentityMinder erfordert eine bergeordnete Organisation die als Stammorganisation bezeichnet wird Alle anderen Organisationen beziehen sich auf diese Stammorganisation Weitere Informationen zu Organisationsanforderungen finden Sie unter Organisationsverwaltung siehe Seite 151 Erstellen einer Oracle Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 106 Konfigurationshandbuch Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore URL jdbc oracle thin db_systemname 1521 oracle_sid Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a Geben Sie folgende Eigenschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben Klicken Sie auf OK und verwenden S
212. ellungsdatei im XML Format Konfigurieren Sie Auditeinstellungen in der XML Datei siehe Seite 245 die Sie im vorherigen Schritt exportiert haben indem Sie Elemente zu der Datei hinzuf gen oder indem Sie Elemente ndern bzw l schen Au erdem k nnen Sie die Ebene der f r jedes Ereignis aufgezeichneten Informationen ndern Importieren Sie die ge nderte XML Auditeinstellungsdatei Hinweis Weitere Informationen finden Sie in der Online Hilfe zur Management Konsole 244 Konfigurationshandbuch So konfigurieren Sie die berpr fung Auditeinstellundsdatei Audit Element Die Auditeinstellungsdatei ist eine XML Datei die Sie durch das Exportieren von Auditeinstellungen erstellen Die Datei hat das folgende Schema lt Audit enabled auditlevel datasource gt lt AuditEvent name enabled auditlevel gt lt AuditProfile objecttype auditlevel gt lt AuditProfileAttribute name auditlevel gt lt AuditProfile gt lt EventState name severity gt lt AuditEvent gt lt Audit gt Das Schema enth lt die folgenden Elemente m Audit siehe Seite 245 m AuditEvent siehe Seite 247 m AuditProfile m AuditProfileAttribute m EventState siehe Seite 252 Audit Elemente definieren allgemeine Auditeinstellungen Das Audit Element enth lt ein oder mehrere AuditEvent Elemente Ein Audit Element umfasst die folgenden Parameter m enabled Bestimmt den Status der berpr fung in der aktuelle
213. em Satz von Benutzern zugeordnet ist Wenn die Regel ausgel st wird wird wiederum die Antwort ausgel st um an CA IdentityMinder Informationen zum Design weiterzugeben mit dem die Benutzerkonsole erstellt werden soll Hinweis Weitere Informationen finden Sie im Handbuch zum Benutzerkonsolendesign Gebietsschemavoreinstellungen f r eine lokalisierte Umgebung Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie mithilfe des HTTP Headers Imlanguage Gebietsschemavoreinstellungen f r einen Benutzer definieren Sie legen diesen Header am SiteMinder Richtlinienserver innerhalb einer SiteMinder Antwort fest und geben ein Benutzerattribut als Wert des Headers an Dieser Imlanguage Header dient als Gebietsschemavoreinstellung h chster Priorit t f r einen Benutzer Hinweis Weitere Informationen finden Sie im Handbuch zum Benutzerkonsolendesign Weitere Informationen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas siehe Seite 342 So sch tzen Sie Ressourcen F r die erweiterte Authentifizierung ben tigen Sie einen SiteMinder Richtlinienserver in Ihrer Implementierung Der Anwendungsserver der den CA IdentityMinder Server hostet befindet sich in einer anderen Betriebsumgebung als der Webserver Um den Weiterleitungsdienst bereitzustellen ben tigt der Webserver Folgendes Ein vom Hersteller des Anwendungsservers bereitgestelltes Plug in Einen SiteMinder Ag
214. en Config Xpress ist ein Tool das mit CA IdentityMinder bereitgestellt wird Sie k nnen dieses Tool verwenden um die Konfigurationen Ihrer CA IdentityMinder Umgebungen zu analysieren und um mit diesen Konfigurationen zu arbeiten Vor allem k nnen Sie mit dem Tool Komponenten zwischen Umgebungen verschieben Config Xpress entdeckt automatisch andere erforderliche Komponenten und fordert Sie dazu auf diese auch zu verschieben Dies kann Ihnen Arbeit ersparen und das Risiko von Problemen reduzieren Config Xpress Tool N N omponente Bericht XML anzeigen ver ffentlichen PDF Umgebung laden z gt ol a N Baseline n Umgebungsdateien m i mit Config Xpress Umgebungsdatei bereitgestellt Zwei Umgebungen vergleichen Komponenten zwischen zwei Umgebungen verschieben Gehen Sie wie folgt vor 1 Richten Sie Config Xpress ein siehe Seite 212 2 Um das Tool verwenden zu k nnen laden Sie eine CA IdentityMinder Umgebung siehe Seite 213 in Config Xpress um sie zu analysieren 3 Verwenden Sie Config Xpress um diese Aufgaben f r die geladene Umgebung auszuf hren m Verschieben Sie Komponenten zwischen Umgebungen siehe Seite 215 m Ver ffentlichen Sie einen PDF Bericht mit den Systemkomponenten siehe Seite 216 m Zeigen Sie die XML Konfiguration f r eine bestimmte Komponente an siehe Seite 217 Kapitel 6 CA IdentityMinder Umgebungen 211 Verwalten von Konfigurationen Einrichten von Co
215. en 123 S sAMAccountName 78 SCC Schweregrad eines Ereignisses festlegen 252 Schreibzugriff 142 Schweregrad Attribut EventState Element 252 Selbstabonnierende Gruppen Konfigurieren 149 Selbstregistrierung Zugreifen 198 Selbstregistrierungsaufgaben Zugreifen 198 SiteMinder Authentifizierungsschemen konfigurieren 342 SQL select Befehl 142 SQL update Befehl 142 system ImsManagedObjectAttr Anweisungen 123 T Typenparameter Selbstabonnierende Gruppen 89 149 U URLs Management Konsole 16 Zugreifen auf CA IdentityMinder Umgebungen 198 user Attribute 142 name 142 V Validierungsregels tze Anzeigen 185 valuetype ImsManagedObjectAttr Anweisungen 123 Verbindungszeitlimit 58 Verschachtelte Gruppen Konfigurieren 89 Verwaltungsdaten Wissenswertes 243 Verwaltungskonsole Validierungsregels tze anzeigen 185 Zugreifen 16 Verzeichniskonfigurationsdateien Selbstabonnierende Gruppen konfigurieren 89 149 Ww wellknown ImsManagedObjectAttr Anweisungen 123 Wert einer Eigenschaft 142 WRITEONCE 123 Z Zeichenfolgenwerte 142 Index 385
216. en verwenden Sie die NeteAuto Umgebung um den Umgang mit zus tzlichen CA IdentityMinder Funktionen einschlie lich E Mail Benachrichtigungen und Workflow zu ben und diese zu testen Hinweis Weitere Informationen zu diesen Funktionen finden Sie im Administrationshandbuch Einschr nkung beim SiteMinder Anmeldenamen f r globalen Benutzernamen Folgende Zeichen oder Zeichenfolgen darf ein globaler Benutzername nicht enthalten wenn der Benutzer sich auf dem SiteMinder Richtlinienserver anmelden k nnen soll amp 0 Behelfsl sung Vermeiden Sie die Verwendung dieser Zeichen im globalen Benutzernamen 46 Konfigurationshandbuch Kapitel 3 Verwaltung des LDAP Benutzerspeichers Dieses Kapitel enth lt folgende Themen CA IdentityMinder Verzeichnisse siehe Seite 47 So erstellen Sie ein CA IdentityMinder Verzeichnis siehe Seite 48 Verzeichnisstruktur siehe Seite 48 Verzeichniskonfigurationsdatei siehe Seite 50 So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus siehe Seite 51 So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben siehe Seite 53 Verbindung zum Benutzerverzeichnis siehe Seite 54 Verzeichnissuchparameter siehe Seite 58 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte siehe Seite 60 Bekannte Attribute f r einen LDAP Benutzerspeicher siehe Seite 79 Beschreiben der Benutzerverzeichnisstruktur siehe Seite 87 So konfigurieren Sie Gruppe
217. en Administratoren in der Management Konsole gespeichert a Wechseln Sie in das Verzeichnis CA ldentity Manager lAM Suite ldentity Manager tools db objectstore b F hren Sie eines der folgenden Skripte f r den Objektspeicher aus m saql_objectstore sql m oracle_objectstore sql Hinweis Weitere Informationen zum Ausf hren eines Skripts f r eine vorhandene Datenbank finden Sie in der Herstellerdokumentation zur jeweiligen Datenbank Schutz vor CSRF Angriffen 3 F gen Sie die Bootstrap Benutzerinformationen in die Tabelle IM_AUTH_USER ein Geben Sie Werte f r alle Spalten in der Tabelle IM_AUTH_USER an Beispiel USER_NAME admin1 PASSWORD anypassword DISABLED O ID 1 4 Starten Sie den CA IdentityMinder Server neu Die Management Konsole ist durch die systemeigene Sicherheit gesch tzt Schutz vor CSRF Angriffen CA IdentityMinder wurde erweitert um den Schutz vor CSRF Angriffen Cross Site Request Forgery website bergreifende Anforderungsf lschung zu verbessern Standardm ig ist diese Erweiterung in CA IdentityMinder deaktiviert So aktivieren Sie die Erweiterung 1 ffnen Sie die Datei web xml in folgendem Verzeichnis application server iam im ear user console war WEB INF 2 Suchen Sie das lt context param gt Element mit der Angabe lt param name gt csrf prevention on 3 Legen Sie f r lt param value gt den Wert true fest 4 Starten Sie den Anwendungsserver neu Kapitel 11 CA Iden
218. en Alias f r ffentliche Aufgaben ein Neteautopublic Geben Sie SelfRegUser als anonymes Benutzerkonto ein Klicken Sie auf Best tigen um die f r den Benutzer eindeutige Kennung anzuzeigen Hinweis Benutzer m ssen sich nicht anmelden um ffentliche Aufgaben verwenden zu k nnen W hlen Sie die Aufgaben und Rollen die f r die NeteAuto Umgebung zu erstellen sind a b W hlen Sie Import Rollen aus der Datei Navigieren Sie zu einem der folgenden Speicherorte F r einen Benutzerspeicher des Sun Java System Verzeichnisservers admin_tools samples NeteAuto RoleDefinitions xml So wird das NeteAuto Beispiel mit Organisations Support konfiguriert F r einen Benutzerspeicher des Microsoft SQL Servers admin_tools samples NeteAutoRDB Organization mssqlRoleDefinitions x ml F r einen Benutzerspeicher von Oracle admin_tools samples NeteAutoRDB Organization oracleRoleDefinitions x ml admin_tools bezieht sich auf die Administrations Tools die standardm ig unter folgendem Speicherort installiert sind Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools 7 Geben Sie einen Benutzer an der als Systemmanager f r diese Umgebung fungieren soll und klicken Sie auf Weiter a Geben Sie SuperAdmin im Systemmanager Feld ein b Klicken Sie auf Hinzuf gen CA IdentityMinder f gt die eindeutige Kennung des Superad
219. en Sie dieses Fenster wenn Sie CA IdentityMinder mit Bereitstellung nutzen Hinweis Eine ausf hrliche Anleitung finden Sie unter Konfigurieren einer Umgebung f r die Bereitstellung siehe Seite 199 Die Optionen f r Bereitstellungseigenschaften lauten wie folgt Aktiviert Gibt die Verwendung von zwei Benutzerspeichern an einer f r CA IdentityMinder und ein separater Benutzerspeicher Bereitstellungsverzeichnis genannt f r Bereitstellungskonten Ist diese Option deaktiviert wird nur der CA IdentityMinder Benutzerspeicher verwendet Use Session Pool Sitzungspool verwenden Aktiviert die Verwendung eines Sitzungspools Session Pool Initial Sessions Anf ngliche Sitzungen im Sitzungspool Definiert die Mindestanzahl von Sitzungen die zu Beginn im Pool verf gbar sind Standardeinstellung 8 Session Pool Maximum Sessions Maximale Sitzungen im Sitzungspool Definiert die H chstanzahl von Sitzungen im Pool Standardeinstellung 32 Enable Password Changes from Endpoint Accounts Kennwort nderungen auf Endpunktkonten aktivieren Definiert ob der Agent f r die Kennwortsynchronisierung f r jeden Benutzer im Bereitstellungsserver aktiviert wird Diese Option erm glicht die Kennwortsynchronisierung zwischen CA IdentityMinder Benutzern und zugeordneten Endpunktkonten Enable Accumulation of Provisioning Role Membership Events Ansammlung von Bereitstellungsrollen Mitgliedschaft erm glichen Wenn Sie dieses Kontrollk st
220. en Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http im_server port iam immanage im_server Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers Klicken Sie auf Directories Verzeichnisse Klicken Sie auf Create from Wizard ber Assistenten erstellen um den CA IdentityMinder Verzeichnisassistenten zu starten Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 25 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Suchen Sie nach der entsprechenden xmi Datei der Verzeichniskonfiguration und klicken Sie auf Weiter Hinweis Die Verzeichniskonfigurationsdatei befindet sich in den folgenden Ordnern m F r Benutzerverzeichnisse des Sun Java System Verzeichnisservers admin_tools samples NeteAuto Organization directory xml m F r relationale Datenbanken admin_tools samples NeteAutoRDB Organization db_type directory xml admin_tools Definiert den Installationsspeicherort der Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools db_type Gibt den Typ der Datenbank an die Sie konfigurieren Microsoft SQL oder Oracle Statusinformationen werd
221. en auf dem Ausgabebildschirm der Verzeichniskonfiguration angezeigt Stellen Sie auf der zweiten Seite des Assistenten die folgenden Werte bereit m Sun Java System Verzeichnisserver Name NeteAuto Directory NeteAuto Verzeichnis Description Beschreibung Sample NeteAuto directory NeteAuto Beispielverzeichnis Connection Object Name Name des Verbindungsobjekts NeteAuto Users NeteAuto Benutzer Host Bestimmt den Namen oder die IP Adresse des Systems auf dem der Benutzerspeicher installiert ist Port Port Nummer f r den Benutzerspeicher Suchstamm dc security de com 26 Konfigurationshandbuch 6 7 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Benutzername Benutzername f r ein Konto das auf den Benutzerspeicher zugreifen kann Kennwort und Kennwortbest tigung Kennwort f r das Benutzerkonto m Microsoft SQL Server und Oracle Datenbanken Name NeteAutoRDB Directory Beschreibung Sample NeteAuto directory NeteAuto Beispielverzeichnis Connection Object Name Name des Verbindungsobjekts NeteAutoRDB JDBC Data Source JDBC Datenquelle neteautoDS Benutzername Neteautoadmin Kennwort Test Klicken Sie auf Weiter Klicken Sie auf Fertigstellen um den Assistenten zu beenden Erstellen der NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um die NeteAuto CA IdentityMinder Umgebung zu erstellen Gehen Sie wie folgt vor 1 2 Klicken Sie in der Managementko
222. en zum Erstellen benutzerdefinierter Business Logic finden Sie im Programmierhandbuch f r Java Das Fenster Business Logic Task Handler enth lt eine Liste der vorhandenen globalen Business Logic Task Handler Die Liste umfasst vordefinierte Handler die im Lieferumfang von CA IdentityMinder enthalten sind sowie alle an Ihrem Standort definierte angepassten Handler CA IdentityMinder f hrt die Handler in der Reihenfolge aus in der sie in dieser Liste angezeigt werden Globale Business Logic Task Handler k nnen nur in Java implementiert werden 228 Konfigurationshandbuch Ereignisliste Automatisches L schen von Kennwortfeldern beim Zur cksetzen des Benutzerkennworts Ereignisliste Sie k nnen CA IdentityMinder so konfigurieren dass Kennwortfeldern automatisch gel scht werden wenn ein zuvor eingegebener Wert eine Kennwortrichtlinie verletzt oder wenn die Werte in den Feldern Kennwort und Kennwort best tigen nicht bereinstimmen Gehen Sie wie folgt vor 1 2 Rufen Sie die Management Konsole auf W hlen Sie die Umgebung aus die Sie verwalten m chten und klicken Sie dann auf Advanced Settings Die Seite f r erweiterte Einstellungen wird angezeigt Klicken Sie auf Business Logic Task Handlers und BlthPasswordServices Die Eigenschaftsseite f r den Business Logic Task Handler wird angezeigt Legen Sie die folgende Eigenschaften fest ClearPwdlfInvalid true PwdConfirmAttrName passwordConfirm
223. enbank die als Benutzerspeicher dient lt connection url gt jabc sqlserver ipaddress port selectMethod cursor DatabaseName userstore _hame lt connection url gt ipaddress Gibt die IP Adresse des Rechners an auf dem der Benutzerspeicher installiert ist port Gibt die Portnummer f r die Datenbank an userstore_name Gibt den Namen der Datenbank an die als Benutzerspeicher dient 108 Konfigurationshandbuch So erstellen Sie eine JDBC Datenquelle F hren Sie die folgenden Schritte aus wenn Sie einen JBoss Sicherheitsbereich erstellen m chten was zur Unterst tzung von FIPS erforderlich ist a Benennen Sie die Sicherheitsdom ne in lt security domain gt imuserstoredb lt security domain gt um b Speichern Sie die Datei C berspringen Sie die restlichen Schritte F hren Sie statt dessen die Schritte unter Verwenden eines JBoss Sicherheitsbereichs f r die JDBC Datenquelle siehe Seite 110 aus Nehmen Sie die folgenden zus tzlichen nderungen an der Datei userstore ds xml vor a ndern Sie den Wert des lt user name gt Elements in den Benutzernamen f r ein Konto das Lese und Schreibzugriff auf den Benutzerspeicher hat b ndern Sie den Wert des lt password gt Elements in das Kennwort f r das im lt user name gt Element angegebene Konto Hinweis Der Benutzername und das Kennwort werden in dieser Datei unverschl sselt angezeigt Sie k nnen daher auch einen JBoss Sicherheitsbereich
224. engr e f r einen einzelnen Objekttyp anstatt f r ein ganzes Verzeichnis festzulegen konfigurieren Sie die Definition f r verwaltete Objekte siehe Seite 61 in der verwendeten Datei directory xml um das CA IdentityMinder Verzeichnis zu erstellen Das Festlegen von Beschr nkungen f r einen verwalteten Objekttyp erm glicht es Ihnen Anpassungen basierend auf den Gesch ftsanforderungen vorzunehmen Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen Diese Unternehmen k nnen nur Limits f r Benutzerobjektsuchen festlegen Aufgabensuchfenster Sie k nnen die Anzahl der Suchergebnisse steuern die Benutzern in den Such und Listenfenstern der Benutzerkonsole angezeigt werden Wenn die Ergebnisanzahl die maximale Anzahl von Ergebnissen pro Seite berschreitet die f r die Aufgabe definiert ist werden den Benutzern Links zu weiteren Ergebnisseiten angezeigt Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus die von einer Suche zur ckgegeben werden Hinweis Weitere Informationen zum Festlegen der Seitengr e in Such und Listenfenstern finden Sie im Administrationshandbuch Wenn die maximale Zeilenanzahl und Seitengr e an mehreren Positionen definiert werden gilt die jeweils spezifischste Einstellung Zum Beispiel haben Einstellungen f r verwaltete Objekte Vorrang vor Einstellungen auf Verzeichnisebene 98 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen
225. ent gt enabled Bestimmt ob das Ereignis berpr ft wird Die folgenden Werte sind g ltig m True Gibt an dass CA IdentityMinder dieses Ereignis berpr ft m False Gibt an dass CA IdentityMinder dieses Ereignis nicht berpr ft Hinweis Geben Sie die Werte true oder false in Kleinbuchstaben an Kapitel 8 berpr fung 247 So konfigurieren Sie die berpr fung auditlevel Gibt die Art von Informationen an die f r ein Attribut im Audit Ereignis aufgezeichnet werden AuditLevel Werte siehe Seite 246 f hren g ltige Werte f r das AuditLevel Element auf Hinweis Die Einstellungen in den Elementen AuditProfile und AuditProfileAttribute haben Vorrang vor globalen Einstellungen im AuditEvent Element AuditProfile Element AuditProfile Elemente geben die Art von Objekten an die an den zu berpr fenden Ereignissen beteiligt sind Wenn Sie zum Beispiel die berpr fung f r das Objekt PARENTORG in einem CreateUserEvent Ereignis aktivieren protokolliert CA IdentityMinder Informationen zur Organisation des erstellten Benutzers Das AuditProfile Element kann mehrere AuditProfileAttribute Elemente enthalten Das AuditProfile Element beinhaltet die folgenden Parameter objecttype Definiert die Art von Objekt f r das Auditinformationen aufgezeichnet werden Folgende Objekttypen sind m glich 248 Konfigurationshandbuch ACCESS ROLE ACCESS TASK ADMINISTRATIVE ROLE ADMINISTRATIVE TASK GROUP ORGANIZAT
226. enten um die CA IdentityMinder Ressourcen zu sch tzen z B eine Benutzerkonsole oder Funktionen f r die Selbstregistrierung oder f r vergessene Kennw rter Kapitel 12 Integration von CA SiteMinder 285 bersicht ber die Integration von SiteMinder und CA IdentityMinder Der Web Agent steuert den Zugriff von Benutzern die CA IdentityMinder Ressourcen anfordern Nachdem die Benutzer authentifiziert und autorisiert wurden l sst der Web Agent zu dass der Webserver die Anforderungen verarbeitet Wenn der Webserver die Anforderung empf ngt leitet das Anwendungsserver Plug in diese an den Anwendungsserver weiter der den CA IdentityMinder Server hostet Der Web Agent sch tzt die CA IdentityMinder Ressourcen die f r Benutzer und Administratoren offengelegt werden bersicht ber die Integration von SiteMinder und CA IdentityMinder Wenn der Richtlinienadministrator und der Identit tsadministrator zusammenarbeiten um SiteMinder in eine vorhandene CA IdentityMinder Installation zu integrieren wird die CA IdentityMinder Architektur um die folgenden Komponenten erweitert SiteMinder Web Agent Sch tzt den CA IdentityMinder Server Der Web Agent wird auf dem System mit dem CA IdentityMinder Server installiert SiteMinder Richtlinienserver Stellt eine erweiterte Authentifizierung und Autorisierung f r CA IdentityMinder bereit 286 Konfigurationshandbuch bersicht ber die Integration von SiteMinder und CA IdentityMin
227. entityMinder bereit a Navigieren Sie in der Befehlszeile zu deployment_manager_dir bin b Stellen Sie sicher dass der WebSphere Anwendungsserver ausgef hrt wird c F hren Sie das Skript imsiInstall jacl wie folgt aus Hinweis Die Ausf hrung des Skripts imsInstall jacl kann mehrere Minuten in Anspruch nehmen Windows wsadmin f imsinstall jacl path to copied ear cluster_name Dabei steht path to copied ear f r den vollst ndigen Pfad einschlie lich Dateinamen der EAR Datei von IdentityMinder die Sie auf das Bereitstellungsmanagersystem kopiert haben Beispiel wsadmin f imsinstall jacl c Programme CA ldentity Manager WebSphere tools was_im ear im_cluster Kapitel 9 Produktionsumgebungen 265 Migrieren von Workflow Prozessdefinitionen 9 UNIX wsadmin f imsinstall jacl path to copied ear cluster_Lname Dabei steht path to copied ear f r den vollst ndigen Pfad einschlie lich Dateinamen der EAR Datei von IdentityMinder die Sie auf das Bereitstellungsmanagersystem kopiert haben Beispiel wsadmin f imsInstall jacl opt CA Identity Manager WebSphere tools was_im ear im_cluster Wenn CA IdentityMinder mit SiteMinder integriert ist pr fen Sie die folgenden Punkte Die SiteMinder Agenten k nnen eine Verbindung mit Ihrem Richtlinienspeicher herstellen Der Richtlinienserver kann eine Verbindung mit dem Benutzerspeicher herstellen Die CA IdentityMinder Dom nen wurden erstellt
228. entityMinder das Attribut verarbeitet Dieses Element unterst tzt die folgenden Parameter sensitive Hat zur Folge dass CA IdentityMinder das Attribut als Reihe von Sternchen in den Fenstern Gesendete Aufgaben anzeigen anzeigt Dieser Parameter verhindert dass alte und neue Werte f r das Attribut in den Fenstern Gesendete Aufgaben anzeigen als Klartext angezeigt werden Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsole erstellen verhindert dieser Parameter au erdem dass das Attribut zum neuen Benutzer kopiert wird vst_hide Blendet das Attribut im Fenster Ereignisdetails auf der Registerkarte Gesendete Aufgaben anzeigen aus Im Gegensatz zu vertraulichen Attributen die als Sternchen angezeigt werden werden vst_hidden Attribute nicht angezeigt Sie k nnen diesen Parameter verwenden damit nderungen an einem Attribut beispielsweise dem Gehalt nicht im Fenster Gesendete Aufgaben anzeigen angezeigt werden ignore_on_copy Hat zur Folge dass CA IdentityMinder ein Attribut ignoriert wenn ein Administrator eine Kopie eines Objekts in der Benutzerkonsole erstellt Nehmen Sie zum Beispiel an dass Sie ignore_on_copy f r das Kennwortattribut eines Benutzerobjekts angegeben haben Wenn Sie ein Benutzerprofil kopieren bertr gt CA IdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neue Benutzerprofil Kapitel 4 Verwaltung relationaler Datenbanken 129 So beschreiben Sie eine
229. er ber Benutzer Gruppe und Organisation verwalteten Objekte objecttype Gibt den Typ des verwalteten Objekts an Die folgenden Werte sind g ltig m User m Organisation m Gruppe Hinweis Dieser Parameter ist erforderlich maxrows Gibt die maximale Zahl an Objekten an die CA IdentityMinder beim Suchen in einem Benutzerverzeichnis zur ckgeben kann Wenn die Anzahl an Objekten das Limit berschreitet wird ein Fehler angezeigt Durch Festlegen eines Wertes f r den Maxrows Parameter k nnen Sie die Einstellungen im LDAP Verzeichnis berschreiben welche die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der Maxrows Parameter beschr nkt nicht die Anzahl an Objekten die in einem CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign maxpagesize Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten Gr e Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging
230. er IAM Suite ldentity Manager tools UNIX opt CA IdentityManager IAM_Suite ldentity_Manager tools So wird die NeteAuto Umgebung installiert Ohne Organisations Support F hren Sie den folgenden Prozess aus um die NeteAuto Umgebung zu installieren Gehen Sie wie folgt vor 1 2 32 Konfigurationshandbuch Stellen Sie sicher dass die erforderliche Software siehe Seite 33 installiert ist Konfigurieren Sie die Datenbank siehe Seite 24 Erstellen Sie das CA IdentityMinder Verzeichnis siehe Seite 34 Erstellen Sie die NeteAuto CA IdentityMinder Umgebung siehe Seite 36 Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder Benutzeroberfl che f r NeteAuto Benutzer siehe Seite 39 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Erforderliche Software F r die NeteAuto CA IdentityMinder Umgebung gelten die folgenden Voraussetzungen Installieren Sie CA IdentityMinder wie im Installationshandbuch beschrieben F hren Sie eine berpr fung durch um die CA IdentityMinder Admin Tools zu installieren Sie m ssen Zugriff auf einen Microsoft SQL Server oder eine Oracle Datenbank haben Konfigurieren einer relationalen Datenbank F hren Sie den folgenden Vorgang aus um eine relationale Datenbank zu konfigurieren Gehen Sie wie folgt vor 1 2 Erstellen Sie eine Datenbankinstanz mit der Bezeichnung NeteAuto Erstellen Sie einen Benutzer names neteautoadmin
231. er Richtlinien an Benutzer an Rollen oder an Benutzer und Rollen binden Wenn ein Benutzer oder Rollenmitglied versucht auf eine gesch tzte Ressource zuzugreifen verwendet SiteMinder Informationen in der Richtlinie um zu entscheiden ob er Zugriff erteilt werden soll und um Antworten auszul sen Kapitel 12 Integration von CA SiteMinder 353 SiteMinder Vorg nge Die folgende Abbildung veranschaulicht die Beziehung von Richtlinienobjekten in einer rollenbasierten Richtlinie 75 Richtlinie Regel Rollen Antwort Erlaubt GET Finanz PO Erstellung und POST administrator Zugriff auf Buchhalter Finanz anwendung SiteMinder Richtlinien werden in Richtliniendom nen erstellt die Benutzerverzeichnisse logisch an gesch tzte Ressourcen binden Die folgende Abbildung veranschaulicht die Beziehung von Richtlinienobjekten in einer rollenbasierten Richtlinie Benutzerverzeichnis Richtliniendom ne Identit ts umgebung Regel Rollen Antwort Erlaubt GET Finanz PO Erstellung und POST administrator Zugriff auf Buchhalter Finanz anwendung 354 Konfigurationshandbuch SiteMinder Vorg nge Um einer gesch tzten Anwendung Benutzerberechtigungen zu liefern ordnet ein SiteMinder Administrator eine Regel in der Richtlinie der Anwendung paarweise mit einer Antwort an Die Antwort enth lt ein SiteMinder generiertes Antwortattribut das Berechtigungsinformationen aus Identity Manager abruft Wenn SiteMinder ein Rollenmi
232. er Umgebung in eine andere uuneesessessssnnsenonnnnnennnnennonnnnnnnnnsennnnnnn 215 Ver ffentlichen von PDF Berichten u neniskatihinnbneaknie pain beine Anzeigen der XML Konfiguration Optimieren der Auswertung von Richtlinienregeln Role and Task Settings Rollen und Aufgabeneinstellungen 22002222000220000nnnennnennnsnsnennnnnennnnnneennnnnnennn 219 Exportieren von Rollen und Aufgabeneinstellungen 2222222020000000nnnnnnnennennnnnnnnnnnnnennnnnnnennnnnanennnnnenn 219 Importieren von Rollen und Aufgabeneinstellungen 0002222220200000onnnnnnnnennnnnnnnnnennennnnnnnnnnnnnnnnnnnnennenn 220 8 Konfigurationshandbuch Erstellen von Rollen und Aufgaben f r dynamische Endpunkte zususuessesssnnnnnnnennnnnnnnnnennnnnnnnnnnnnennenonnenenn 221 ndern des Systemmanager KontoOSs uussensenensensnnennennnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnnnnnnnnnenunnnnnnnunnnnnnnunnnnnnnnnnnnnnnnnnnnann 221 Aufrufen des Status einer CA IdentityMinder Umgebung u u2u22222sssenennennennnnennnnnnnnnnnnnennnnnnnennnnnnnennnnnnnensennnnenn 223 Fehlerbehebung in CA IdentityMinder Umgebungen usssunsssssnnnsnnonnnnonnnnnennonnnnnnnnnnnnonnnnnnnensennnnennnnennn 224 Kapitel 7 Erweiterte Einstellungen 227 Uberan UNE ee sn engen T nern needed eher 227 Business Logic Task H ndler 4 en sirni aare EEn Aroi a EE Ea a E En AEE EE NER EA EN ERENER 228 Automatisches L schen von Kenn
233. er Verzeichnisses u 0200044200000nsnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnennnsnsnnnnnsnsnnnnnsnnnnenssnenn 25 Erstellen der NeteAuto CA IdentityMinder Umgebung 2sussssnnnessnnnnnennnnnnennnnnnnennnennnennnnnnnnnsnennnnnnnensnnn 27 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert uuussenensesssnnnnnenonnennsnnnnnnonnnnnnnennennenenn 30 Beschreibung der CA IdentityMinder Beispielumgebung 2222220000000sssnnnnenonnnnnnnnnnennunnnnnnnnnnnnnnnnnnenennnnnn 30 Installationsdateien f r die NeteAuto Umgebung 2 0ss2sssuesnnnnnnennnnnnnnnnnnnnennnnnnnennennnensnennnnnnnennnnnnnennsnan 31 So wird die NeteAuto Umgebung installiert Ohne Organisations Support ueeeesssssnsssnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnn 32 Erforderliche Software nennen inne beret anerkennen 33 Konfigurieren einer relationalen Datenbank ussuru22222sssenennenennnnnennnnnnnnnnnnnnnnnnnnnnnnnnsennennnnnnnnnnnnnnnnnnenennennn 33 Erstellen des CA IdentityMinder Verzeichnisses 000044200000nsnnnnnnnnnnnennnnnnnennnnnnnnnnnnnennnsnsnennnsnsnnnnnsnnnenssnenn 34 Erstellen der NeteAuto CA IdentityMinder Umgebuns 2sussssnnneesnnnneennnnnnennnnnnnennnennnensnennnnnnnennnnnnnnnsnnn 36 So wird die NeteAuto CA IdentityMinder Umgebung verwendet uusssessssssssnsesnenennennnnnnnnnnnnnnnnnnnnnnnnnnnnnesnnnennennn 37 Verwaltung der Self Service Aufgaben uu0222400unsennneennnnnnnn
234. er ein Attribut anzeigen indem Sie auf seinen Namen klicken um das Attributeigenschaften Fenster zu ffnen Die folgenden Attributeigenschaften werden im Fenster Attribute Properties Attributeigenschaften angezeigt Beschreibung Geben Sie eine Beschreibung des Attributs ein Physischer Name Gibt den Namen des Attributs im Benutzerspeicher an Objektklasse nur f r Benutzer Gruppen und Organisationsattribute in LDAP Verzeichnissen Die zus tzliche LDAP Klasse f r ein Benutzerattribut wenn das Attribut nicht Teil der prim ren Objektklasse ist die f r das Benutzerobjekt angegeben ist Sie k nnen nur f r Benutzer und Gruppenobjekte eine zus tzliche Objektklasse angeben Benutzername Well Known Zeigt Attribute an die eine besondere Bedeutung in CA IdentityMinder haben wie das Attribut das verwendet wird um Benutzerkennw rter zu speichern erforderlich Zeigt an ob ein Wert f r das Attribut erforderlich ist wie folgt m True gibt an dass das Attribut einen Wert haben muss m False gibt an dass ein Wert optional ist Schreibgesch tzt Zeigt die Berechtigungsebene f r ein Attribut an wie folgt m True gibt an dass das Attribut nicht ge ndert werden kann m False gibt an dass das Attribut ge ndert werden kann Ausgeblendet Zeigt an ob ein Attribut in einem Aufgabenfenster f r eine bestimmte Aufgabe angezeigt werden kann Ausgeblendete Attribute werden oft in logischen Attributschemen verwende
235. er ersten Seite des Assistenten die folgenden Werte ein m Umgebungsname NeteAuto Umgebung m Beschreibung NeteAuto stellt eine Beispielumgebung dar m Alias neteautoRDB Das Alias wird der URL hinzugef gt um auf die CA IdentityMinder Umgebung zugreifen zu k nnen Die URL zum Zugriff auf die Neteauto Umgebung kann beispielsweise wie folgt lauten http domain iam im neteautoRDB In diesem Pfad definiert die Dom ne den vollst ndig qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist wie im folgenden Beispiel verdeutlicht wird http myserver mycompany org iam im neteautoRDB Hinweis Beim Alias muss die Gro Kleinschreibung beachtet werden Klicken Sie auf Weiter W hlen Sie das CA IdentityMinder Verzeichnis des NeteAutoRDB Verzeichnisses aus um es mit der Umgebung zu verkn pfen die Sie erstellen Klicken Sie anschlie end auf Weiter Konfigurieren Sie den Support f r ffentliche Aufgaben wie etwa die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern Hinweis Benutzer m ssen sich nicht anmelden um auf ffentliche Aufgaben zugreifen zu k nnen a Geben Sie folgenden Alias f r ffentliche Aufgaben ein neteautoRDBpublic b Geben Sie SelfRegUser als anonymes Benutzerkonto ein c Klicken Sie Best tigen um die f r Benutzer eindeutige Kennung anzuzeigen 2 in diesem Fall So wird die NeteAuto CA IdentityMinder Umgebung verwendet 6 W hlen
236. er systemeigenen Authentifizierung ein CA IdentityMinder Administratoren m ssen einen g ltigen Benutzernamen und ein Kennwort eingeben um sich an einer CA IdentityMinder Umgebung anzumelden CA IdentityMinder authentifiziert den Namen und das Kennwort mithilfe des Benutzerspeichers den CA IdentityMinder verwaltet Wenn allerdings CA IdentityMinder mit SiteMinder integriert ist verwendet CA IdentityMinder automatisch die grundlegende SiteMinder Authentifizierung um die Umgebung zu sch tzen Es ist keine zus tzliche Konfiguration erforderlich um die grundlegende Authentifizierung zu verwenden Sie k nnen jedoch erweiterte Authentifizierungsmethoden mithilfe der administrativen SiteMinder Benutzeroberfl che konfigurieren Hinweis Weitere Informationen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Kapitel 11 CA IdentityMinder Schutz 275 Sicherheit an der Management Konsole Sicherheit an der Management Konsole Die Management Konsole erm glicht Administratoren CA IdentityMinder Verzeichnisse und Umgebungen zu erstellen und zu verwalten Dar ber hinaus k nnen Administratoren die Management Konsole verwenden um benutzerdefinierte Funktionen f r eine Umgebung zu konfigurieren Die CA IdentityMinder Installation beinhaltet eine Option zum Schutz der Management Konsole Diese Option ist standardm ig aktiviert W hrend der Installation geben Sie Anmeldeinformationen an die CA IdentityMinde
237. erbehebung ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels siehe Seite 363 Falscher Agentenname Symptom Falscher Agentenname L sung Wird ein falscher Agentenname angegeben wird in ra xml der Initialisierungsfehler Cannot connect to policy server Failed to init Agent API 1 wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 attempting to 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 903 40 08 934 40 08 981 40 09 028 40 09 028 40 10 543 get a new WARN ims WARN ims WARN ims WARN ims WARN ims WARN ims WARN ims UARN ims WUARN ims WARN ims WARN ims WARN ims WARN org connection default default default default default default default IAM Framework 12 5 4 0 461 HERR HHIIEIEIE RE PRRRRRRRRARRARRRRRRRRARHRRRRRHRRRRRRRRRRKRRRRRHH CA Identity Manager 12 5 4 0 461 HRRREREHRRHRRRRREHERRRHHRRRREHHRRRREHERRRHHRERER CA IAM FW Startup Sequence Initiated Startup Step 1 Attempting to start Servicelocator tmt CreateDatabaseSchema Schema for Task Persistence is up to date tmt CreateDatabaseSchema Schema for Archive is up to date tmt CreateDatabaseSchema Schema for Auditing is up to date tmt
238. eren einer Umgebung f r die Bereitstellung Konfigurieren des Inbound Administrators Administrator f r Eingehendes 222000222s0nennnennenen 199 Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver uneneeesesseneenenneneenn 201 Konfigurieren der Synchronisierung im Bereitstellungsmanager Importieren von benutzerdefinierten Bereitstellungsrollen zu2s0000222222020nnennnnnnnennennennnnnnnennennennnnenenn Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen ussssesessssssnnnnnenonnnnnennennnnnnnenennn 203 Verwalten von Umgeb ngen enprene ieee aaaea e enteennae him een sun een EREE EErEE ehe ndern von CA IdentityMinder Umgebungseigenschaften Umgebungseinstellungen u00022222002020ennnnennennennennnnnnnnnennennn Exportieren einer CA IdentityMinder Umgebung Importieren einer CA IdentityMinder Umgebung Neustarten einer CA IdentityMinder Umgebung 2222202000000nnnnnnnnnenonnnnnnnnnnnnnennnnnnnnnnnnnnnonnnnnnnnennannnnenenn L schen einer CA IdentityMinder Umgebung u us02020222sssnenennnnnsnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnsnsnnnnnnnnnnnenn Verwalten von Konfigurationen ucseseenneeeeeeneeenn Einrichten von Config Xpress Laden einer Umgebung in Config Xpress ueeeenenesensnnnnnenunnennnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnsnsnnnnnnnnnnnsnsnnnanennnnnnnn Verschieben von Komponenten aus ein
239. erkennwort Hinweis Der Wert des Attributs PASSWORD wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen PASSWORD_DATA F r die Unterst tzung von Kennwortrichtlinien erforderlich Gibt das Attribut an das Kennwortrichtlinieninformationen verfolgt Hinweis Der Wert des Attributs PASSWORD_DATA wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen 146 Konfigurationshandbuch Bekannte Attribute f r eine relationale Datenbank PASSWORD_HINT Erforderlich Enth lt eine vom Benutzer angegebene Frage und Antwort Die Frage Antwortpaare werden im Fall eines vergessenen Kennworts verwendet Hinweis Der Wert des Attributs PASSWORD_HINT wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen USER_ID Erforderlich Speichert die Anmelde ID eines Benutzers Bekannte Attribute f r Gruppen Die folgende Liste enth lt bekannte Attribute f r Gruppen GROUP_ADMIN Enth lt die Administratoren einer Gruppe Hinweis Das Attribut GROUP_ADMIN muss mehrere Werte zulassen GROUP_DESC Enth lt die Beschrei
240. ern f r die Gruppen und die Organisationen sofern unterst tzt c Lassen Sie das Feld f r den Zugriff auf die Aufgaben leer Klicken Sie auf OK CA IdentityMinder zeigt die Mitgliederrichtlinie an die Sie erstellt haben Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 43 So wird die NeteAuto CA IdentityMinder Umgebung verwendet 9 Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren 10 Schlie en Sie CA IdentityMinder Erstellen Sie eine Gruppe F hren Sie den folgenden Vorgang aus um eine Gruppe zu erstellen Gehen Sie wie folgt vor 1 Melden Sie sich wie folgt an CA IdentityMinder als NeteAuto Administrator an m Geben Sie bei LDAP Verzeichnissen den Benutzernamen NeteAuto Administrator ein und f hren Sie den Kennworttest durch m Geben Sie bei relationalen Datenbanken den Benutzernamen NeteAuto Administrator ein und f hren Sie den Kennworttest durch Die Liste der Aufgaben die der NeteAuto Administrator ausf hren kann wird angezeigt Da der NeteAuto Administrator nur eine beschr nkte Anzahl von Aufgaben ausf hren kann listet CA IdentityMinder die Aufgaben anstelle von Kategorien auf 2 Klicken Sie auf Gruppe erstellen 3 Stellen Sie sicher dass die Option zum Erstellen einer neuen Gruppe ausgew hlt wird und klicken Sie auf OK 4 Implementieren Sie einen der folgenden Schritte der zu Ihrem Fall
241. erobjekt angeben sortiert CA IdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach dem cn Attribut Gehen Sie wie folgt vor 1 F gen Sie nach dem letzten IMSManagedObjectAttr Element im Abschnitt f r das verwaltete Objekt auf das sich die Sortierreihenfolge bezieht die folgenden Anweisungen hinzu lt PropertyDict name SORT_ORDER gt lt Property name ATTR gt your sort_attribute lt Property gt lt PropertyDict gt 2 Ersetzen Sie your_sort_attribute durch das Attribut nach dem CA IdentityMinder die Suchergebnisse sortieren soll Hinweis Geben Sie nur ein physisches Attribut an Geben Sie kein bekanntes Attribut an 92 Konfigurationshandbuch Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Angenommen Sie m chten die Benutzer in den Suchergebnissen nach dem Wert des Attributs en sortieren F gen Sie dazu nach dem letzten IMSManagedObjectAttr Element im Abschnitt f r Benutzerobjekte der Verzeichniskonfigurationsdatei die folgenden Elemente hinzu lt l EEEE k kkk User Object EEEE kkk kkk gt lt ImsManagedObject name User description My Users objectclass top person organizationalperson user objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name SORT_ORDER gt lt Property name ATTR gt cn lt
242. erte Vorg nge angeben m ssen mit SQL vertraut sein m Benutzerdefinierte Vorg nge werden von CA IdentityMinder nicht validiert Bis zur Laufzeit werden Syntaxfehler und ung ltige Abfragen nicht gemeldet m Wenn Sie einen benutzerdefinierten Vorgang f r ein Attribut angeben k nnen Sie dieses Attribut nicht in Suchfiltern in CA IdentityMinder Aufgaben verwenden m Benutzerdefinierte Vorg nge m ssen den XML Standards entsprechen Stellen Sie Sonderzeichen mithilfe von XML Syntax dar Geben Sie zum Beispiel ein einzelnes Anf hrungszeichen als amp apos an Um einen benutzerdefinierten Vorgang anzugeben verwenden Sie das Operation Element Das Operation Element definiert eine SQL Anweisung die eine benutzerdefinierte Abfrage ausf hren oder eine gespeicherte Prozedur aufrufen kann um ein Attribut zu erstellen abzurufen zu ndern oder zu l schen Das Operation Element ist ein Unterelement des IMSManagedObjectAttr Elements wie im folgenden Beispiel dargestellt lt ImsManagedObjectAttr physicalname tblUsers id displayname User Internal ID description User Internal ID valuetype Number required false multivalued false maxlength 0 hidden false permission READONLY gt lt Operation name GetDb value select identity gt Die Parameter des Operation Elements lauten wie folgt name Gibt einen vordefinierten Namen f r einen Vorgang an Folgende Vorg nge sind g ltig m Erstellen m Get m Festlegen
243. ertig stellen Die Umgebung wird in CA IdentityMinder importiert So pr fen Sie die Migration einer CA IdentityMinder Umgebung Um zu pr fen ob die CA IdentityMinder Umgebung korrekt migriert wurde stellen Sie sicher dass die CA IdentityMinder Umgebung in der Benutzeroberfl che des Richtlinienservers in der Produktionsumgebung angezeigt wird Pr fen Sie in der Benutzeroberfl che des Richtlinienservers die folgenden Punkte m Die Einstellungen des CA IdentityMinder Benutzerverzeichnisses stimmen m Die neue CA IdentityMinder Dom ne ist vorhanden m Die richtigen Authentifizierungsschemen sch tzen die CA IdentityMinder Bereiche Pr fen Sie nach der Anmeldung an der Management Konsole au erdem dass die CA IdentityMinder Umgebung angezeigt wird wenn Sie die Umgebungen ausw hlen Migrieren der Datei iam_im ear f r JBoss Sie m ssen die Datei iam_im ear jedes Mal erneut bereitstellen wenn Funktionen von der Entwicklungsumgebung auf die Produktionsumgebung migriert werden Durch die Migration der gesamten EAR Datei stellen Sie sicher dass die Entwicklungsumgebung mit der Produktionsumgebung identisch ist 262 Konfigurationshandbuch Migrieren der Datei iam_im ear f r WebLogic Gehen Sie wie folgt vor 1 Kopieren Sie die Datei iam_im ear von Ihrer Entwicklungsumgebung in ein Verzeichnis auf das Ihre Produktionsumgebung Zugriff hat Bearbeiten Sie in der Kopie der Datei iam_im ear die Verbindungsinformatio
244. erung befindet zeigt CA IdentityMinder die folgende Meldung an Task has been submitted for processing on the current date Hinweis nderungen sind m glicherweise nicht sofort wirksam Theme Properties Themeneigenschaften 238 Konfigurationshandbuch Erm glicht Ihnen das Symbol und den Titel der Benutzerkonsole in einer Umgebung anzupassen Sie k nnen zum Beispiel den Fenstern der Benutzerkonsole ein Unternehmenslogo und den Unternehmensnamen hinzuf gen Themeneigenschaften umfassen die folgenden Einstellungen Icon URI Symbol URI Definiert das Symbol mithilfe eines URI zu einem Bild auf dem Anwendungsserver Beispiel http myserver mycompany com images front logo gif Icon Link URI Symbol Link URI Definiert die Navigationsverkn pfung zu dem Bild mithilfe eines URI Icon Title Symboltitel Definiert die QuickInfo die beim Bewegen der Maus ber das Symbol als Text angezeigt wird Titel Gibt benutzerdefinierten Text an der neben dem Symbol oben in der Benutzerkonsole angezeigt wird Hinweis Wenn Sie ein benutzerdefiniertes Design definierten haben k nnen Sie ein Symbol oder einen Titel angeben indem Sie auf eine Eigenschaftsdatei f r das Design verweisen Wenn zum Beispiel der Eintrag f r das Symbolbild in der Eigenschaftsdatei f r ein benutzerdefiniertes Design image logo gif lautet k nnen Sie die gleiche Zeichenfolge in das Symbolfeld eingeben Webservices Webservices Login Prope
245. erzeichniskonfigurationsdatei Tabellenelemente Die Parameter f r ein Tabellenelement lauten wie folgt name Erforderlich Gibt den Namen der Tabelle an in der einige oder alle Attribute in einem verwalteten Profil eines Objekts gespeichert sind primary Gibt an ob die Tabelle die prim re Tabelle f r das verwaltete Objekt ist Die prim re Tabelle enth lt wie folgt die eindeutige Kennung f r das Objekt m True Die Tabelle ist die prim re Tabelle m False Die Tabelle ist eine sekund re Tabelle Standardeinstellung Wenn Sie den Parameter primary nicht angeben geht CA IdentityMinder davon aus dass die Tabelle eine sekund re Tabelle ist Hinweis Nur eine Tabelle kann die prim re Tabelle sein Filter Gibt eine Teilmenge der Tabelleneintr ge an die sich auf das verwaltete Objekt beziehen Der optionale Filterparameter entspricht dem folgenden Beispiel filter ORG 2 Hinweis Der Filter wird nur auf Abfragen angewandt die CA IdentityMinder generiert Wenn Sie eine generierte Abfrage mit einer benutzerdefinierten Abfrage berschreiben geben Sie den Filter in der benutzerdefinierten Abfrage an fullouterjoin Gibt an ob die u ere Verkn pfung eine vollst ndige u ere Verkn pfung ist m True Die u ere Verkn pfung ist eine vollst ndige u ere Verkn pfung In diesem Fall ist die Bedingung die zum Zur ckgeben einer g ltigen Zeile erforderlich ist dass diese in beiden Tabellen der Verkn pf
246. es virtuelles Verzeichnis Diese Anweisungen setzen voraus dass Sie die Standardwebsite verwenden Erweitern Sie die Struktur auf der linken Seite bis Sie die Standardwebsite sehen Klicken Sie mit der rechten Maustaste auf Standardwebsite Virtuelles Verzeichnis hinzuf gen um das Verzeichnis mit einer Standardinstallation zu erstellen Geben Sie setPlugins in das Feld Alias im Fenster Alias f r virtuelles Verzeichnis des Assistenten zum Erstellen virtueller Verzeichnisse ein Navigieren Sie zum Verzeichnis c plugin im Feld Physischer Pfad des Assistentenfensters Verzeichnis des Websiteinhalts und klicken Sie auf OK Klicken Sie auf die angezeigte Schaltfl che um die Einstellungen zu testen Wenn der Einstellungstest fehlschl gt k nnen Sie die Berechtigungen des physischen Verzeichnisses ndern W hlen Sie alternativ Verbinden als aus und lassen Sie IIS die Verbindung als ein Windows Benutzerkonto herstellen das Berechtigungen f r die Dateien in diesem physischen Pfad hat Klicken Sie auf OK um das virtuelle Verzeichnis setPlugins zu Ihrer Website hinzuzuf gen W hlen Sie das virtuelle Verzeichnis setPlugins aus das Sie gerade in der Navigationsstruktur erstellt haben Doppelklicken Sie auf Handlerzuordnungen und dann im Bereich Aktionen auf Featureberechtigungen bearbeiten Aktivieren Sie Skripta und Ausf hren wenn diese Optionen nicht bereits ausgew hlt sind Klicken Sie au
247. eten Verzeichniskonfigurationsdatei directory xmi konfigurieren um das CA IdentityMinder Verzeichnis zu erstellen Standardm ig ist der Wert f r die maximale Zeilenanzahl und Seitengr e f r vorhandene Verzeichnisse unbegrenzt F r neue Verzeichnisse ist der Wert f r die maximale Zeilenanzahl unbegrenzt und der Wert f r die Seitengr e ist 2000 Definition f r verwaltete Objekte Um die maximale Zeilenanzahl und Seitengr e f r einen einzelnen Objekttyp anstatt f r ein ganzes Verzeichnis festzulegen konfigurieren Sie die Definition f r verwaltete Objekte siehe Seite 61 in der Datei directory xml die Sie zum Erstellen des CA IdentityMinder Verzeichnisses verwenden Das Festlegen von Beschr nkungen f r einen verwalteten Objekttyp erm glicht es Ihnen Anpassungen basierend auf den Gesch ftsanforderungen vorzunehmen Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen Diese Unternehmen k nnen Beschr nkungen nur f r Benutzerobjektsuchen festlegen Aufgabensuchfenster Sie k nnen die Anzahl der Suchergebnisse steuern die Benutzern in den Such und Listenfenstern der Benutzerkonsole angezeigt werden Wenn die Ergebnisanzahl die maximale Anzahl von Ergebnissen pro Seite berschreitet die f r die Aufgabe definiert ist werden den Benutzer Links zu weiteren Ergebnisseiten angezeigt Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus die von einer Suche zur ckgegeben werden
248. eut auf die Schaltfl che Einstellungen testen Diesmal funktioniert die Autorisierung Klicken Sie auf die Standardwebsite auf der linken Seite und doppelklicken Sie auf den ISAPI Filter klicken Klicken Sie auf der rechten Seite auf Hinzuf gen Geben Sie den Namen ein und geben Sie den Speicherort der Datei isapi_redirect dll an Klicken Sie auf OK Blenden Sie die Standardwebsiet ein und klicken Sie auf das virtuelle Jakarta Verzeichnis Doppelklicken Sie auf Handlerzuordnung W hlen Sie ISAPI dIl aus und klicken Sie auf Featureberechtigungen bearbeiten Kapitel 12 Integration von CA SiteMinder 315 Installieren des Web Proxyserver Plug ins 26 27 berpr fen Sie dass alle Berechtigungen Lesen Skripts Ausf hren aktiviert sind Klicken Sie auf OK Das JBoss Plug in wird konfiguriert Installieren und Konfigurieren eines JBoss Anwendungs Plug ins IIS 6 0 Diese Integration setzt voraus dass SiteMinder einen Benutzer authentifiziert und genehmigt bevor es CA IdentityMinder erreicht Ein Benutzer muss einen SMSESSION Cookie haben bevor er CA IdentityMinder erreicht Verwenden Sie ein von einem SiteMinder Web Agenten gesch tztes Anwendungs Plug in Proxy Umleitung Durch diese Konfiguration wird ein Benutzer von SiteMinder authentifiziert und dann an CA IdentityMinder umgeleitet nachdem ein SMSESSION Cookie erstellt worden ist Dieses Verfahren gilt f r die Bereitstellung und Konfigu
249. f OK Kehren Sie zum IIS Manager Fenster zur ck und blenden Sie den Websites Ordner in der Navigationsstruktur auf der linken Seite dieses Fensters ein W hlen Sie in der Navigationsstruktur Standardwebsite aus Kapitel 12 Integration von CA SiteMinder 309 Installieren des Web Proxyserver Plug ins 24 25 26 27 28 29 30 310 Konfigurationshandbuch F hren Sie die folgenden Schritte im Eigenschaftsbereich der Standardwebsite aus um den ISAPI Filter hinzuzuf gen 1 Doppelklicken Sie auf die Registerkarte ISAPI Filter 2 Klicken Sie um das Dialogfeld Filtereigenschaften hinzuf gen bearbeiten zu ffnen 3 Geben Sie iisWASPlugin in das Feld Filtername ein 4 Klicken Sie auf Durchsuchen um die Plug in Datei im Verzeichnis c plugin iisWASPlugin_http dll auszuw hlen 5 Klicken Sie auf OK um das Dialogfeld Filtereigenschaften hinzuf gen bearbeiten zu schlie en W hlen Sie den obersten Serverknoten in der Navigationsstruktur aus Doppelklicken Sie im Bereich Features auf ISAPI und CGl Einschr nkungen Um den anzugebenden Wert der Eigenschaft ISAPI oder CGlI Pfad zu bestimmen suchen und w hlen Sie die gleiche Plug in Datei aus die Sie im vorherigen Schritt ausgew hlt haben Beispiel c plugin iisWASPlugin_http dll Klicken Sie im Bereich Aktionen auf Hinzuf gen Geben Sie WASPlugin im Feld Beschreibung ein aktivieren Sie Ausf hrung des Erweiter
250. f r die Umgebung hinzu 6 Klicken Sie auf Speichern Role and Task Settings Rollen und Aufgabeneinstellungen Im Fenster Role and Task Settings Rollen und Aufgabeneinstellungen in der Management Konsole k nnen Sie Fenster Registerkarten Rollen und Aufgabeneinstellungen in eine XML Datei die als Rollendefinitionsdatei bezeichnet wird importieren oder aus dieser Datei exportieren CA IdentityMinder stellt vordefinierte Rollendefinitionsdateien bereit mit denen Fenster Registerkarten Rollen und Aufgaben f r eine Reihe von Funktionen erstellt werden Zum Beispiel gibt es eine Rollendefinitionsdatei die Smart Provisioning unterst tzt und andere Dateien die Fenster f r die Endpunktverwaltung unterst tzen Dar ber hinaus k nnen Sie eine Rollendefinitionsdatei verwenden um die Einstellungen von einer Umgebung auf mehrere Umgebungen zu bertragen F hren Sie die folgenden Aufgaben aus m Konfigurieren Sie Fenster Registerkarten Aufgaben und Rolleneinstellungen in einer Umgebung m Exportieren Sie diese Einstellungen in eine XML Datei m Importieren Sie die XML Datei in die gew nschte Umgebung Exportieren von Rollen und Aufgabeneinstellungen Gehen Sie folgenderma en vor um Rollen und Aufgabeneinstellungen zu exportieren Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste von CA IdentityMinder Umgebungen wird angezeigt 2 Klicken Sie auf den Namen der entsp
251. fUrl u2ucscssensnsssnsnnenunnnnnnnnnnennennnnnnnnnnennnnnnnnnnnnnennennnnnnnennnnnn Eehlerbeheb ng astra ie a a anne Ben Nette Aa Ea a aS Paaa Fehlende Windows DELs s iisas iene ee Km aena E are iao e naa a E E aaa a EEn AEE n EEE E Falscher SiteMinder Richtlinienserver Speicherort essessssseesssrrsssessrererssssreerersessrerrernassesrrerersesseerrereessesrnee Falscher Admin Name 2 0 ee Kenaeasenhiesnleipkeneilchrreieikenensenete Falscher geheimer Admin Schl ssel 20s 2 0024400 0000000400240B00H a Ea iara EE a AEri r a aiia a ren Falscher Agentenname mirerien ena aer ae aE aaaea ran AAE e A aaa a EEE EAE Falscher geheimer Agentenschl ssel usuu0u0020200sssenenaennennnnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennennnnonnnensnnennannnnnnnenn Kein Benutzerkontext in CA IdentityMinder zus0s0002020ssssenennnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnensnnnnnnnnnnnenn F hler beim Laden d r Umgebungen s000004004 00020000 00H nes annehmen nn haha nahen era CA IdentityMinder Verzeichnis oder Umgebung kann nicht erstellt werden Benutzer kann sich nicht anmelden 240044200000nsnnnnnnnnnnnennnnnsnnnnnsnnnnnnnnnnnnsnsnnnsnsnnnnnnsnnnnnsnsnnnsnsnnnnsssnnnn So konfigurieren Sie CA IdentityMinder Agent Einstellungen zuus00022220220senonnnnnnnnnnnennnnnnnnnnnnennonnnnnnnnnsennnnenn Konfigurieren der SiteMinder Hochverf gbarkeit uueeeeeesesssnnsnennnsnsnnn
252. fen dass nur ein Richtlinienserver ausgef hrt wird Halten Sie bis auf einen alle CA IdentityMinder Knoten an Melden Sie sich bei der Management Konsole an Klicken Sie auf CA IdentityMinder Umgebungen W hlen Sie die CA IdentityMinder Umgebung aus aus der die Rollen und Aufgabendefinitionen exportiert werden sollen Klicken Sie auf Rollen und anschlie end auf Exportieren und geben Sie einen Namen f r die Datei ein F hren Sie die Anweisungen im n chsten Verfahren aus um die so exportierte Datei zu importieren So importieren Sie Admin Rollen und Aufgabendefinitionen Gehen Sie wie folgt vor 1 258 Konfigurationshandbuch Kopieren Sie die im vorangehenden Verfahren erstellte Datei in die Produktionsumgebung Melden Sie sich in der Produktionsumgebung an der Management Konsole an Klicken Sie auf CA IdentityMinder Umgebungen W hlen Sie die entsprechende CA IdentityMinder Umgebung aus Klicken Sie auf Rollen Klicken Sie auf Importieren und geben Sie den Namen der XML Datei ein die beim Export generiert wurde Wenn diese Schritte erfolgreich waren starten Sie alle zus tzlichen Richtlinienserver und CA IdentityMinder Knoten die Sie angehalten hatten Hinweis Wenn weitere nderungen in der CA IdentityMinder Umgebung erforderlich sind wiederholen Sie Schritt 6 So midgrieren Sie CA IdentityMinder Designs So pr fen Sie den Rollen und Aufgabenimport Um zu pr fen ob die Rollen und Aufgaben
253. fgaben siehe Seite 347 zur Admin Rolle des angemeldeten Benutzers hinzuf gen Gehen Sie wie folgt vor 1 348 Konfigurationshandbuch W hlen Sie Rollen und Aufgaben Zugriffsaufgaben Zugriffsaufgabe erstellen aus W hlen Sie eine der folgenden Optionen aus m Zugriffsaufgabe erstellen m Kopie einer Zugriffsaufgabe erstellen F llen Sie diese Felder aus Name Ein eindeutiger Name den Sie der Aufgabe zuweisen k nnen wie Auftrag generieren Tag Eindeutiger Tag f r die Aufgabe Der Tag muss mit einem Buchstaben oder Unterstrich beginnen und darf nur Buchstaben Ziffern oder Unterstriche enthalten Beschreibung Ein optionaler Hinweis auf den Zweck der Aufgabe Anwendungs ID Ein Bezeichner f r eine Anwendung beispielsweise den Anwendungsnamen der mit der Aufgabe verkn pft ist Die Anwendungs ID kann Leerzeichen oder nicht alphanumerische Zeichen enthalten Notieren Sie sich diese ID Sie ben tigen sie wenn Sie die Rolle in SiteMinder aktivieren Um die Zugriffsaufgabe abzuschlie en klicken Sie auf Senden SiteMinder Vorg nge So erstellen Sie eine Zugriffsrolle Eine Zugriffsrolle enth lt Zugriffsaufgaben die den Zugriff auf Funktionen in einer Anwendung festlegen Zum Beispiel kann eine Rolle Aufgaben enthalten die Rollenmitgliedern erm glichen eine Bestellung in eine Einkaufsanwendung einzugeben und Mengen in einer Inventarerfassungsanwendung zu aktualisieren F hren Sie folgende Sc
254. fgaben enth lt die Sie f r die Synchronisierung verwenden m Bereitstellung Benutzer erstellen m Provisioning Enable Disable User Bereitstellung Benutzer aktivieren deaktivieren m Bereitstellung Benutzer ndern Hinweis Wenn Sie die Standardsynchronisierungsaufgaben nicht ge ndert haben verwenden Sie die Rolle Manager f r Bereitstellungssynchronisierung F gen Sie auf der Registerkarte Mitglieder eine Mitgliederrichtlinie hinzu die Folgendes einschlie t Ein Mitgliederregel welcher der neue Benutzer entspricht m Eine Umfangsregel die allen Benutzern Zugriff gibt die von nderungen am Bereitstellungsverzeichnis betroffen sind die eine eingehende Synchronisierung ausl sen Profile Tasks Members Administrators Owners Owners ci modify the role Owner Rules Owner Rule where User ID inbound In der Managementkonsole a W hlen Sie die Umgebung aus b W hlen Sie Advanced Settings Erweiterte Einstellungen Provisioning Bereitstellung aus c Geben Sie die Organisation f r das Feld Creating Inbound Users Eingehende Benutzer erstellen ein wenn das CA IdentityMinder Verzeichnis eine Organisation enth lt Diese Organisation ist diejenige in der Benutzer erstellt werden wenn eingehende Synchronisierung auftritt Wenn zum Beispiel ein Benutzer im Bereitstellungsverzeichnis hinzugef gt wird f gt CA IdentityMinder den Benutzer zu dieser Organisation hinzu Konfigu
255. fgabenfenstern den Wert eines Attributs als Reihe von Sternchen an Zum Beispiel k nnen Sie Kennw rter als Sternchen anstelle von Klartext anzeigen Blenden Sie den Attributwert in den Fenstern Gesendete Aufgaben anzeigen aus Mithilfe dieser Option k nnen Sie Attribute ausblenden damit Administratoren sie nicht sehen Zum Beispiel k nnen Gehaltsdetails wie die H he des Gehalts vor Administratoren verborgen werden die den Aufgabenstatus in CA IdentityMinder anzeigen aber keine Gehaltsdetails anzeigen m ssen Ignorieren Sie bestimmte Attribute wenn Sie eine Kopie eines vorhandenen Objekts erstellen Verschl sseln von Attributen Feldtypen in Aufgabenprofilfenstern Wenn Sie ein Attribut nicht in der directory xml Datei ndern m chten legen Sie die Anzeigeeigenschaft f r das Attribut in den Bildschirmdefinitionen fest in denen das vertrauliche Attribut angezeigt wird Mithilfe des Feldtyps k nnen Sie Attribute wie Kennw rter als Reihe von Sternchen anstelle von Klartext anzeigen Hinweis Weitere Informationen zum Feldtyp f r vertrauliche Attribute finden Sie in den Abschnitten zu Feldtypen in der Benutzerkonsolen Hilfe So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Datenklassifizierungs Attribute Das Datenklassifizierungs Element bietet eine Methode f r das Zuordnen von zus tzlichen Eigenschaften zu einer Attributbeschreibung Die Werte in diesem Element legen fest wie CA Id
256. figurationshandbuch Sicherheit an der Management Konsole Gehen Sie wie folgt vor 1 Deaktivieren Sie die systemeigene Sicherheit siehe Seite 278 f r die Management Konsole Melden Sie sich bei einer der folgenden Schnittstellen als Administrator mit Dom nenberechtigungen an m F r CA SiteMinder r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m Melden Sie sich bei CA SiteMinder 6 0 SPx an der Benutzeroberfl che des Richtlinienservers an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden Suchen Sie die Richtliniendom ne f r die jeweilige CA IdentityMinder Umgebung Diese Dom ne wird automatisch erstellt wenn CA IdentityMinder mit SiteMinder integriert ist Der Dom nenname hat das folgende Format Identity Manager UmgebungDomain Dabei steht Identity Manager environment f r den Namen der Umgebung die Sie ndern Wenn zum Beispiel der Name employees ist lautet der Dom nenname employeesDomain Erstellen Sie einen Bereich mit dem folgenden Ressourcenfilter Jiam immanage Erstellen Sie eine Regel f r den Bereich Geben Sie ein Sternchen als Filter an um alle Seiten in der Management Konsole zu sch tzen Erstellen Sie eine neue Richtlinie und ordnen Sie sie der Regel zu die Sie im vorherigen Schritt erstellt haben Stellen Sie sicher dass Sie Benutzer zuordnen die mithilfe der Richtl
257. forderlich Gibt den Typ des verwalteten Objekts an Die folgenden Werte sind g ltig m USER m GROUP m ORGANIZATION Das ImsManagedObject Element muss dem folgenden Code entsprechen lt ImsManagedObject name User description My Users objecttype USER gt 3 Geben Sie Tabelleninformationen an wie unter Datenbanktabellen siehe Seite 119 beschrieben Kapitel 4 Verwaltung relationaler Datenbanken 121 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei 4 Geben Sie die Spalte an die die eindeutige Kennung f r das Objekt siehe Seite 122 enth lt 5 Beschreiben Sie die Attribute die das Profil des Objekts bilden siehe Seite 123 6 Wenn Sie ein Organisationsobjekt konfigurieren wechseln Sie zu Organisationsverwaltung siehe Seite 151 So geben Sie die eindeutige Kennung f r ein verwaltetes Objekt an Jedes Objekt das von CA IdentityMinder verwaltet wird muss eine eindeutige Kennung haben Vergewissern Sie sich dass die eindeutige Kennung in einer einzelnen Spalte in der prim ren Tabelle des verwalteten Objekts gespeichert ist Prim re Tabellen werden unter Datenbanktabellen siehe Seite 119 beschrieben Verwenden Sie die Elemente Uniqueldentifier und UniqueldentifierAttr um die eindeutige Kennung wie folgt zu definieren lt Uniqueldentifier gt lt UniqueldentifierAttr name tablename columnname gt lt Uniqueldentifier gt Das UniqueldentifierAttr Element erfordert
258. g nicht immer auf OK klicken m ssen Show About Link Link zu weiteren Informationen anzeigen Bestimmt ob in der linken unteren Ecke der Benutzerkonsole ein Link zu weiteren Informationen angezeigt wird Bei Auswahl dieser Option k nnen CA IdentityMinder Benutzer ber den Link Info Versionsinformationen zu CA IdentityMinder Komponenten anzeigen Enable Language Switching Umschalten zwischen Sprachen aktivieren Bestimmt ob CA IdentityMinder im Anmeldefenster und in der Benutzerkonsole eine Dropdown Liste zur Sprachenauswahl anzeigt Bei Auswahl dieses Feldes k nnen CA IdentityMinder Benutzer die Sprache in der Benutzerkonsole ndern indem sie eine neue Sprache aus der Liste ausw hlen Hinweis Um das Feld f r die Sprachauswahl anzuzeigen m ssen das Feld Enable Language Switching ausgew hlt und CA IdentityMinder f r die Unterst tzung mehrerer Sprachen konfiguriert sein Weitere Informationen hierzu finden Sie im User Console Design Guide Kapitel 7 Erweiterte Einstellungen 237 Benutzerkonsole Job Timeout Job Zeitlimit Bestimmt wie lange CA IdentityMinder nach dem bermitteln einer Aufgabe wartet bevor eine Statusmeldung angezeigt wird Wenn die Aufgabe innerhalb des angegebenen Zeitraums abgeschlossen wird zeigt CA IdentityMinder die folgende Meldung an Task has been submitted for processing on current date Wenn die Ausf hrung der Aufgabe l nger dauert oder sich die Aufgabe unter Workflow Steu
259. g org_dn gt 2 F gen Sie Werte f r die folgenden Parameter hinzu type Gibt wie folgt an wo CA IdentityMinder nach selbstabonnierenden Gruppen sucht m NONE CA IdentityMinder sucht nicht nach Gruppen Geben Sie NONE an wenn Sie verhindern m chten dass Benutzer selbst Gruppen abonnieren m ALL CA IdentityMinder beginnt mit der Suche nach Gruppen im Stammverzeichnis Geben Sie ALL an wenn Benutzer im gesamten hierarchischen Verzeichnis Gruppen abonnieren k nnen 88 Konfigurationshandbuch So konfigurieren Sie Gruppen m INDICATEDORG CA IdentityMinder sucht nach selbstabonnierenden Gruppen in der Organisation eines Benutzers und den zugeh rigen Unterorganisationen Wenn zum Beispiel das Profil eines Benutzers der Marketingorganisation angeh rt sucht CA IdentityMinder nach selbstabonnierenden Gruppen in der Marketingorganisation und in allen Unterorganisationen m SPECIFICORG CA IdentityMinder sucht in einer bestimmten Organisation Geben Sie den definierten Namen DN der jeweiligen Organisation im Parameter org an org Gibt die eindeutige Kennung der Organisation an in der CA IdentityMinder nach selbstabonnierenden Gruppen sucht Hinweis Stellen Sie sicher dass Sie den Parameter org angeben wenn type SPECIFICORG festgelegt ist Nachdem Sie die Unterst tzung f r selbstabonnierende Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche
260. gebungen Eine CA IdentityMinder Umgebung ist eine Ansicht eines Benutzerspeichers In einer CA IdentityMinder Umgebung k nnen Sie Benutzer Gruppen Organisationen Aufgaben und Rollen verwalten Au erdem k nnen Sie den Benutzern Konten in verwalteten Endpunkten zum Beispiel E Mail Konten oder andere Anwendungen zur Verf gung stellen Mithilfe der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren Erstellen ndern oder L schen einer CA IdentityMinder Umgebung m Exportieren und Importieren einer CA IdentityMinder Umgebung m Konfigurieren der erweiterten Einstellungen m Importieren von Rollen und Aufgaben m Zur cksetzen des Systemmanager Kontos Kapitel 6 CA IdentityMinder Umgebungen 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen Bevor Sie anfangen verwenden Sie das Arbeitsblatt in der folgenden Tabelle um die erforderlichen Informationen zu erfassen Arbeitsblatt f r die Konfiguration einer CA IdentityMinder Umgebung Erforderliche Informationen Wert Ein von Ihnen gew hlter aussagekr ftiger CA IdentityMinder Umgebungsname Beispiel MeineUmgebung Eine Basis URL die CA IdentityMinder verwendet um eine Umleitungs URL f r die Standardkennwortrichtlinie f r die Umgebung zu bilden Beispiel http server yourcompany org Ein Alias der der URL f r den Zugriff auf gesch tzte Aufgaben in der Umgebu
261. geordnet ist muss mehrwertig sein Das bekannte GROUP_MEMBERSHIP Attribut ist nicht f r Provisioning Benutzer Verzeichnisse erforderlich GROUP_NAME Erforderlich Zeigt an welches Attribut einen Gruppennamen speichert ORG_MEMBERSHIP Erforderlich Zeigt an welches Attribut das DN der Organisation enth lt zu der die Gruppe geh rt CA IdentityMinder verwendet dieses bekannte Attribut um die Struktur des Verzeichnisses siehe Seite 87 zu bestimmen Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t ORG_MEMBERSHIP_NAME Zeigt an welches Attribut den benutzerfreundlichen Namen der Organisation enth lt in der die Gruppe vorhanden ist Dieses Attribut ist nicht f r Benutzerverzeichnisse g ltig die keine Organisationen einschlie en SELF_SUBSCRIBING 84 Konfigurationshandbuch Zeigt an welches Attribut entscheidet ob Benutzer sich einer Gruppe siehe Seite 86 anschlie en k nnen Bekannte Attribute f r einen LDAP Benutzerspeicher NESTED_GROUP_MEMBERSHIP Zeigt an welches Attribut eine Liste von Gruppen speichert die wiederum als Mitglieder einer Gruppe fungieren k nnen Wenn zum Beispiel die Gruppe 1 ein Mitglied der Gruppe A ist wird Gruppe 1 im NESTED_GROUP_MEMBERSHIP Attribut gespeichert Wenn Sie kein NESTED_GROUP_MEMBERSHIP Attribut angeben speichert CA IdentityMinder verschachtelte Gruppen im GROUP_MEMBERSHIP Attribut
262. handen ist erstellt CA IdentityMinder den Container sobald die erste Eingabe hinzugef gt wird Beim einem hierarchischen Verzeichnis erstellt CA IdentityMinder den Container in der Organisation in der die Eingabe hinzugef gt wird Bei flachen Verzeichnissen und bei jenen Verzeichnissen die keine Organisationen unterst tzen erstellt CA IdentityMinder den Container unter dem Suchstamm den Sie angeben wenn Sie das CA IdentityMinder Verzeichnis erstellen CA IdentityMinder ignoriert Eingaben die nicht im angegebenen Container vorhanden sind Wenn Sie zum Beispiel den People Container angeben k nnen Sie keine Benutzer verwalten die au erhalb des People Containers vorhanden sind Hinweis Um Benutzer zu verwalten die nicht im angegebenen Container vorhanden sind k nnen Sie eine weitere CA IdentityMinder Umgebung erstellen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 63 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Container und bekannte Attribute Bekannte Attribute sind Attribute denen in CA IdentityMinder eine besondere Bedeutung zukommt Wenn CA IdentityMinder einen Benutzerspeicher einschlie lich Containern verwaltet identifizieren die folgenden bekannten Attribute die Informationen zu den Containern ORG_MEMBERSHIP Identifiziert das Attribut das den vollst ndigen Namen DN des Containers speichert Zum Beispiel entspricht der vollst ndige Name Folgendem ou People ou Emplo
263. hnis indem Sie die Verzeichniseinstellungen exportieren 2 F gen Sie dem Attribut das Sie in der directory xmi Datei verschl sseln m chten die folgenden Datenklassifizierungs Attribute hinzu AttributeLevelEncrypt Behalten Sie den Attributwert im Benutzerspeicher in verschl sselter Form bei sensitive optional Blendet den Attributwert in CA IdentityMinder Fenstern aus Ein Kennwort wird zum Beispiel als Reihe von Sternchen angezeigt Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt DataClassification name sensitive gt 3 Wenn Sie ein CA IdentityMinder Verzeichnis erstellt haben ordnen Sie das Verzeichnis einer Umgebung zu 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort verschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Entfernen der Verschl sselung auf Attributebene Wenn im CA IdentityMinder Verzeichnis ein verschl sseltes Attribut enthalten ist dessen Wert als Klartext gespeichert ist k nnen Sie die AttributeLevelEncrypt Datenklassifizierung entfernen Nachdem die Datenklassifizierung entfernt worden ist werden die neuen Attributwerte in CA IdentityMinder nicht mehr verschl ssel
264. hnis ist ein Repository f r Bereitstellungsinformationen einschlie lich Dom ne globaler Benutzer Endpunkttypen Endpunkten Konten und Kontovorlagen Wenn Sie es ausw hlen werden weitere Optionen zum Zuordnen des CA IdentityMinder Benutzerspeichers zum Bereitstellungsverzeichnis angezeigt Erm glichen der Erstellung von Sitzungspools Zur Leistungssteigerung kann CA IdentityMinder bei der Kommunikation mit dem Bereitstellungsserver eine Reihe von Sitzungen f r Sitzungspools vorab zuordnen Ist die Option f r Sitzungspools deaktiviert erstellt und l scht CA IdentityMinder Sitzungen nach Bedarf F r eine neue Umgebung werden Sitzungspools standardm ig aktiviert F r vorhandene Umgebungen k nnen Sie Sitzungspools aktivieren Gehen Sie wie folgt vor 1 W hlen Sie in der Management Konsole Advanced Settings Erweiterte Einstellungen und Provisioning Bereitstellung aus W hlen Sie Use Session Pool Sitzungspool verwenden aus Definieren Sie die Mindestanzahl von Sitzungen im Pool bei der Erstellung Definieren Sie die H chstanzahl von Sitzungen im Pool Klicken Sie auf Speichern am MD Starten Sie den Anwendungsserver neu Der Sitzungspool wird entsprechend den definierten Einstellungen aktiviert Kapitel 7 Erweiterte Einstellungen 235 Bereitstellung Erm glichen der Kennwortsynchronisierung Der Bereitstellungsserver erm glicht die Kennwortsynchronisierung zwischen CA IdentityMinder Benutzern u
265. hritte aus um eine Zugriffsrolle zu erstellen 1 2 3 4 5 6 Beginnen Sie mit der Erstellung einer Zugriffsrolle siehe Seite 349 Definieren Sie grundlegende Eigenschaften f r die Zugriffsrolle in der Registerkarte Profil siehe Seite 349 W hlen Sie Zugriffsaufgaben f r die Rolle aus siehe Seite 350 Definieren Sie Mitgliederrichtlinien f r die Rolle siehe Seite 351 Definieren Sie Admin Richtlinien f r die Rolle siehe Seite 352 Definieren Sie Eigent merregeln f r die Rolle siehe Seite 353 Beginnen Sie mit der Erstellung einer Zugriffsrolle 1 Melden Sie sich bei einem Identity Manager Konto mit einer Rolle an die eine Aufgabe zum Erstellen von Zugriffsrollen enth lt Klicken Sie auf die Option Zugriffsrollen und dann auf die Option Zugriffsrolle erstellen W hlen Sie die Option aus um eine neue Rolle oder eine Kopie einer Rolle zu erstellen Wenn Sie die Option Kopieren ausw hlen suchen Sie die Rolle Fahren Sie mit dem n chsten Abschnitt fort Definieren des Profils f r Zugriffsrollen Definieren des Profils f r Zugriffsrollen So definieren Sie das Profil f r Zugriffsrollen 1 Geben Sie einen Namen und eine Beschreibung ein und vervollst ndigen Sie alle benutzerdefinierten Attribute die f r die Rolle definiert sind Hinweis Sie k nnen auf dem Register Profil benutzerdefinierte Attribute angeben die weitere Informationen zu Zugriffsrollen enthalten S
266. ht in Men s angezeigt wird public Gibt an ob die Aufgabe f r Benutzer verf gbar ist die nicht bei CA IdentityMinder angemeldet sind auditing Gibt an ob die Aufgabe die Aufzeichnung von Auditinformationen erm glicht external Gibt an ob die Aufgabe eine externe Aufgabe ist url Der URL an den CA IdentityMinder den Benutzer umleitet wenn eine externe Aufgabe ausgef hrt wird workflow Gibt an ob die der Aufgabe zugeordneten CA IdentityMinder Ereignisse einen Workflow ausl sen webservice Gibt an ob es sich um eine Aufgabe handelt f r die ber die CA IdentityMinder Management Konsole eine WSDL Ausgabe Web Services Description Language generiert werden kann Ein g ltiges Attribut das f r das GROUP Objekt in der Verzeichniskonfigurationsdatei directory xmi definiert wird Kapitel 8 berpr fung 251 So konfigurieren Sie die berpr fung G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ORGANIZATION PARENTORG RELATIONSHIP USER NONE EventState Element G ltige Attribute Ein g ltiges Attribut das f r das ORGANIZATION Objekt in der Verzeichniskonfigurationsdatei directory xmi definiert wird m amp CONTAINER Eindeutige Kennung des bergeordneten Objekts Wenn zum Beispiel das RELATIONSHIP Objekt eine Rollenmitgliedschaft beschreibt w re der Container die Rolle m amp CONTAINER_NAME F r den Benutzer sichtbarer Name der bergeordneten Gruppe
267. ichtlinien IM_InMemoryEval Verfolgt die Verarbeitung von CA IdentityMinder Richtlinien einschlie lich Mitglieder Admin Besitzer und Identit tsrichtlinien Der technische Support verwendet diese Verfolgungskomponente IM_InMemoryEvalDetail Stellt zus tzliche Informationen zur Verarbeitung von CA IdentityMinder Richtlinien bereit einschlie lich Mitglieder Admin Besitzer und Identit tsrichtlinien Der technische Support verwendet diese Verfolgungskomponente Die Datenfelder f r die Sie die Ablaufverfolgung konfigurieren k nnen werden im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch aufgef hrt Kapitel 10 CA IdentityMinder Protokolle 273 Kapitel 11 CA IdentityMinder Schutz Dieses Kapitel enth lt folgende Themen Sicherheit an der Benutzerkonsole siehe Seite 275 Sicherheit an der Management Konsole siehe Seite 276 Schutz vor CSRF Angriffen siehe Seite 281 Sicherheit an der Benutzerkonsole Die Benutzerkonsole ist die Benutzeroberfl che an der Administratoren Objekte wie Benutzer Gruppen und Organisationen in einer CA IdentityMinder Umgebung verwalten k nnen Diesen Objekten wird ein Satz zugeh riger Rollen und Aufgaben zugeordnet Wenn sich ein Administrator an der Benutzerkonsole anmeldet werden die mit dem Administrator verkn pften Aufgaben in dieser Umgebung angezeigt Standardm ig schr nkt CA IdentityMinder den Zugriff auf die Benutzerkonsole mittels ein
268. icken 4 F hren Sie f r jede Komponente die folgenden Schritte aus a W hlen Sie das Element in der Spalte Aktion aus Config Xpress analysiert die Komponente Dieser Vorgang kann etwas Zeit in Anspruch nehmen b Wenn die Komponente abh ngige Komponenten aufweist wird das Feld Add Modified Dependant Screens Ge nderte abh ngige Fenster hinzuf gen angezeigt Klicken Sie auf Ja oder Nein um fortzufahren Wenn Sie alle zu verschiebenden Komponenten ausgew hlt haben k nnen Sie damit beginnen die aktualisierten Komponenten zu verschieben 5 Wenn Sie die Komponenten auf einen Live Server verschieben klicken Sie auf Upload To Hochladen auf Die Komponenten werden sofort verschoben 6 Wenn Sie die Komponenten in eine Umgebungsdatei verschieben Kapitel 6 CA IdentityMinder Umgebungen 215 Verwalten von Konfigurationen a Klicken Sie auf Speichern b Geben Sie einen Dateinamen ein und klicken Sie erneut auf Speichern Config Xpress speichert alle Komponenten die Sie in einer XML Datei ausgew hlt haben Sie k nnen diese XML Datei jetzt in die eigentliche Zielumgebung importieren Ver ffentlichen von PDF Berichten Config Xpress kann einen Bericht generieren in dem der aktuelle Status einer CA IdentityMinder Umgebung dokumentiert wird Sie k nnen diesen Bericht verwenden um einen Snapshot einer Produktionsumgebung zu erstellen Wenn Sie den Bericht generieren w hlen Sie aus ob Sie die vollst
269. ie Umgebung Klicken Sie auf Vorherige um die Einstellungen zu ndern oder auf Fertig stellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Im Fenster Environment Configuration Output Umgebungskonfigurations Ausgabe wird der Verlauf der Umgebungserstellung angezeigt Klicken Sie auf Fortfahren um den CA IdentityMinder Umgebungsassistenten zu beenden Starten Sie die Umgebung Klicken Sie auf den Namen der Umgebung und anschlie end auf Starten Wenn Sie in Schritt 1 Richtlinienserver beendet haben starten Sie diese jetzt neu Kapitel 6 CA IdentityMinder Umgebungen 197 Zugreifen auf eine CA IdentityMinder Umgebung Zugreifen auf eine CA IdentityMinder Umgebung Nachdem Sie eine CA IdentityMinder Umgebung erstellt haben k nnen Sie darauf zugreifen indem Sie eine URL in einem Browser eingeben Hinweis Aktivieren Sie JavaScript in dem Browser den Sie verwenden um auf die Management Konsole zuzugreifen Das Format der URL h ngt davon ab wie Sie die Umgebung konfiguriert haben und auf welche Art von Aufgabe Sie zugreifen m chten 198 Konfigurationshandbuch Um ber die Benutzerkonsole auf gesch tzte Aufgaben zuzugreifen verwenden Sie die folgenden URL http Hostname iam im alias Hostname Definiert den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com alias Definiert den Alias des Umgeb
270. ie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen So erstellen Sie ein CA IdentityMinder Verzeichnis W hlen Sie den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld in den folgenden Feldern aus m Component managed Authentication Alias Komponentenverwalteter Authentifizierungsalias m Container managed Authentication Alias Containerverwalteter Authentifizierungsalias Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut So erstellen Sie ein CA IdentityMinder Verzeichnis Gehen Sie wie folgt vor 1 Wenn Sie SiteMinder verwenden wenden Sie das Richtlinienspeicherschema an bevor Sie ein CA IdentityMinder Verzeichnis erstellen Hinweis Weitere Informationen zu bestimmten Richtlinienspeicherschemen und deren Anwendung finden Sie im Installationshandbuch Wenn Sie SiteMinder verwenden erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder siehe Seite 115 Erstellen Sie eine Datenquelle f r die von CA IdentityMinder verwaltete Benutzerdatenbank Beschreiben Sie die Datenbank in CA IdentityMinder indem Sie die Verzeichniskonfig
271. ie k nnen diese zus tzlichen Informationen verwenden um Rollensuchvorg nge in Umgebungen zu erleichtern die eine gro e Anzahl von Rollen enthalten W hlen Sie die Option Aktiviert aus wenn Sie die Rolle sofort nach der Erstellung f r die Verwendung freigeben m chten Fahren Sie mit dem n chsten Abschnitt Definieren von Mitgliederrichtlinien f r Zugriffsrollen fort Kapitel 12 Integration von CA SiteMinder 349 SiteMinder Vorg nge Ausw hlen von Zugriffsaufgaben f r die Rolle Gehen Sie auf der Registerkarte Aufgaben wie folgt vor 1 W hlen Sie die in diese Rolle einzuschlie enden Aufgaben aus W hlen Sie zuerst die Anwendungen aus dann die Aufgabe Sie k nnen Aufgaben aus verschiedenen Anwendungen einbeziehen Hinweis Wenn eine andere Rolle die Aufgaben hat die Sie ben tigen klicken Sie auf Aufgaben aus einer anderen Rolle kopieren Sie k nnen die angezeigte Liste bearbeiten Beim Erstellen einer Rolle oder Aufgabe sehen Sie Symbole zum Hinzuf gen Bearbeiten und Entfernen von Elementen Weitergehen oder das aktuelle Element ausw hlen um es anzuzeigen oder zu bearbeiten Wenn JavaScript deaktiviert ist klicken Sie auf die Schaltfl che Weiter um aus einer Dropdown Liste auszuw hlen Zur ckgehen oder eine fr here Auswahl r ckg ngig machen Ein Element einf gen z B eine Aufgabe oder Regel Die aktuelle Aufgabe oder bei Regeln den folgenden Ausdruck l schen Aktuelles Eleme
272. ieren der SiteMinder Hochverf gbarkeit siehe Seite 338 Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung siehe Seite 341 SiteMinder Vorg nge siehe Seite 341 Kapitel 12 Integration von CA SiteMinder 283 SiteMinder und CA IdentityMinder SiteMinder und CA IdentityMinder Bei Integration von CA IdentityMinder und CA SiteMinder kann CA SiteMinder die CA IdentityMinder Umgebung um die folgenden Funktionen erg nzen Erweiterte Authentifizierung CA IdentityMinder beinhaltet standardm ig eine systemeigene Authentifizierung f r CA IdentityMinder Umgebungen CA IdentityMinder Administratoren m ssen einen g ltigen Benutzernamen und ein Kennwort eingeben um sich an einer CA IdentityMinder Umgebung anzumelden CA IdentityMinder authentifiziert den Namen und das Kennwort mithilfe des Benutzerspeichers den CA IdentityMinder verwaltet Wenn CA IdentityMinder mit CA SiteMinder integriert ist verwendet CA IdentityMinder die grundlegende CA SiteMinder Authentifizierung um die Umgebung zu sch tzen Beim Erstellen einer CA IdentityMinder Umgebung werden in CA SiteMinder eine Richtliniendom ne und ein Authentifizierungsschema erstellt um diese Umgebung zu sch tzen Ist CA IdentityMinder mit CA SiteMinder integriert k nnen Sie auch die SiteMinder Authentifizierung verwenden um die Management Konsole zu sch tzen Zugriffsrollen und aufgaben Zugriffsrollen erm g
273. iguriert Die ersten beiden Ursachen sind ziemlich offensichtlich Vergewissern Sie sich dass Sie ber den Webserver mit dem voll funktionsf higen aktivierten Web Agenten umleiten Wenn Sie allerdings ber den Webserver gehen und der Agent aktiviert ist m ssen Sie die Dom ne ndern Gehen Sie wie folgt vor 1 2 334 Konfigurationshandbuch Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Finden Sie Ihre CA IdentityMinder Dom ne und klicken Sie durch die Schichten um sie zu ndern Klicken Sie auf die Registerkarte Bereich und dann auf den ersten Bereich in der Liste Der Standardspeicherort des Schr gstrichs ist unter dem Bereich L schen Sie ihn Klicken Sie in die Regel unter diesem Bereich Die standardm ige Ressource f r die Regel ist ein Sternchen F gen Sie den Schr gstrich vor dem Sternchen hinzu Sie haben den Schr gstrich vom Bereich zur Regel verschoben Der Schutz ist der gleiche aber SiteMinder behandelt es anders Sie k nnen sich erfolgreich bei CA IdentityMinder durch SiteMinder anmelden Um den ordnungsgem en Schutz zu validieren berpr fen Sie Ihre SiteMinder Agentenprotokolle Fehlerbehebung Fehler beim Laden der Umgebungen Symptom Wenn man eine Umgebung nach der Integration mit SiteMinder zur ck in CA IdentityMinder importiert wird ein Fehler bez glich des Attributs requireadminpassword und des Elements WebService angezeigt Hinweis Dieses
274. ilt die die Mitgliedschaftsregeln erf llen Wenn zum Beispiel die Mitgliedschaftsregel f r die Rolle User Manager title User Manager lautet wird Benutzern mit dem Titel User Manager die Rolle User Manager erteilt Hinweis Weitere Informationen zu Regeln finden Sie im Administrationshandbuch ADMIN_ROLE_CONSTRAINT erm glicht es Ihnen ein Profilattribut anzugeben in dem die Admin Rollen eines Administrators gespeichert werden So verwenden Sie das Attribut ADMIN_ROLE_CONSTRAINT Um ADMIN_ROLE_CONSTRAINT als Einschr nkung f r alle Admin Rollen zu verwenden f hren Sie die folgenden Aufgaben aus m Ordnen Sie das bekannte Attribut ADMIN_ROLE_CONSTRAINT einem mehrwertigen Profilattribut zu um mehrere Rollen zu ber cksichtigen m Wenn Sie eine Admin Rolle in der Benutzerkonsole konfigurieren vergewissern Sie sich ber die folgende Einschr nkung Die Admin Rollen stimmen mit dem Rollennamen berein role name Definiert den Namen der Rolle f r die Sie die Einschr nkung angeben wie im folgenden Beispiel gezeigt Admin Rollen stimmt mit User Manager berein Hinweis Admin Rollen ist der Standardanzeigename f r das Attribut ADMIN_ROLE_CONSTRAINT Konfigurieren von bekannten Attributen F hren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen HH 2 Ersetzen Sie den mit
275. in Geben Sie den 4 x Agentennamen an den der Richtlinienadministrator w hrend der SiteMinder Konfiguration erstellt hat Kapitel 12 Integration von CA SiteMinder 301 Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter 9 Geben Sie das verschl sselte Kennwort an Verwenden Sie das Kennwort Tool um das Kennwort im Bedarfsfall zu verschl sseln 10 Speichern Sie die nderungen an der ra xml Datei Der SiteMinder Richtlinienserver Ressourcenadapter wird aktiviert Weitere Informationen ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels siehe Seite 363 Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter Mit dem SiteMinder Adapter an Ort und Stelle wird der Framework Authentifizierungsfilter nicht mehr ben tigt Der Identit tsadministrator kann den Filter deaktivieren Gehen Sie wie folgt vor 1 Suchen und bearbeiten Sie die Datei web xml im Ordner user_console war WEB INF unter iam_im ear 2 Suchen Sie FrameworkAuthfFilter und ndern Sie den Wert von Enable init param zu false Wenn Sie CA IdentityMinder r12 5 SP 7 oder h her verwenden berpr fen Sie dass die Java Cryptographic Extension Unlimited Strength Jurisdiction Policy Files JCE in das Verzeichnis lt Java_path gt lt jdk_version gt jre lib security in der CA IdentityMinder Umgebung heruntergeladen wurden Diese Dateien erm glichen CA IdentityMinder
276. inder Umgebungen oben auf der Registerkarte hinzu Klicken Sie auf OK um die Auswahl zu speichern und das Dialogfeld zu schlie en Die von Ihnen ausgew hlten CA IdentityMinder Umgebungen sind nun verf gbar wenn Sie Richtlinien erstellen Kapitel 12 Integration von CA SiteMinder 357 SiteMinder Vorg nge Erstellen einer SiteMinder Antwort 10 358 Konfigurationshandbuch Melden Sie sich bei der Richtlinienserver Benutzeroberfl che an F hren Sie je nach Ihren Administratorrechten einen der folgenden Schritte aus m Wenn Sie die Berechtigung System und Dom nenobjekte verwalten haben a Klicken Sie im Objektbereich auf die Registerkarte Dom nen b W hlen Sie die Richtliniendom ne aus zu der Sie eine Antwort hinzuf gen m chten m Wenn Sie die Berechtigung zum Verwalten von Dom nenobjekten haben w hlen Sie im Objektbereich die Richtliniendom ne aus zu der Sie eine Antwort hinzuf gen wollen W hlen Sie in der Men leiste Bearbeiten lt Dom nenname gt Antwort erstellen aus Das Antwort Dialogfeld von SiteMinder ffnet sich siehe Antwort Dialogfeld Geben Sie einen Namen und eine Beschreibung f r die neue Antwort ein W hlen Sie im Gruppenfeld Agententyp das Optionsfeld SiteMinder aus Aktivieren Sie die Web Agent Option in der Dropdown Liste im Gruppenfeld Agententyp und klicken Sie auf Anwenden um Ihre nderungen zu speichern Klicken Sie auf Erstellen Das Editor Dialogf
277. inder Verzeichnis Um die aktuellen Einstellungen von einem CA IdentityMinder Verzeichnis anzuzeigen exportieren Sie die Verzeichniseinstellungen und speichern sie als eine XML Datei Nachdem Sie die Verzeichniseinstellungen exportiert haben k nnen Sie die XML Datei ndern und erneut importieren um das Verzeichnis zu aktualisieren Sie k nnen auch die XML Datei in ein anderes Verzeichnis importieren um die gleichen Einstellungen f r dieses Verzeichnis zu konfigurieren Exportieren von CA IdentityMinder Verzeichnissen F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis zu exportieren Gehen Sie wie folgt vor 1 Klicken Sie auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 2 Klicken Sie auf den Namen des zu exportierenden Verzeichnisses Die Eigenschaften f r das CA IdentityMinder Verzeichnisfenster werden angezeigt 3 Klicken Sie unten im Eigenschaftsfenster auf Export 4 Wenn Sie aufgefordert werden speichern Sie die XML Datei Kapitel 5 CA IdentityMinder Verzeichnisse 187 Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis Aktualisieren von CA IdentityMinder Verzeichnissen Der Zweck der Aktualisierung eines CA IdentityMinder Verzeichnisses ist m Hinzuf gen oder ndern von verwalteten Objektdefinitionen einschlie lich der Attribute eines Objekts m Festlegen von Suchparametern m ndern der Verzeichniseigenschaften
278. ing Verzeichnis besitzt Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Das Konfigurieren des NeteAuto Beispiels mit Organisations Support beinhaltet die folgenden Schritte m Installieren der erforderlichen Software m Installieren der CA IdentityMinder Beispielumgebung m Konfigurieren eines LDAP Benutzerverzeichnisses m Konfigurieren einer relationalen Datenbank m Erstellen des CA IdentityMinder Verzeichnisses m Erstellen der NeteAuto CA IdentityMinder Umgebung LDAP Verzeichnisstruktur f r NeteAuto Die folgende Abbildung beschreibt das NeteAuto Beispiel f r LDAP Verzeichnisse ou NeteAuto ou Supplier ou Dealer ou Europe ou Employee ou People SelfRegUser SuperAdmin NeteAuto Administrator Die CA IdentityMinder Beispielumgebung schlie t die folgenden Benutzer ein m Superadmin stellt das Administratorkonto mit der Systemmanager Rolle f r diese CA IdentityMinder Umgebung dar Als Superadmin k nnen Sie alle standardm igen Admin Aufgaben ausf hren Hinweis Informationen ber eine Beschreibung der standardm igen Admin Aufgaben k nnen Sie dem Administrationshandbuch entnehmen 20 Konfigurationshandbuch So wird das NeteAuto Beispiel mit Organisations Support konfiguriert m SelfRegUser stellt das Administratorkonto dar das CA IdentityMin
279. inie auf die Management Konsole zugreifen k nnen Starten Sie den Anwendungsserver neu Kapitel 11 CA IdentityMinder Schutz 279 Sicherheit an der Management Konsole Sch tzen einer vorhandenen Umgebung nach einem Upgrade Nach einem Upgrade auf CA IdentityMinder 12 6 oder h her k nnen Sie die Management Konsole mithilfe der systemeigenen Sicherheit sch tzen Hinweis Sie k nnen die systemeigene CA IdentityMinder Sicherheit nicht verwenden um die Management Konsole zu sch tzen wenn CA IdentityMinder mit CA SiteMinder integriert ist Gehen Sie wie folgt vor 1 280 Konfigurationshandbuch Aktivieren Sie die systemeigene Sicherheit f r die Management Konsole in der Datei web xml wie folgt a ffnen Sie die Datei CA IdentityMinder_installation am_im ear management_console war WEB INF w eb xml in einem Texteditor b Legen Sie den Wert des Parameters Enable f r ManagementConsoleAuthfFilter wie folgt auf true fest lt filter gt lt filter name gt ManagementConsoleAuthFilter lt filter name gt lt filter class gt com netegrity ims manage filter ManagementCon soleAuthFilter lt filter class gt lt init param gt lt param name gt Enable lt param name gt lt param value gt true lt param value gt lt init param gt lt filter gt c Speichern Sie die Datei web xml Erstellen Sie die Tabelle IM_AUTH_USER im CA IdentityMinder Objektspeicher In der Tabelle IM_AUTH_USER werden Informationen zu d
280. inzu lt DataClassification name parameter gt parameter Stellt einen der folgenden Parameter dar sensitive vst_hide ignore_oNn_copy AttributeLevelEncrypt PreviouslyEncrypted Eine Attributbeschreibung die das Datenklassifizierungs Attribut vst_hide enth lt entspricht zum Beispiel in etwa dem folgenden Code lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 gt lt DataClassification name vst_hide gt Verschl sselung auf Attributebene Sie k nnen ein Attribut im Benutzerspeicher verschl sseln indem Sie eine AttributeLevelEncypt Datenklassifizierung f r dieses Attribut in der Verzeichniskonfigurationsdatei directory xml angeben Wenn die Verschl sselung auf Attributebene aktiviert ist verschl sselt CA IdentityMinder den Wert dieses Attributs bevor es im Benutzerspeicher gespeichert wird Das Attribut wird in der Benutzerkonsole als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 Wenn die FIPS 140 2 Unterst tzung aktiviert ist wird das Attribut mithilfe der RC2 Verschl sselung oder FIPS 140 2 Verschl sselung verschl sselt K
281. ionale Datenbanken Benutzername NeteAuto Admin Kennwort test Die Liste auf Aufgaben die der NeteAuto Administrator ausf hren kann wird auf der linken Seite der Benutzerkonsole angezeigt Da der NeteAuto Administrator nur eine beschr nkte Anzahl von Aufgaben ausf hren kann listet CA IdentityMinder die Aufgaben anstelle von Kategorien auf Klicken Sie auf Gruppe ndern Klicken Sie auf Suchen CA IdentityMinder zeigt eine Liste von Gruppen an Markieren Sie die H ndler Administratoren und klicken Sie auf Ausw hlen Klicken Sie auf die Registerkarte Mitgliedschaft und anschlie end auf die Option zum Hinzuf gen eines Benutzers Das Fenster Benutzer ausw hlen wird angezeigt Klicken Sie auf Suchen W hlen Sie im Benutzer Suchfenster den Benutzer den Sie unter Als neuen Benutzer registrieren siehe Seite 38 eingegeben haben Klicken Sie auf Ausw hlen Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 45 So werden zus tzliche Funktionen konfiguriert 8 Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage 9 Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren Um zu best tigen dass der Benutzer ein Mitglied der erstellten Gruppe ist verwenden Sie die Aufgabe zum Anzeigen von Gruppen So werden zus tzliche Funktionen konfiguriert Sobald Sie das NeteAuto Beispiel installiert und den Umgang mit der grundlegenden CA IdentityMinder Funktionalit t ge bt hab
282. iotheken ben tigt Laden Sie diese Bibliotheken von der Oracle Website herunter Laden Sie sie in den folgenden Ordner lt Java_path gt lt jdk_version gt jre lib security Kapitel 12 Integration von CA SiteMinder 287 bersicht ber die Integration von SiteMinder und CA IdentityMinder Das folgende Diagramm veranschaulicht den gesamten Prozess zur Integration von SiteMinder und CA IdentityMinder Richtlinienadministrator Identit tsadministrator 1 SiteMinder Richtlinienspeicher f r IdentityMinder konfigurieren 2 IdentitylMinder Schema In Richtlinienspeicher importieren 3 SiteMinder 4 X Agent Objekt erstellen 13 SiteMinder Agent zu IdentityMinder Dom ne zuordnen 288 Konfigurationshandbuch bersicht ber die Integration von SiteMinder und CA IdentityMinder Gehen Sie wie folgt vor 1 10 11 12 13 14 15 Konfigurieren Sie den SiteMinder Richtlinienspeicher f r CA IdentityMinder siehe Seite 290 Importieren Sie das CA IdentityMinder Schema in den Richtlinienspeicher siehe Seite 297 Erstellen Sie ein SiteMinder 4 X Agentenobjekt siehe Seite 297 Exportieren Sie die CA IdentityMinder Verzeichnisse und Umgebungen siehe Seite 299 L schen Sie alle Verzeichnis und Umgebungsdefinitionen siehe Seite 300 Aktivieren Sie den Ressourcenadapter des SiteMinder Richtlinienservers siehe Seite 301 Deaktivieren Sie den systemeigenen CA I
283. irectory Server Verzeichnis mit einer hierarchischen Struktur 1BMDirectoryServer directory xml Novell eDirectory Benutzerverzeichnis mit einer hierarchischen Struktur eDirectory directory xml Oracle Internet Directory mit einer hierarchischen Struktur OraclelnternetDirectory directory xml Sun Java System SunOne oder iPlanet LDAP Verzeichnis mit einer hierarchischen Struktur IPlanetHierarchical directory xml Sun Java System SunOne oder iPlanet IPlanetFlat directory xml LDAP Verzeichnis mit einer flachen Struktur Sun Java System SunOne oder iPlanet LDAP Verzeichnis das keine Organisationen enth lt IPlanetNoOrganizations directory xml CA Directory Benutzerspeicher mit einer hierarchischen Struktur Bereitstellungsverzeichnis eTrustDirectory directory xml ProvisioningServer directory xml Diese Vorlage konfiguriert das Bereitstellungsverzeichnis Provisioning Verzeichnis f r eine CA IdentityMinder Umgebung Hinweis Sie k nnen diese Konfigurationsvorlage wie installiert verwenden Sie m ssen diese Vorlage nicht ndern 52 Konfigurationshandbuch So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben Verzeichnistyp Vorlage Benutzerdefiniertes Verzeichnis Verwenden Sie die Vorlage die Ihrem Verzeichnis am n chsten kommt Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis oder speichern Sie sie unter einem anderen Namen damit sie nicht berschrieben wi
284. irectory xml 2 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch den Namen des Attributs in dem die Organisation des Benutzers gespeichert ist 3 Wiederholen Sie Schritt 1 im Abschnitt f r Gruppenobjekte 4 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch den Namen des Attributs in dem die Organisation der Gruppe gespeichert ist Kapitel 3 Verwaltung des LDAP Benutzerspeichers 87 So konfigurieren Sie Gruppen So beschreiben Sie ein Benutzerverzeichnis das keine Organisationen unterst tzt Vergewissern Sie sich dass keine Objektbeschreibungen oder bekannten Attribute f r Organisationen in der Datei directory xml definiert sind So konfigurieren Sie Gruppen F r die Konfiguration lassen sich Gruppen folgenderma en aufteilen m Selbstabonnierende Gruppen m Dynamische und verschachtelte Gruppen Konfigurieren von selbstabonnierenden Gruppen Um Self Service Benutzern den Beitritt zu Gruppen zu erm glichen k nnen Sie in der Verzeichniskonfigurationsdatei die Unterst tzung selbstabonnierender Gruppen konfigurieren Wenn sich ein Benutzer anmeldet sucht CA IdentityMinder nach Gruppen in den angegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppen an Gehen Sie wie folgt vor 1 F gen Sie im Abschnitt f r selbstabonnierende Gruppen das Element SelfSubscribingGroups wie folgt hinzu lt SelfSubscribingGroups type search_type or
285. is Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver F gen Sie dem Verzeichnis die entsprechende LDIF Schemadatei hinzu Der Standardspeicherort f r die LDIF Dateien unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas F gen Sie die folgenden Schemadateien f r Ihr Verzeichnis hinzu m IBM Directory Server IBMDirectoryServer V3 identityminder8 m Sun Java Systems Directory Server iPlanet SunJavaSystemDirectoryServer sundirectory_ims8 ldif Kapitel 12 Integration von CA SiteMinder 291 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Microsoft Active Directory Um einen Microsoft Active Directory Richtlinienspeicher zu konfigurieren wenden Sie das Skript activedirectory_ims8 ldif an Gehen Sie wie folgt vor 1 3 292 Konfigurationshandbuch Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver ndern Sie die Schemadatei activedirectory_ims8 ldif wie folgt a C ffnen Sie die Datei activedirectory_ims8 ldif in einem Texteditor Der Standardspeicherort unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas MicrosoftActiveDirectory Ersetzen Sie alle Instanzen von ro
286. ityMinder Umgebung ber CA IdentityMinder Umgebungen k nnen Sie Objekte in einem Verzeichnis mit einem Rollen und Aufgabensatz verwalten Verwenden Sie den CA IdentityMinder Umgebungs Assistenten der Sie schrittweise durch die Erstellung einer CA IdentityMinder Umgebung leitet Beachten Sie vor der Erstellung einer CA IdentityMinder Umgebung Folgendes Gehen Sie davon aus dass Sie einen LDAP Benutzerspeicher verwenden und einen Benutzercontainer wie ou People in der Verzeichniskonfigurationsdatei directory xm f r Ihr CA IdentityMinder Verzeichnis konfiguriert haben Vergewissern Sie sich dass die Benutzer die Sie ausw hlen wenn Sie die CA IdentityMinder Umgebung erstellen in diesem Container vorhanden sind Die Auswahl eines Benutzerkontos das im Benutzercontainer nicht vorhanden ist kann Fehler verursachen Wenn Sie eine CA IdentityMinder Umgebung konfigurieren um ein LDAP Benutzerverzeichnis mit einer flachen Benutzerstruktur zu verwalten muss das Profil f r den ausgew hlten Benutzer die Organisation des Benutzers einschlie en Um sicherzustellen dass das Profil eines Benutzers richtig konfiguriert wird f gen Sie dem physischen Attribut das dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei siehe Seite 87 entspricht den Namen der Organisation des Benutzers hinzu Wenn zum Beispiel die Beschreibung des physischen Attributs dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei zugeordnet ist
287. jekt beziehen beziehen sich auf alle Eintr ge dieses Typs Zum Beispiel besteht ein Benutzerprofil aus allen Eigenschaften und Attributen des verwalteten Objekts Benutzer Um die Details eines verwalteten Objekts anzuzeigen klicken Sie auf den Namen des Objekts um das Fenster Managed Object Properties Eigenschaften von verwalteten Objekten zu ffnen Managed Object Properties Eigenschaften von verwalteten Objekten Das Fenster Managed Object Properties beschreibt die Eigenschaften und Attribute f r einen Typ von verwaltetem Objekt Die Informationen im Fenster Managed Object Properties h ngen vom Typ des Benutzerspeichers ab den Sie verwalten Verwaltete Eigenschaften eines Objekts sind Folgende Beschreibung Gibt eine Beschreibung des verwalteten Objekts an Typ Zeigt den Eintragstyp an den das verwaltete Objekt darstellt Ein Objekttyp kann einer der folgenden Typen sein m User m Gruppe m Organisation Objektklasse nur f r LDAP Verzeichnisse Gibt die Objektklassen f r das verwaltete Objekt an Ein verwaltetes Objekt kann mehrere Objektklassen haben Sort Order Sortierreihenfolge nur f r LDAP Verzeichnisse Gibt die Attribute an die CA IdentityMinder verwendet um Suchergebnisse nach benutzerdefinierter Business Logik zu sortieren Die Reihenfolge wirkt sich nicht auf die Reihenfolge von Suchergebnissen in der Benutzerkonsole aus Wenn Sie zum Beispiel das cn Attribut f r das Benutzerobjekt angeben
288. l sseln Sie das Kennwort folgenderma en a Navigieren Sie von der Befehlszeile zu admin_tools PasswordTool wobei admin_tools der installierte Speicherort der Verwaltungstools ist wie in den folgenden Beispielen angegeben m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools PasswordTool m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools PasswordT ool b Geben Sie folgenden Befehl ein pwdtools new_password In diesem Befehl ist new_password das zu verschl sselnde Kennwort Hinweis Geben Sie f r Information zu Optionen f r das Hilfsprogramm pwdtools den folgenden Befehl ein pwdtools help c Kopieren Sie das verschl sselte Kennwort 2 F hren Sie die entsprechenden Schritte aus m Wenn CA IdentityMinder auf einem Weblogic Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor a Bearbeiten Sie in der WebLogic Konsole den Weblogic Ressourcenadapter im Connector Deskriptor policyserver_rar b F gen Sie das verschl sselte Kennwort als Wert der Kennworteigenschaft hinzu m Wenn CA IdentityMinder auf einem JBoss Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor A ffnen Sie ra xml unter JBoss_home server default deploy iam_im ear policyserver_rar META INF B F gen Sie das verschl sselte Kennwort als Wert von config property Password hinzu m Wenn CA IdentityMinder auf einem WebSphere Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor
289. l Benachrichtigung zu verwenden 80 Konfigurationshandbuch Bekannte Attribute f r einen LDAP Benutzerspeicher ENABLED_STATE Erforderlich F hrt Zuordnungen zum Status eines Benutzers durch Hinweis Dieses Attribut muss mit dem Attribut des Benutzerverzeichnisses mit deaktiviertem Kennzeichen in der SiteMinder Benutzerverzeichnisverbindung bereinstimmen FIRST_NAME F hrt Zuordnungen zum Vornamen eines Benutzers durch FULL_NAME F hrt Zuordnungen zum Vor und zum Nachnamen eines Benutzers durch IDENTITY_POLICY Gibt die Liste von Identit tsrichtlinien an die auf ein Benutzerkonto angewendet werden sowie eine Liste von eindeutigen Policy Xpress Richtlinien IDs die f r das Benutzerobjekt Aktionen zum Hinzuf gen oder zum Entfernen durchgef hrt haben CA IdentityMinder verwendet dieses Attribut um festzulegen ob die Anwendung einer Identit tsrichtlinie auf einen Benutzer erforderlich ist oder nicht Es sei davon auszugehen dass f r die Richtlinie die Einstellung der einmaligen Anwendung aktiviert ist und dass die Richtlinie im Attribut IDENTITY_POLICY aufgelistet ist CA IdentityMinder wendet die nderungen in der Richtlinie nicht auf den Benutzer an Hinweis Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch LAST_CERTIFIED_DATE F hrt Zuordnungen zu dem Datum durch an dem die Rollen f r einen Benutzer zertifiziert werden Die Verwendung der Benutzerzertifizie
290. le mit der Datenbank kommuniziert Gehen Sie wie folgt vor 1 ffnen Sie f r Windows Server die ODBC Datenquellen Administratorkonsole die sich unter den Verwaltungstools befindet Klicken Sie auf die Registerkarte System DSN Klicken Sie auf Hinzuf gen und w hlen Sie den entsprechenden SiteMinder Treiber f r Ihre Datenbank aus Geben Sie die ben tigten Informationen an um auf den Benutzerspeicher der relationalen Datenbank zu verweisen Testen Sie die Konnektivit t bevor Sie fortfahren Kapitel 12 Integration von CA SiteMinder 303 Importieren der Verzeichnisdefinitionen Importieren der Verzeichnisdefinitionen Um das Importieren der Umgebungen vorzubereiten importiert der Identit tsadministrator die Verzeichnisse auf die die Umgebungen verweisen Beim Importieren der Verzeichnisdefinition in CA IdentityMinder werden au erdem die Verzeichnisinformationen zum SiteMinder Richtlinienspeicher hinzugef gt Gehen Sie wie folgt vor 1 304 Konfigurationshandbuch Stellen Sie sicher dass CA IdentityMinder ausgef hrt wird und mit SiteMinder verbunden ist Navigieren Sie zur CA IdentityMinder Management Konsole Klicken Sie auf Directories Verzeichnisse und dann auf Create or Update from XML Aus XML erstellen oder aktualisieren W hlen Sie Ihre Verzeichniskonfigurationsdatei aus directory xmli Diese Datei ist diejenige welche Sie in Exportieren der CA IdentityMinder Verzeichnisse und Umge
291. len und Aufgaben auf eine bestimmte Anwendung Wenn Sie beispielsweise das folgende Antwortattribut erstellen SM_USER_APPLICATION_ROLES Finanzanwendung Gibt SiteMinder die Rollen die Aufgaben in der Finanzanwendung haben an den Web Agenten zur ck der dann die Informationen der Finanzanwendung bergibt Hinweis Die Anwendungs ID die Sie liefern sollte mit einer Anwendungs ID bereinstimmen die Sie angegeben haben als Sie Zugriffsaufgabe erstellen in Identity Manager verwendet haben Wenn Sie die Aufgabe noch nicht erstellt haben kann die Anwendungs ID ein von Ihnen gew hlter Name sein aber er darf keine Leerzeichen oder nicht alphanumerische Zeichen enthalten Kapitel 12 Integration von CA SiteMinder 355 SiteMinder Vorg nge Sie k nnen mehrere Anwendungs IDs in einer kommagetrennten Liste angeben um das Set von Rollen und Aufgaben von mehreren Anwendungen in einem einzelnen Antwortattribut zur ckzugeben Um zum Beispiel die Liste von Rollen zur ckzugeben die ein Benutzer in Finanz und Einkaufsanwendungen hat geben Sie Folgendes an SM_USER_APPLICATION_ROLES Finanzen Einkauf Checkliste f r das Aktivieren von Zugriffsrollen in SiteMinder Hinweis Die folgenden Schritte setzen voraus dass die Anwendung auf die sich die Zugriffsrolle die Sie erstellen bezieht bereits von SiteMinder gesch tzt wird Wenn Sie eine Zugriffsrolle f r eine Anwendung erstellen die nicht von SiteMinder gesch tzt wird finden Sie im
292. lgendes m Der Richtlinienserver wird ausgef hrt m Der Web Agent sch tzt die Ressourcen Sie k nnen berpr fen ob der Web Agent ordnungsgem ausgef hrt wird indem Sie auf die Richtlinienserver Benutzeroberfl che zugreifen Wenn eine Aufforderung angezeigt wird die Anmeldeinformationen einzugeben wird der Web Agent ordnungsgem ausgef hrt 2 Starten Sie CA IdentityMinder und den Richtlinienserver neu berpr fen Sie das Anwendungsserverprotokoll in Bezug auf Fehlerdetails Deaktivieren Sie die Internetbrowser Option Show friendly error message Kurze HTTP Fehlermeldungen anzeigen um die Statusseite anzuzeigen Kapitel 6 CA IdentityMinder Umgebungen 225 Kapitel 7 Erweiterte Einstellungen berpr fung Im Fenster Advanced Settings Erweiterte Einstellungen der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren m Zugreifen auf Fenster zum Konfigurieren erweiterter Einstellungen m Importieren und Exportieren erweiterter Einstellungen wie in Importieren Exportieren von benutzerdefinierten Einstellungen siehe Seite 241 beschrieben Dieses Kapitel enth lt folgende Themen berpr fung siehe Seite 227 Business Logic Task Handler siehe Seite 228 Ereignisliste siehe Seite 229 E Mail Benachrichtigungen siehe Seite 230 Ereignis Listener siehe Seite 230 Identit tsrichtlinien siehe Seite 231 Logical Attribute Handler siehe Seite 231 Sonstiges siehe Seite
293. lichen CA IdentityMinder Administratoren Berechtigungen in Anwendungen zuzuweisen die von CA SiteMinder gesch tzt werden Diese Zugriffsrollen stellen eine einzelne Aktion dar die ein Benutzer in einer Gesch ftsanwendung ausf hren kann wie beispielsweise eine Bestellung in einer Finanzanwendung zu generieren Verzeichniszuordnung 284 Konfigurationshandbuch Ein Administrator muss m glicherweise Benutzer verwalten deren Profile in einem anderen als dem f r die Authentifizierung des Administrators verwendeten Benutzerspeicher enthalten sind Bei der Anmeldung an der CA IdentityMinder Umgebung wird der Administrator mithilfe eines Verzeichnisses authentifiziert und ein anderes Verzeichnis berechtigt den Administrator Benutzer zu verwalten Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie eine CA IdentityMinder Umgebung so konfigurieren dass unterschiedliche Verzeichnisse f r Authentifizierung und Autorisierung verwendet werden So sch tzen Sie Ressourcen Designs f r unterschiedliche Benutzergruppen Ein Design ndert das Erscheinungsbild der Benutzerkonsole Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie festlegen dass unterschiedlichen Benutzergruppen unterschiedliche Designs angezeigt werden Um diese nderung durchzuf hren verwenden Sie zum Zuordnen eines Designs zu einer Benutzergruppe eine SiteMinder Antwort Die Antwort ist mit einer Regel in einer Richtlinie verkn pft die ein
294. ll auf Ja Klicken Sie auf den Stammknoten Computername der IIS Manager Struktur und klicken Sie auf ISAPI und CGl Einschr nkungen Klicken Sie im Bereich Aktionen auf Hinzuf gen und geben Sie die folgenden Werte ein m ISAPI oder CGI Pfad C plugin iisproxy dil m Beschreibung Weblogic m Aktivieren Sie das Kontrollk stchen Ausf hrung des Erweiterungspfads zulassen Klicken Sie auf den Stammknoten Computername der IIS Manager Struktur und klicken Sie auf ISAPI und CGlI Einschr nkungen W hlen Sie die Option Weblogic aus und klicken Sie auf der rechten Seite auf Featureberechtigungen bearbeiten Aktivieren Sie Nicht angegebene ISAPI Module zulassen und Nicht angegebene CGI Module zulassen Machen Sie das Gleiche f r Web Agent Doppelklicken Sie in der Ansicht Features der Standardwebsite auf Handlerzuordnungen Kapitel 12 Integration von CA SiteMinder 319 Installieren des Web Proxyserver Plug ins 20 21 22 23 24 25 26 27 28 29 30 31 32 Klicken Sie auf der Seite Handlerzuordnungen im Bereich Aktionen auf Skriptzuordnung hinzuf gen und f gen Sie die folgenden Werte hinzu m Anforderungspfad jsp m Ausf hrbare Datei iisproxy dil m Name JSP Klicken Sie auf Einschr nkungen Aktivieren Sie auf der Registerkarte Zuordnung die Option Handler nur bei folgender Zuordnung aufrufen Datei Klicken Sie auf OK Klicken
295. llen Die Umgebungsinformationen werden in eine ZIP Datei exportiert die Sie in eine andere Umgebung importieren k nnen Importieren einer CA IdentityMinder Umgebung Sie k nnen CA IdentityMinder Umgebunsgseinstellungen importieren um eine der folgenden Aufgaben auszuf hren m Sie verwalten mehrere Umgebungen mit hnlichen Einstellungen In diesem Fall erstellen Sie eine Umgebung mit den erforderlichen Einstellungen importieren diese Einstellungen in andere Umgebungen und passen dann die Einstellungen in jeder Umgebung nach Bedarf an m Sie migrieren eine Umgebung aus einem Entwicklungssystem in ein Produktionssystem m Sie aktualisieren eine vorhandene Umgebung nachdem Sie ein Upgrade auf eine neue Version von CA IdentityMinder durchgef hrt haben 208 Konfigurationshandbuch Verwalten von Umgebungen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Klicken Sie auf die Schaltfl che Importieren Das Fenster Umgebung importieren wird angezeigt Suchen Sie nach der entsprechenden ZIP Datei um eine Umgebung zu importieren Klicken Sie auf Fertig stellen Die Umgebung wird in CA IdentityMinder importiert Neustarten einer CA IdentityMinder Umgebung Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen
296. llen Sie dann einen besonderen CA IdentityMinder Benutzer der als Inbound Administrator Administrator f r Eingehendes bezeichnet wird erstellen Sie eine Verbindung mit dem Bereitstellungsserver und konfigurieren Sie die eingehende Synchronisierung im Bereitstellungsmanager Hinweis Immer wenn Sie die Bereitstellungseigenschaften f r eine Umgebung ndern muss der Anwendungsserver neu gestartet werden damit die nderungen wirksam werden Konfigurieren des Inbound Administrators Administrator f r Eingehendes Damit die eingehende Synchronisierung funktioniert erstellen Sie einen besonderen CA IdentityMinder Benutzer der als Inbound Administrator bezeichnet wird In fr heren Versionen von CA IdentityMinder wurde der Inbound Administrator als Corporate User bezeichnet Bei diesem Benutzerkonto meldet sich kein Benutzer an stattdessen wird es von CA IdentityMinder intern verwendet Erstellen Sie dieses Benutzerkonto dennoch und ordnen Sie ihm die entsprechenden Aufgaben zu Gehen Sie wie folgt vor 1 Melden Sie sich bei der CA IdentityMinder Umgebung als Benutzer mit der Rolle des Systemmanagers an 2 Erstellen Sie einen Benutzer Sie k nnen den Benutzer zur Erinnerung an seinen Zweck inbound nennen Kapitel 6 CA IdentityMinder Umgebungen 199 Konfigurieren einer Umgebung f r die Bereitstellung 200 Konfigurationshandbuch W hlen Sie Admin Rollen Admin Rolle ndern und anschlie end eine Rolle aus die die Au
297. ls directoryTemplates directory Hinweis admin_tools bezeichnet das Verzeichnis in dem die Verwaltungstools installiert sind und directory gibt den Namen des LDAP Anbieters an Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools Geben Sie im Fenster Verbindungsdetails die Verbindungsinformationen f r das LDAP Verzeichnis oder den Bereitstellungsserver die Verzeichnissuchparameter und Failover Verbindungsinformationen an und klicken Sie auf Weiter Kapitel 5 CA IdentityMinder Verzeichnisse 159 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten 160 Konfigurationshandbuch Legen Sie im Fenster Configure Managed Object Verwaltetes Objekt konfigurieren die zu konfigurierenden Objekte fest und klicken Sie auf Weiter Zur Auswahl stehen folgende Objekte m Konfigurieren des verwalteten Objekts der Benutzer m Configure Group Managed Object Auf Gruppenebene verwaltetes Objekt konfigurieren m Configure Organization Object Organisationsobjekt konfigurieren m Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen Hinweis W hlen Sie Show summary and deploy directory nur aus wenn Sie die Konfiguration des Verzeichnisses abgeschlossen haben a Zeigen Sie die strukturellen und zus
298. m Aktivieren Sie die berpr fung f r einige oder alle von Admin Aufgaben generierten CA IdentityMinder Ereignisse m Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf zum Beispiel wenn ein Ereignis abgeschlossen oder abgebrochen wird m Protokollieren Sie Informationen zu Attributen die an einem Ereignis beteiligt sind Sie k nnen zum Beispiel Attribute protokollieren die sich w hrend eines ModifyUserEvent Ereignisses ndern m Legen Sie die berpr fungsebene f r Ereignisse und Attribute fest Weitere Informationen Audit Daten siehe Seite 243 So konfigurieren Sie die berpr fung siehe Seite 243 Business Logic Task Handler Ein Business Logic Task Handler f hrt benutzerdefinierte Business Logic aus bevor eine CA IdentityMinder Aufgabe zur Verarbeitung bergeben wird Normalerweise validiert die benutzerdefinierte Business Logic die Daten Zum Beispiel kann ein Business Logic Task Handler die Mitgliedschaftsbeschr nkung einer Gruppe berpr fen bevor CA IdentityMinder der Gruppe ein Mitglied hinzuf gt Wenn die Gruppenmitgliedschaftsbeschr nkung erreicht wird zeigt der Business Logic Task Handler eine Meldung an die den Gruppenadministrator dar ber informiert dass das neue Mitglied nicht hinzugef gt werden konnte Sie k nnen die vordefinierten Business Logic Task Handler verwenden oder benutzerdefinierte Handler mithilfe der Business Logic Task Handler API erstellen Hinweis Weitere Information
299. m Bildschirm Verbindungsdetails zur ckzukehren Schaltfl che Weiter Klicken Sie hier um mit dem Bildschirm Attribute ausw hlen fortzufahren W hlen Sie zum Konfigurieren den Benutzer die Gruppe oder die Organisationsattribute 164 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Bildschirm Attribute ausw hlen Verwenden Sie dieses Fenster um Struktur oder Hilfsklassen f r Ihren Benutzer Ihre Gruppe oder Ihre Organisationsobjekte zu ndern oder hinzuzuf gen Dieses Fenster wird mit Werten vorkonfiguriert die auf gebr uchlichen Verzeichnisschemen und auf Best Practices f r den Verzeichnistyp basieren den Sie verwenden Ein Administrator kann die Strukturklasse ndern indem er eine neue Klasse aus dem Drop down Men ausw hlt Beim Ausw hlen aktualisiert eine Klasse die Tabelle mit Attributen die zur neuen Strukturklasse geh ren Eine Hilfsklasse kann hinzugef gt werden indem diese aus dem Drop down Men ausgew hlt wird Beim Ausw hlen aktualisiert eine Klasse die Tabelle mit Attributen die zur neuen Hilfsklasse geh ren Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Struktureller Klassenname Gibt die Strukturklasse des zu konfigurierenden Attributs an nderungs Schaltfl che Klicken Sie hier um die Strukturklasse zu ndern Kapitel 5 CA IdentityMinder Verzeichnisse 165 Erstellen von Verzeichnissen mi
300. m_im ear in ein Verzeichnis auf das der Weblogic Admin Server zugreifen kann Kapitel 9 Produktionsumgebungen 263 Migrieren der Datei iam_im ear f r WebSphere Ersetzen Sie die Verbindungsinformationen f r den Richtlinienserver Ersetzen Sie in der Datei iam_im ear die Datei policyserver_rar WEB INF ra xml durch die im Schritt 1 gespeicherte Datei Stellen Sie die Datei iam_im ear erneut bereit a Melden Sie sich an der WebLogic Konsole an b Wechseln Sie zu Deployments Bereitsellungen Application Anwendung IdentityMinder W hlen Sie auf der Registerkarte Deploy Bereitstellen die Option Deploy Re Deploy Application Anwendung erneut bereitstellen aus Migrieren der Datei iam_im ear f r WebSphere Gehen Sie wie folgt vor 1 264 Konfigurationshandbuch Kopieren Sie das Skript imsInstall jacl aus dem Verzeichnis was_im_tools_dir WebSphere tools in das Verzeichnis deployment_manager_dir bin Dabei gilt m was_im_tools_dir ist das Verzeichnis auf dem Entwicklungssystem in dem die CA IdentityMinder Tools f r WebSphere installiert sind m deployment_manager_dir ist das Verzeichnis in dem der Bereitstellungsmanager installiert ist Kopieren Sie auf dem Entwicklungssystem auf dem Sie die CA IdentityMinder Anwendung konfiguriert haben die Datei was_im_tools_dir Websphere tools imsExport bat oder imsExport sh in das Verzeichnis was_home bin Navigieren Sie in der Befehlszeile zu wa
301. men erstellt den Sie w hrend der Installation f r das Verbindungsobjekt angegeben haben Wenn Sie eine Verbindung mit einem vorhandenen SiteMinder Benutzerverzeichnis herstellen m chten geben Sie an der Eingabeaufforderung f r das Verbindungsobjekt den Namen dieses Benutzerverzeichnisses ein CA IdentityMinder f gt den angegebenen Namen in den Parameter userdirectory ein Wenn CA IdentityMinder und SiteMinder nicht integriert sind kann der Wert des Parameters userdirectory ein beliebiger Name sein den Sie f r die JDBC Verbindung mit dem Benutzerspeicher festlegen Hinweis Geben Sie keinen Namen f r die Benutzerverzeichnisverbindung in der Datei directory xml an CA IdentityMinder fordert Sie w hrend Erstellung des Verzeichnisses auf den Namen anzugeben Datenbankanmeldeinformationen Um eine Verbindung mit der Datenbank herstellen zu k nnen muss CA IdentityMinder g ltige Anmeldeinformationen an die Datenquelle bergeben Die Anmeldeinformationen werden im Element Credentials definiert das dem folgenden Beispiel entspricht lt Credentials user SMDirUser cleartext true gt MyPassword lt Credentials gt 140 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Wenn Sie im Credentials Element kein Kennwort angeben und versuchen das CA IdentityMinder Verzeichnis in der Management Konsole zu erstellen werden die Kennwortinformationen angefordert Hinweis Es wird empfohlen das Kennwort in der Man
302. mern hinzuzuf gen Kapitel 5 CA IdentityMinder Verzeichnisse 163 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Konfigurieren des Fensters der verwalteten Objekte Verwenden Sie dieses Fenster um ein zu konfigurierendes Objekt auszuw hlen Die folgende Liste steht f r die Felder in diesem Fenster Konfigurieren des verwalteten Objekts der Benutzer Beschreibt wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Configure Group Managed Object Auf Gruppenebene verwaltetes Objekt konfigurieren Beschreibt wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Configure Organization Managed Object Auf Organisationsebene verwaltetes Objekt konfigurieren Wenn der Benutzerspeicher Organisationen einschlie t wird hier beschrieben wie Organisationen gespeichert und in CA IdentityMinder dargestellt werden Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen Gibt an dass alle verwalteten Objekte definiert wurden und Sie das Verzeichnis bereitstellen m chten Nachdem Sie Zusammenfassung anzeigen ausgew hlt haben und das Verzeichnis bereitstellen klicken Sie Weiter Sie gelangen dann zu einer bersichtsseite Schaltfl che Speichern Klicken Sie hier um Ihre xml Datei zu speichern Schaltfl che Zur ck Klicken Sie hier um zum Modifizieren zu
303. min Benutzers zur Liste der Benutzer hinzu c Klicken Sie auf Weiter 8 berpr fen Sie die Einstellungen f r die Umgebung und f hren Sie die folgenden Aufgaben aus m Optional Klicken Sie zum ndern auf Vorherige m Klicken Sie auf Fertigstellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Der Ausgabebildschirm der Umgebungskonfiguration zeigt den Fortschritt der Umgebungserstellung an 9 Klicken Sie auf Fortfahren um den CA IdentityMinder Umgebungsassistenten zu verlassen 10 Starten Sie die CA IdentityMinder Umgebung Wenn Sie die NeteAuto Umgebung erstellen k nnen Sie folgendes tun m Erstellen Sie ein Design f r diese CA IdentityMinder Umgebung siehe Seite 39 m Greifen Sie auf die Umgebung zu siehe Seite 37 Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 29 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Das Konfigurieren des NeteAuto Beispiels ohne Organisations Support beinhaltet die folgenden Schritte Installieren der erforderlichen Software siehe Seite 22 Installieren der CA IdentityMinder Beispielumgebung Konfigurieren der Datenbank Erstellen der JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses Erstellen der NeteAuto CA IdentityMinder Umgebung Beschreibung der CA IdentityMinder Beispielumgebung F r Microsoft SQL Serve
304. mmanager Weist Systemmanager Rollen zu Gehen Sie wie folgt vor 1 204 Konfigurationshandbuch Wenn CA IdentityMinder einen SiteMinder Richtlinienserver Cluster verwendet beenden Sie alle bis auf einen Richtlinienserver Wenn Sie einen Cluster von CA IdentityMinder Knoten haben beenden Sie alle bis auf einen CA IdentityMinder Knoten Klicken Sie auf Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Verwalten von Umgebungen Klicken Sie auf den Namen der zu ndernden CA IdentityMinder Umgebung Das Fenster CA IdentityMinder Properties Eigenschaften wird mit den folgenden Eigenschaften angezeigt OID Gibt eine eindeutige Kennung f r die Umgebung an CA IdentityMinder generiert diese Kennung wenn Sie eine CA IdentityMinder Umgebung erstellen Sie verwenden die OID wenn Sie das Entfernen einer Aufgabe aus einer Aufgabenpersistenz Datenbank konfigurieren Weitere Informationen hierzu finden Sie im Installationshandbuch Name Gibt den eindeutigen Namen der CA IdentityMinder Umgebung an Beschreibung Gibt eine Beschreibung der CA IdentityMinder Umgebung an CA IdentityMinder Verzeichnis Gibt das CA IdentityMinder Verzeichnis an dem die Umgebung zugeordnet ist Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren Steuert wie viele Informationen CA IdentityMinder im Umgebungsprotokoll aufzeichnet und anzeigt wenn Sie ein
305. mmeln die nicht mehr ben tigt werden Um diese Datens tze zu entfernen f hren Sie die folgende Datenbankprozedur im Verzeichnis db auditing aus garbageCollectAuditingl25 environment name MM DD YYYY environment name Gibt den Namen der CA IdentityMinder Umgebung an TT MM JJJJ Gibt das Datum an vor dem berpr fungsdatens tze gel scht werden sollen 256 Konfigurationshandbuch Kapitel 9 Produktionsumgebungen Dieser Abschnitt enth lt ausf hrliche Funktionsbeschreibungen f r die Migration bestimmter Funktionskomponenten Stellen Sie sicher dass diese M glichkeit nur genutzt wird wenn in der Entwicklungsumgebung lediglich geringf gige nderungen vorgenommen wurden und diese nderungen bekannt sind Dieses Kapitel enth lt folgende Themen So migrieren Sie Admin Rollen und Aufgabendefinitionen siehe Seite 257 So migrieren Sie CA IdentityMinder Designs siehe Seite 259 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung siehe Seite 260 Migrieren der Datei iam _im ear f r JBoss siehe Seite 262 Migrieren der Datei iam im ear f r WebLogic siehe Seite 263 Migrieren der Datei iam im ear f r WebSphere siehe Seite 264 Migrieren von Workflow Prozessdefinitionen siehe Seite 266 So migrieren Sie Admin Rollen und Aufgabendefinitionen Sie k nnen CA IdentityMinder Rollen und Aufgaben an die spezifischen Anforderungen Ihres Unternehmens anpassen Diese Anpassungen beinhalten das
306. n der Wert in einen neuen Wert ge ndert wird m datasource Der auf dem Anwendungsserver konfigurierte JNDI Name f r die Datenquelle die auf die Audit Datenbank verweist Geben Sie den folgenden JNDI Namen an java auditDbDataSource Hinweis ndern und speichern Sie die XML Datei mit Auditeinstellungen damit die nderungen wirksam werden AuditEvent Element AuditEvent Elemente geben die zu berpr fenden Ereignisse an Verwenden Sie zum Anzeigen einer Liste von CA IdentityMinder Ereignissen pro Aufgabe die Anzeigeaufgabe in der Benutzerkonsole Das AuditEvent Element enth lt mehrere AuditProfile und AuditProfileAttribute Elemente In der Datenbank sind Mitglieds Administrator und Besitzerrichtlinien im kompilierten XML Format gespeichert Dieses Format unterscheidet sich von dem der Benutzeroberfl che an der jede Richtlinie als ein Ausdruckselement angezeigt wird Das AuditEvent Element beinhaltet die folgenden Parameter name Gibt den Namen des zu berpr fenden Ereignisses an Um ein Attribut f r alle Ereignisse zu berpr fen oder auszuschlie en geben Sie als Ereignisnamen ALL an Um zum Beispiel unabh ngig von dem Ereignis zu verhindern dass Kennw rter berpr ft werden geben Sie den folgenden Code an lt AuditEvent name ALL auditlevel gt lt AuditProfile objecttype User auditlevel gt lt AuditProfileAttribute name PASSWORD S auditlevel NONE gt lt AuditProfile gt lt AuditEv
307. n siehe Seite 88 Validierungsregeln siehe Seite 91 Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses siehe Seite 92 So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 96 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis beschreibt wie Objekte wie etwa Benutzer Gruppen und Organisationen im Benutzerverzeichnis gespeichert werden und wie diese in CA IdentityMinder dargestellt werden Ein CA IdentityMinder Verzeichnis ist einer oder mehreren CA IdentityMinder Umgebungen zugeordnet Kapitel 3 Verwaltung des LDAP Benutzerspeichers 47 So erstellen Sie ein CA IdentityMinder Verzeichnis So erstellen Sie ein CA IdentityMinder Verzeichnis Beim Erstellen eines CA IdentityMinder Verzeichnisses f r einen LDAP Benutzerspeicher sind die folgenden Schritte durchzuf hren 1 Festlegen der Verzeichnisstruktur 2 Beschreiben der Objekte im Benutzerspeicher durch ndern einer Verzeichniskonfigurationsdatei directory xm siehe Seite 53 3 Importieren der Verzeichniskonfigurationsdatei und Erstellen des Verzeichnisses siehe Seite 157 Hinweis berpr fen Sie bei der Verwendung von SiteMinder dass Sie vor dem Erstellen des CA IdentityMinder Verzeichnisses das Richtlinienspeicherschema angewendet haben Weitere Informationen zu spezifischen Richtlinienspeicherschemen und dar ber wie diese anzuwenden sind k nnen Sie dem Installationshandbuch entnehmen
308. n 64 Gehen Sie wie folgt vor 1 Installieren Sie den Web Agent auf IIS7 und konfigurieren ihn 2 Erstellen Sie einen Ordner mit dem Namen plugin auf dem Laufwerk C 3 Kopieren Sie die folgenden Dateien zum Ordner plugin m lisforward dll m lisproxy dll m iisproxy ini Sie finden diese Dateien unter lodimmaple ca com RegressionHarness thirdparty weblogic Weblogic_Proxy_Fil es_IIS7 318 Konfigurationshandbuch 10 11 12 13 14 15 16 17 18 19 Installieren des Web Proxyserver Plug ins Installieren Sie die Anwendungsentwicklungs und Verwaltungstools Rollendienste auf IIS7 ffnen Sie Inet Manager und w hlen Sie die Standardwebsite aus Klicken Sie auf Handlerzuordnungen Doppelklicken Sie auf Statische Datei und ndern Sie den Anforderungspfad in Klicken Sie auf die Schaltfl che Einschr nkungen Aktivieren Sie auf der Registerkarte Zuordnung die Option Handler nur bei folgender Zuordnung aufrufen Datei oder Ordner Klicken Sie im Dialogfeld Handlerzuordnungen in den Men optionen auf der rechten Seite auf Skriptzuordnung hinzuf gen Geben Sie die folgenden Werte ein m Anforderungspfad m Ausf hrbare Datei iisProxy dll m Name proxy Klicken Sie auf die Schaltfl che Einschr nkungen Deaktivieren Sie die Option Handler nur bei folgender Zuordnung aufrufen Klicken Sie in der Eingabeaufforderung ob diese IASPI Erweiterung erlaubt werden so
309. n Daten im Aufgabenfenster g ltig sind Validierungsregeln sind Profilattributen zugeordnet CA IdentityMinder stellt sicher dass die f r ein Profilattribut eingegebenen Daten alle zugeh rigen Validierungsregeln erf llen bevor eine Aufgabe verarbeitet wird Sie k nnen Validierungsregeln definieren und sie Profilattributen in der Verzeichniskonfigurationsdatei zuordnen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 91 Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Sie k nnen die folgenden zus tzlichen Eigenschaften konfigurieren m Sortierreihenfolge der Suchergebnisse m Suche ber mehrere Objektklassen um zu berpr fen dass ein neuer Benutzer nicht bereits vorhanden ist m Wartezeit um zu verhindern dass CA IdentityMinder vor Abschluss der Datenreplikation vom Master LDAP Verzeichnis zum Slave LDAP Verzeichnis das Zeitlimit berschreitet Konfigurieren der Sortierreihenfolge Sie k nnen ein Sortierungsattribut f r jedes verwaltete Objekt angeben z B f r Benutzer Gruppen oder Organisationen CA IdentityMinder verwendet dieses Attribut zum Sortieren der Suchergebnisse in benutzerdefinierter Business Logic die Sie mit den CA IdentityMinder APis erstellen Hinweis Das Sortierungsattribut wirkt sich nicht auf die Darstellung der Suchergebnisse in der Benutzerkonsole aus Wenn Sie zum Beispiel das cn Attribut f r das Benutz
310. n Ereignis Listenern finden Sie im Programmierhandbuch f r Java 230 Konfigurationshandbuch Identit tsrichtlinien Identit tsrichtlinien Eine Identit tsrichtlinie wendet einen Satz von Gesch fts nderungen auf Benutzer an die bestimmte Regeln oder Bedingungen erf llen Sie k nnen Identit tsrichtlinien f r die folgenden Aufgaben verwenden m Automatisieren bestimmter Identit tsmanagementaufgaben wie z B Zuweisen von Rollen und Gruppenmitgliedschaften Zuordnen von Ressourcen oder ndern von Attributen von Benutzerprofilen m Durchsetzen dass Pflichten getrennt werden Sie k nnen zum Beispiel eine Identit tsrichtlinie erstellen die verhindert dass Mitglieder der Rolle Scheckunterzeichner gleichzeitig die Rolle Scheckgenehmiger haben m Konformit t durchsetzen Sie k nnen zum Beispiel Benutzer berpr fen die einen bestimmten Titel haben und mehr als 100 000 verdienen Sie erstellen und verwalten Identit tsrichtliniens tze in der Benutzerkonsole Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch Bevor Sie Identit tsrichtlinien verwenden f hren Sie in der Management Konsole die folgenden Aufgaben aus m Aktivieren Sie Identit tsrichtlinien f r eine CA IdentityMinder Umgebung m Legen Sie die Rekursionsebene fest optional Logical Attribute Handler Mithilfe von logischen Attributen in CA IdentityMinder k nnen Sie Attribute eines Benutzerspeichers sogenannte
311. n Sie die iPlanet Konfigurationsdatei Starten Sie Ihre Webserver Instanz neu Installieren des Web Proxyserver Plug ins Konfigurieren des Proxy Plug ins f r Apache Das Konfigurieren des Apache Proxy Plug ins bearbeiten Sie die Datei http conf Gehen Sie wie folgt vor 1 Halten Sie den Apache Webserver an nachdem Sie einen Web Agenten unter Solaris installiert haben und kopieren Sie die Datei mod_wl_20 so vom folgenden Speicherort weblogic_home server lib solaris in apache_home modules Bearbeiten Sie die Datei http conf unter apache_home conf und nehmen Sie die folgenden nderungen vor a F gen Sie unter dem Lademodulabschnitt den folgenden Code hinzu LoadModule weblogic module modules mod_wl_20 so Bearbeiten Sie den Servernamen mit dem Namen des Apache Serversystems F gen Sie einen If Block am Ende der Datei hinzu wie folgt lt IfModule mod weblogic c gt WebLogicHost weblogic_server com WebLogicPort 7001 MatchExpression iam MatchExpression castylesr5 1 1 lt IfModule gt Speichern Sie die Datei http conf Starten Sie den Apache Webserver neu Kapitel 12 Integration von CA SiteMinder 325 Zuordnen des SiteMinder Agenten zu einer CA IdentityMinder Dom ne Zuordnen des SiteMinder Agenten zu einer CA IdentityMinder Dom ne Der Richtlinienadministrator f hrt diese Aufgabe aus nachdem er die CA IdentityMinder Aufgaben abgeschlossen hat W hrend Sie Ihre Umgebungen in CA
312. n Sie eine CA IdentityMinder Umgebung 22220000 02200nnnnenonnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnennsennnnnnn 261 So importieren Sie eine CA IdentityMinder Umgebung 222200s0202222nnnnnenonnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnsennnnnnn 262 So pr fen Sie die Migration einer CA IdentityMinder Umgebung u u0ssssssnnnnsennnnnnnnnnennnnnnnnennnnannnnnnnnnn 262 Migrieren der Datei iam_im ear f r JBOSS eeeeeseeecensenenennnnssnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnennennnnnnnsnnnnnnnnnnnsnsnsennnnnnnnsnsnsnnnn 262 Migrieren der Datei iam_im ear f r WebLogic uusseseseessennnnennennnnnnnnnnnnnnnnnnnnnnnnennennnnnnnnnnnnnnnnnnnennnnennennnnnnnennnnnn 263 Migrieren der Datei iam_im ear f r WebSphere uueesessssssssnsnsnennnnssnnnnnnnonnnnnnnnnnennennnnnnnnnnennnnnnnnnnsnsennanennnnnsnnnnnn 264 Migrieren von Workflow Prozessdefinitionen uusu00022222sssnnnennnnnsnnnnnnnunnnnnnnnnennennnnnnnnnnnnnnnnnnsnsnnnnanonnnnnsnsnnnn 266 Exportieren von Prozessdefinitionen uusseseessensnnnsnenenannnennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnonnnnnsnsnnnnnnnnnnnenn 266 Importieren von Prozessdefinitionen uusuesesssensnsnseenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnsnononnnsnsnsnsnnnennnnnnnn 267 Kapitel 10 CA IdentityMinder Protokolle 269 So verfolgen Sie Probleme in CA IdentityMinder uuueseneesssssssnenensnsnsnnnnennnnnnnennnnnnnonnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnennnne
313. n Sie im unteren Bereich des Fensters auf Speichern Konfigurieren Sie die Synchronisierung im Bereitstellungsmanager siehe Seite 201 Konfigurieren der Synchronisierung im Bereitstellungsmanadger Eingehende Synchronisierung h lt CA IdentityMinder im Hinblick auf nderungen auf dem Laufenden die im Bereitstellungsverzeichnis auftreten Zu den nderungen geh ren diejenigen die mithilfe des Bereitstellungsmanagers vorgenommen wurden und nderungen in Endpunkten f r die der Bereitstellungsserver einen Connector hat Jeder Bereitstellungsserver unterst tzt eine einzelne Umgebung Sie k nnen jedoch Sicherungsumgebungen auf unterschiedlichen Systemen in einem Cluster konfigurieren falls die aktuelle Umgebung nicht verf gbar ist Kapitel 6 CA IdentityMinder Umgebungen 201 Konfigurieren einer Umgebung f r die Bereitstellung Gehen Sie wie folgt vor 1 2 3 10 11 W hlen Sie Start CA Identity Manager Bereitstellungsmanager Klicken Sie auf System CA IdentityMinder Setup Geben Sie im Feld Hostname den Namen des Systems an auf dem der CA IdentityMinder Server installiert ist Geben Sie im Feld Port die Portnummer des Anwendungsservers ein Geben Sie im Feld Environment name Umgebungsname den Alias f r die Umgebung ein W hlen Sie Gesicherte Verbindung aus wenn Sie das HTTPS Protokoll f r die Kommunikation mit dem CA IdentityMinder Server verwenden m chten statt das HTTP Protokoll
314. n Umgebung Die folgenden Werte sind g ltig True Die berpr fung ist f r diese Umgebung aktiviert False Es erfolgt keine berpr fung f r diese Umgebung Hinweis Geben Sie die Werte true oder false in Kleinbuchstaben an Kapitel 8 berpr fung 245 So konfigurieren Sie die berpr fung AuditlLevel Werte auditlevel Kennzeichnet die Art von Informationen die f r an der Aufgabe oder dem Ereignis beteiligte Attribute aufgezeichnet werden Die f r das Audit Element angegebene Auditebene wird auf alle Attribute angewandt wenn in den Elementen AuditEvent siehe Seite 247 AuditProfile oder AuditProfileAttribute keine andere Auditebene definiert ist In diesen Elementen festgelegte Auditebenen berschreiben die im Audit Element definierten Auditebenen datasource Gibt den Namen der Datenquelle f r die Audit Datenbank an Dieser muss mit einem der folgenden Werte bereinstimmen iam im jdbc auditDbDataSource Weitere Informationen zur Audit Datenbank finden Sie im Installationshandbuch Die folgenden Werte sind f r AuditLevel g ltig 246 Konfigurationshandbuch NONE Es werden keine Attributinformationen aufgezeichnet OLD F r nderungsereignisse zeichnet CA IdentityMinder den Wert des Attributs vor dem nderungsereignis auf CA IdentityMinder berpr ft das Attribut unabh ngig davon ob das Ereignis sich direkt auf den Wert auswirkt F r andere Ereignistypen wie CreateUserEvent wer
315. n dem in der folgenden Tabelle angegebenen Verzeichnis Standort C Programme CA ldentity Manager IAM Suite ldentity Manager tools samples ConnectorConfiguration windows IIS_JBoss Sun Java System Webserver auf opt CA IdentityManager lAM_Suite Identity_Manager tools samples Co einem Solaris System nnectorConfiguration solaris lplanet_JBoss Apache Webserver auf einem opt CA IdentityManager lAM_Suite Identity_Manager tools samples Co Solaris System nnectorConfiguration solaris apache_JBoss Installieren und Konfigurieren eines JBoss Anwendungs Plug ins IIS 7 0 und IIS7 5 Dieser Vorgang beschreibt die Konfiguration des JBoss Apache Plug ins ab IIS 7 0 Gehen Sie wie folgt vor 1 Stellen Sie ISAPI Filter auf dem Dateisystem bereit und aktualisieren Sie sie Stellen Sie den ISAPI Ordner im Stammverzeichnis des Laufwerks C bereit 2 Bearbeiten Sie die Datei jakarta reg im entpackten Ordner Wenn Sie den ISAPI Ordner im Stammverzeichnis von C platziert haben ndern Sie diese Datei nicht Wenn Sie sie in einem anderen Ordner abgelegt haben geben Sie diesen Ordner in den Zeilen 9 11 und 12 an 3 Speichern Sie Ihre nderungen und doppelklicken Sie dann um die Registrierung zu aktualisieren 4 Bearbeiten Sie die Datei workers properties durch das Angeben des Speicherorts Ihres JBoss Anwendungsservers Der Port und Typ m ssen nicht ge ndert werden 5 Installieren Sie IIS7 oder IIS7 5 unter Windows 2008 31
316. n die Datenquelle in der Weblogic Verwaltungskonsole Hinweis Ausf hrliche Informationen ber Weblogic Verbindungspools finden Sie in der Dokumentation zu Oracle WebLogic 11 Gehen Sie wie folgt vor 1 Erstellen Sie in der WebLogic Verwaltungskonsole eine JDBC Datenquelle mit den folgenden Parametern Name User Store Data Source JNDI Name userstore 2 Erstellen Sie den Verbindungspool f r die Datenquelle mit den folgenden Informationen Kapitel 4 Verwaltung relationaler Datenbanken 111 So erstellen Sie eine JDBC Datenquelle m Verwenden Sie f r SQL Server 2005 Datenbanken die folgenden Werte URL jdbc salserver db_systemName 1433 Treiberklassenname com microsoft sqlserver jdbc SQLServerDriver Eigenschaften user username databaseName user store name selectMethod cursor Kennwort password m Verwenden Sie f r Oracle Datenbanken die folgenden Werte URL jdbc oracle thin tp_db_systemname 1521 oracle_SID Treiberklassenname oracle jdbc driver OracleDriver Eigenschaften user username Kennwort password Legen Sie nach der Konfiguration als Ziel f r den Pool die Serverinstanz wI_server_name fest berpr fen Sie nach der Bereitstellung des Pools in der Konsole ob Fehler aufgetreten sind Hinweis M glicherweise wird ein Fehler angezeigt demzufolge f r einen nicht vorhandenen Pool die Datenquelle nicht erstellt werden konnte Um diesen Fehler zu beheben starten Sie WebLogic neu WebSphere Datenquellen
317. n wir an der Wert f r das Attribut maxpagesize in der Datei directory xml ist gr er als oder gleich 1000 In diesem Fall zeigt CA IdentityMinder keine Warnung an wenn die Anzahl der Suchergebnisse die maximale Zeilenanzahl in der Datei directory xml berschreitet Administratoren die die Suche ausf hren wissen daher nicht dass einige Suchergebnisse fehlen Um dieses Problem zu vermeiden stellen Sie sicher dass der Wert des Attributs maxpagesize f r das Verzeichnis und jedes verwaltete Objekt kleiner ist als der Wert f r MaxPageSize in Active Directory Nehmen Sie an Sie erstellen ein CA IdentityMinder Verzeichnis mithilfe der Vorlagendatei directory xml die zusammen mit CA IdentityMinder 12 5 SP7 oder h her installiert wird In diesem Fall m ssen Sie keine zus tzlichen Schritte f r die Paging Unterst tzung ausf hren Das Attribut maxpagesize in directory xml wird standardm ig festgelegt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 101 So verbessern Sie die Leistung von Verzeichnissuchen Wenn Sie jedoch einem vorhandenen CA IdentityMinder Verzeichnis Paging Unterst tzung hinzuf gen muss das Attribut maxpagesize in directory xml kleiner sein als 1000 Wenn das Active Directory Attribut MaxPageSize den Wert 1000 hat m ssen Sie darauf achten dass Sie das Attribut maxpagesize f r das CA IdentityMinder Verzeichnis und alle verwalteten Objekte entsprechend festlegen 102 Konfiguratio
318. nagedConnectionPool getConnection InternallfanagedConnectionPool java 264 at org jboss resource connectionmanager JBossManagedConnectionPool BasePool getConnection JBossManagedConnectionPool java 575 at org jboss resource connectionmanager BaseConnectionManager2 getManagedConnection BaseConnectionllanager2 java 347 at org jboss resource connectionmanager TxConnectionManager getManagedConnection TxConnectionManager java 330 at org jboss resource connectionmanager BaseConnectionManager2 allocateConnection BaseConnectionManager2 java 402 at org jboss resource connectionmanager BaseConnectionNanager2 ConnectionManagerProxy allocateConnection BaseConnectionManager2 java 849 328 Konfigurationshandbuch Fehlerbehebung Gehen Sie wie folgt vor 1 berpr fen Sie den in ra xml angegebenen Hostnamen lt config property gt lt config property gt lt config property name gt ConnectionURL lt config property name gt lt config property type gt java lang String lt config property type gt GEONEIGEPEOBEFEN VAINESnserver Lorwardino ca 44441 44442 44413RJESEIGEREBBEFEGEVEINES lt config property gt lt ceonfig property gt lt raanf in nranertv name gt MserName lt eanfins nranertv name gt 2 Geben Sie in der Eigenschaft ConnectionURL Ihren SiteMinder Richtlinienserver Hostnamen an Verwenden Sie einen voll qualifizierten Namen FQN Falscher Admin Name Symptom Falscher Admin Name L sung Wird
319. nd aktiviert werden m Internet Informationsdienste Verwaltungstools m IIS Version 6 0 Management Kompatibilit t IIS Version 6 0 Management Konsole IIS Version 6 0 Skriptingtools IIS Version 6 0 WMI Kompatibilit t und IIS Metabasiskompatibilit t m Anwendungsentwicklung ISAPI Erweiterungen ISAPI Filter Klicken Sie auf Weiter um die ausgew hlten Optionen zu aktivieren und dann im n chsten Fenster auf Installieren um die Installation auszuf hren Klicken Sie im Fenster mit dem Installationsergebnis auf Schlie en sobald die Installation abgeschlossen ist ffnen Sie die Eingabeaufforderung und wechseln Sie zu Programme IBM WebSphere AppServer profiles Dmgr01 bin F hren Sie diesen Befehl aus GenPluginCfg bat Die plugin cfg xml Datei wird an diesem Speicherort generiert C Programme IBM WebSphere AppServer profiles Dmgr01 config cells Erstellen Sie ein Verzeichnis unter c zum Beispiel c plugin Kopieren Sie die Datei plugin cfg xml in das Verzeichnis c plugin 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Installieren des Web Proxyserver Plug ins Kopieren Sie iisWASPlugin_http dll in das Verzeichnis c plugin Klicken Sie auf einem Windows Server 2008 Betriebssystem auf Start Programme Verwaltung Internet Information Services IIS Manager Diese Aktion startet die IIS Anwendung und erstellt f r die Website Instanz ein neu
320. nd maximale Zeilenanzahl siehe Seite 97 um zu bestimmen wie CA IdentityMinder gro e Suchen verarbeitet Optimieren Sie das Benutzerverzeichnis Weitere Informationen finden Sie in der Dokumentation zum verwendeten Benutzerverzeichnis So verbessern Sie die Leistung von Verzeichnissuchen So verbessern Sie die Leistung von gro en Suchen Wenn CA IdentityMinder einen gro en Benutzerspeicher verwaltet reicht bei Suchen die viele Ergebnisse zur ckgeben der Systemspeicher m glicherweise nicht aus Um Speicherprobleme zu vermeiden k nnen Sie Beschr kungen f r gro e Suchen definieren Die beiden folgenden Einstellungen bestimmen wie CA IdentityMinder gro e Suchen verarbeitet m Maximale Zeilenanzahl Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutzerverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt m Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie beim Angeben der Seitengr e die folgenden Punkte Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigu
321. nd zugeordneten Endpunktbenutzerkonten Wenn also ein Benutzer der Bereitstellungsrollen hat in CA IdentityMinder erstellt oder ge ndert wird wird der Bereitstellungsbenutzer so eingerichtet dass er Kennwort nderungen von Endpunktkonten zul sst Hinweis Wenn Sie diese Funktion in der Management Konsole aktivieren lassen alle Benutzer in der Umgebung Kennwort nderungen von Endpunktkonten zu So aktivieren Sie die Kennwortsynchronisierung 1 W hlen Sie in der Management Konsole Advanced Settings Erweiterte Einstellungen und Provisioning Bereitstellung aus 2 Aktivieren Sie Enable Password Changes from Endpoint Accounts Kennwort nderungen auf Endpunktkonten aktivieren 3 Klicken Sie auf Speichern 4 Starten Sie den Anwendungsserver neu Zuordnungen von Attributen Attributzuordnungen ordnen die Benutzerattribute in mit der Bereitstellung verkn pften Admin Aufgaben wie Bereitstellung Benutzer erstellen den entsprechenden Attributen im Bereitstellungsserver zu Ein einzelnes Bereitstellungsattribut kann mehreren Attributen im CA IdentityMinder Benutzerspeicher zugeordnet werden F r die Attribute in den Standardaufgaben sind Standardzuordnungen vorhanden die im Abschnitt f r eingehende Zuordnungen aufgef hrt sind Wenn Sie eine dieser Admin Aufgaben ndern sodass diese andere Attribute verwendet m ssen Sie ggf die Attributzuordnungen aktualisieren Eingehende Zuordnungen Eingehende Zuordnungen
322. nder Richtlinienspeichers in Schritt 1 dieses Verfahrens notiert haben Wenn zum Beispiel die GUID Zeichenfolge CN 39BC711D 7F27 4311 B6C0 68FDEE2917B8 ist dann ersetzen Sie jeden Verweis auf en guid durch CN 39BC711D 7F27 4311 B6C0 68FDEE2917B8 Speichern Sie die Datei F gen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu Konfigurieren von CA Directory Server Um CA Directory Server zu konfigurieren erstellen Sie eine benutzerdefinierte Schemadatei In den nachfolgenden Schritten ist dxserver_home das Verzeichnis in dem CA Directory installiert ist Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas eTrustDirectory Gehen Sie wie folgt vor 1 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Kopieren Sie die Datei etrust_ims8 dxc in das Verzeichnis dxserver_home config schema Kapitel 12 Integration von CA SiteMinder 293 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder 294 Konfigurationshandbuch Erstellen Sie wie folgt eine benutzerdefinierte Schemakonfigurationsdatei a Kopieren Sie die Datei dxserver_home config schema default dxg nach dxserver_home config schema company
323. nder einen gro en Benutzerspeicher verwaltet reicht bei Suchen die viele Ergebnisse zur ckgeben der Systemspeicher m glicherweise nicht aus Die beiden folgenden Einstellungen bestimmen wie CA IdentityMinder gro e Suchen verarbeitet Maximale Zeilenanzahl Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutzerverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Wenn der Benutzerspeicher kein Paging unterst tzt und ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder nur den Wert f r maxrows zum Steuern der Suchgr e Kapitel 4 Verwaltung relationaler Datenbanken 155 So verbessern Sie die Leistung von Verzeichnissuchen Sie k nnen die maximale Zeilenanzahl und Seitengr e an den folgenden Positionen konfigurieren Benutzerspeicher In den meisten Benutzerspeichern und Datenbanken k nnen Sie Beschr nkungen f r die Suche konfigurieren Hinweis Weitere Informationen finden Sie in der Dokumentation zu dem verwendeten Benutzerspeicher oder zu der verwendeten Datenbank CA IdentityMinder Verzeichnis Sie k nnen das DirectorySearch Element siehe Seite 58 in der verwend
324. ndet wurde Dies kann f r R ckw rtskompatibilit t verwendet werden oder wenn keine dynamischen Schl ssel f r den jeweiligen Algorithmus definiert sind Verschl sselte Informationen Die folgenden CA IdentityMinder Informationen werden verschl sselt Kennw rter in der Datenquellenkonfiguration f r Jboss Informationen zum Wiederherstellen vergessener Kennw rter Geheimer Wert f r Bereitstellungsserver R ckruf Workflow Sitzungsinformationen Richtlinienserver Verbindungsinformationen FIPS Modus Protokollierung Die folgenden CA Identity Manager Komponenten zeigen in Protokolldateien an ob der FIPS Modus aktiviert ist Identity Manager Server Bereitstellungsserver Anhang A FIPS 140 2 Kompatibilit t 375 FIPS Modus Protokollierung m C Connector Server m Java Connector Server m Bereitstellungs Manager m Agent f r die Kennwortsynchronisierung In allen F llen endet der Protokolleintrag der anzeigt dass der FIPS Modus aktiviert ist mit der folgenden Zeichenfolge FIPS 140 2 MODE ON 376 Konfigurationshandbuch Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate SHA 2 SSL Zertifikat Hashing ist ein kryptografischer Algorithmus der vom National Institute of Standards and Technology NIST und der National Security Agency NSA entwickelt wurde SHA 2 Zertifikate sind sicherer als alle vorherigen Algorithmen In CA IdentityMinder k nnen Sie SHA 2 signierte SS
325. nen f r den Richtlinienserver sodass diese die Produktionsumgebung widerspiegeln Um diese nderung durchzuf hren kopieren Sie die Datei iboss_home server default iam_im ear policyserver_rar META INF ra xml aus der Produktionsumgebung in die Datei iam_im ear Ersetzen Sie wie folgt die installierte Datei iam_im ear durch die Kopie der Datei jam_im ear aus der Entwicklungsumgebung a L schen Sie auf dem Produktionsserver die Datei iam_im ear cluster_node_jboss_home server default deploy iam_im ear b Ersetzen Sie die gel schte Datei durch die bearbeitete Kopie der Datei jam_im ear aus der Entwicklungsumgebung Wiederholen Sie diese Schritte f r jeden Knoten im Cluster Migrieren der Datei iam_im ear f r WebLogic Sie m ssen die Datei iam_im ear jedes Mal erneut bereitstellen wenn Funktionen von der Entwicklungsumgebung auf die Produktionsumgebung migriert werden Durch die Migration der gesamten EAR Datei stellen Sie sicher dass die Entwicklungsumgebung mit der Produktionsumgebung identisch ist Gehen Sie wie folgt vor 1 Behalten Sie die Verbindungsinformationen f r den Richtlinienserver bei Die Verbindungsinformationen f r den Richtlinienserver werden in der Datei ra xml im Verzeichnis policyserver_rar WEB INF gespeichert Kopieren Sie diese Datei in ein anderes Verzeichnis sodass diese in der Datei iam_im ear vor der erneuten Bereitstellung ersetzt werden kann Kopieren Sie die Datei ia
326. nen Sie dem Abschnitt So verbessern Sie die Leistung bei gro en Suchen siehe Seite 97 entnehmen m Wenn der Benutzerspeicher kein Paging unterst tzt und auch ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder ausschlie lich den maxrows Wert um die Suchgr e zu steuern Verbindungszeitlimit Gibt die maximale Anzahl an Sekunden an die CA IdentityMinder in einem Verzeichnis sucht bevor die Suche beendet wird Hinweis Das DirectorySearch Element ist optional Wenn das Verzeichnis allerdings Paging siehe Seite 97 unterst tzt wird empfohlen das DirectorySearch Element anzugeben Weitere Informationen So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 96 So verbessern Sie die Leistung von gro en Suchen siehe Seite 97 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 59 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte In einem CA IdentityMinder verwalten Sie die folgenden Typen von Objekten die den Eingaben in einem Benutzerverzeichnis entsprechen Benutzer Diese repr sentieren die Benutzer in einem Unternehmen Ein Benutzer geh rt zu einer einzelnen Organisation Gruppen Diese repr sentieren Verbindungen von Benutzern die etwas gemeinsam haben Organisationen Diese repr sentieren Business Units Organisationen enthalten Details zu Benutzern Gruppen oder ande
327. nen SiteMinder Agent installiert haben 2 Entpacken Sie den Inhalt von idmlogin zip in Ihrem Webstammverzeichnis 3 Das Formular ist ohne Bearbeitungen funktionsf hig au er den Links f r Registrierung und Kennwort zur cksetzen 4 Bearbeiten Sie login fcc durch Aktualisierung der Zeilen 153 und 161 mit Ihrem Server FON und Aufgaben Tags 5 Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Klicken Sie auf die Registerkarte Infrastruktur Authentifizierung blenden Sie das Authentifizierungsschema ein und klicken Sie dann auf Authentifizierungsschema erstellen 6 Erstellen Sie ein neues Objekt 7 Geben Sie einen Namen f r das neue Formular ein Verwenden Sie als Typ die HTML Formularvorlage Geben Sie den Webserver an der das Formular hostet sowie den richtigen Port 8 Verweisen Sie auf das Ziel idmlogin login fcc Klicken Sie dann auf Senden 9 Aktualisieren Sie das Authentifizierungsschema f r den Bereich 10 Navigieren Sie zu XXX_ims_realm und w hlen Sie Ihr neues Authentifizierungsschema aus Importieren von Datendefinitionen in den Richtlinienspeicher Sie k nnen den Zugriff eines Benutzers auf Anwendungsfunktionen mithilfe von SiteMinder Richtlinien steuern Die Richtlinienserver Installation schlie t die erforderlichen Datendefinitionen ein um diese Steuerung zu erm glichen Importieren Sie die Datei IdmSmObjects xdd von diesem Speicherort siteminder_home xps dd siteminder
328. nennnnnnnnnnnnnnnennnnnnnnnnennnnnnnnnnnnennennnnnnnennnnnn ndern der Richtlinienserver Verbindungseinstellungen Hinzuf gen von mehreren Richtlinienservern Ausw hlen von Lastenausgleich oder Failover Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung 222002000neneeenennnne 341 SiteMinder Vorgang En acer ern len east anne Ea eE AE a EARANN EAEE EEEN AREER 341 Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizier ngsschemaS miniin e a aa a a a ade E EEA AA a A AE aa AEEA EEEa 342 Importieren von Datendefinitionen in den Richtlinienspeicher ssesssesssssesseesersessserserrsssesrrerersesseerrersessesreee 344 Inhalt 11 Planen von Zugriffsr llenis easssanssseeseessnn seen net E AEEA E AEE EATE EE NEE a EE 345 Konfigurieren des LogOf URI ueeeeeseesssnssnesnennnnsensnnnnnonnnnnnnnnnnnnonnnnnnnsnnnnnnnunnnnnnnnnnnnnennnnnsnnnnsnnnnnnnnnsnsnsennnnnnnennn 360 Aliasnamen in SiteMinder Bereichen ususssssssensennnennennnnennnnnnnnnnnnnnnnnnnsnnnnnnnnnnennnennnnnsnensnsnnnennnsnnensnsnnnnnn 362 ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels uunnneeeeeeeeeenenennennnn 363 Konfigurieren einer CA IdentityMinder Umgebung zur Verwendung von unterschiedlichen Verzeichnissen f r Authentifizierung und Autorisierung ussssssnsssssnennesnnnnnnnnnnnnnnnnnennnnnsnnnsnnnnnnnnnsonnnnnsnnnnnn 365 So verbessern
329. nfig Xpress Die Installationsdateien f r Config Xpress sind auf dem Installationslaufwerk enthalten aber das Tool ist nicht installiert F r Config Xpress gelten die folgenden Softwarevoraussetzungen CA ldentityMinder r12 0 und h her m indows Betriebssystem m Adobe Air Laufzeitumgebung m PDF Reader f r die Anzeige von Berichte Gehen Sie wie folgt vor 1 Laden Sie die Adobe Air Laufzeitumgebung von http get adobe com air herunter und installieren Sie sie 2 Stellen Sie sicher dass die Verwaltungstools installiert sind 3 Suchen Sie im folgenden Verzeichnis nach der Installationsdatei f r Config Xpress C Programme CA Identity Manager IAM Suite Identity Manager tools ConfigXpress 4 F hren Sie Config Xpress air aus um Config Xpress zu installieren 5 Wenn die Installation abgeschlossen ist wird Config Xpress gestartet 212 Konfigurationshandbuch Verwalten von Konfigurationen Laden einer Umgebung in Config Xpress Um Config Xpress verwenden zu k nnen m ssen Sie mindestens eine Umgebung in das Tool laden Diese Aufgabe erm glicht es Ihnen mit der Umgebung in Config Xpress zu arbeiten Sie k nnen eine Umgebung direkt von einem CA IdentityMinder Live Server in Config Xpress laden oder Sie k nnen sie aus einer Umgebungsdatei laden Wenn Sie eine der Baseline Umgebungsdateien verwenden die mit Config Xpress installiert werden k nnen Sie Ihre Umgebung mit der standardm igen Konfiguration ve
330. nfigurationshandbuch Verwalten von Umgebungen Importieren von benutzerdefinierten Bereitstellungsrollen Wenn Sie die Umgebung erstellen k nnen Sie die Standardrollen oder eine benutzerdefinierte Rollendefinitionsdatei verwenden die Sie erstellen Wenn Sie benutzerdefinierte Rollendefinitionen importieren importieren Sie auch die Rollendefinitionen die ausschlie lich f r die Bereitstellung gelten Nachdem Sie die Umgebung erstellt haben importieren Sie die Rollendefinitionen aus der Datei ProvisioningOnly RoleDefinitions xml die sich in einem der folgenden Ordner befindet admin tools ProvisioningOnlyRoleDefinitions Organization admin tools ProvisioningOnlyRoleDefinitions NoOrganization Der Standardspeicherort f r admin_tools ist m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen Um die Bereitstellung f r eine CA IdentityMinder Umgebung zu aktivieren importieren Sie eine Konfigurationsdatei namens ProvisioningOnly RoleDefinitions xml die die Rollen und Aufgaben f r die Benutzereinrichtung erstellt In dieser Datei ist die Standardeinstellung der Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen deaktiviert Bevor Sie die Bereitstellung aktivieren ist die Synchronisierungseinstellung auf Bei Abschluss der Aufgabe gesetzt Um durch
331. ng des LDAP Benutzerspeichers 71 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Datenklassifizierungs Attribute Das Datenklassifizierungs Element bietet eine Methode f r das Zuordnen von zus tzlichen Eigenschaften zu einer Attributbeschreibung Die Werte in diesem Element legen fest wie CA IdentityMinder das Attribut verarbeitet Dieses Element unterst tzt die folgenden Parameter 72 Konfigurationshandbuch sensitive Hat zur Folge dass CA IdentityMinder das Attribut als Reihe von Sternchen in den Fenstern Gesendete Aufgaben anzeigen anzeigt Dieser Parameter verhindert dass alte und neue Werte f r das Attribut in den Fenstern Gesendete Aufgaben anzeigen als Klartext angezeigt werden Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsole erstellen verhindert dieser Parameter au erdem dass das Attribut zum neuen Benutzer kopiert wird vst_hide Blendet das Attribut im Fenster Ereignisdetails auf der Registerkarte Gesendete Aufgaben anzeigen aus Im Gegensatz zu vertraulichen Attributen die als Sternchen angezeigt werden werden vst_hidden Attribute nicht angezeigt Sie k nnen diesen Parameter verwenden damit nderungen an einem Attribut beispielsweise dem Gehalt nicht im Fenster Gesendete Aufgaben anzeigen angezeigt werden ignore_on_copy Hat zur Folge dass CA IdentityMinder ein Attribut ignoriert wenn ein Administrator eine Kopie eines Objekts in der
332. ng hinzugef gt wird Beispiel http server yourcompany org iam im alias Ein Alias der der URL f r den Zugriff auf ffentliche Aufgaben zum Beispiel Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennw rter hinzugef gt wird Beispiel http server yourcompany org iam im public_alias index js p task tag SelfRegistration Hinweis Wenn Ihre Umgebung keine ffentlichen Aufgaben einschlie t ist es nicht erforderlich einen ffentlichen Alias anzugeben Wenn Sie einen ffentlichen Alias angegeben haben der Name eines vorhandenen Benutzers der als ffentlicher Benutzer fungiert CA IdentityMinder verwendet beim Zugriff auf ffentliche Aufgaben anstelle der Anmeldeinformationen des Benutzers die Anmeldeinformationen des ffentlichen Benutzers Name von CA IdentityMinder siehe Seite 103 192 Konfigurationshandbuch Erstellen einer CA IdentityMinder Umgebung Arbeitsblatt f r die Konfiguration einer CA IdentityMinder Umgebung Erforderliche Informationen Wert Der Name des Bereitstellungsverzeichnisses wenn die CA IdentityMinder Umgebung die Bereitstellung unterst tzt Die eindeutige Kennung f r einen vorhandenen Benutzer der die CA IdentityMinder Umgebung verwaltet Zum Beispiel MeinAdmin Der Name des SiteMinder Agenten oder der Agentengruppe der bzw die die CA IdentityMinder Umgebung sch tzt wenn CA IdentityMinder mit SiteMinder integriert wird Erstellen einer CA Ident
333. ng kann nicht erstellt werden Symptom Es kann kein CA IdentityMinder Verzeichnis oder Umgebung erstellt werden wenn SiteMinder Integration aktiviert ist L sung Dieses Problem kann von einer fehlenden Eingabe in der Registrierung verursacht werden berpr fen Sie dass die folgende Registrierungseinstellung auf dem SiteMinder Richtlinienserver Rechner vorhanden ist m Solaris oder Linux berpr fen Sie dass die folgende Eingabe in sm registry vorhanden ist ImsInstalled 8 0 REG_SZ m Windows berpr fen Sie dass ImsInstalled 8 0 REG_SZ am folgenden Speicherort vorhanden ist HKLM SOFTWARE Netegrity SiteMinder CurrentVersion Hinweis Wenn der Registrierungspfad Netegrity SiteMinder CurrentVersion nicht vorhanden ist erstellen Sie ihn manuell Wenn Sie die Registrierung ndern m ssen Sie den Richtlinienserver neu starten damit die nderungen in Kraft treten Wichtig Bevor Sie die Registrierung ndern f hren Sie eine vollst ndige Systemsicherung aus 336 Konfigurationshandbuch So konfigurieren Sie CA IdentityMinder Agent Einstellungen Benutzer kann sich nicht anmelden Symptom Ein neuer Benutzer kann sich nicht in einer Umgebung mit einem Klartextkennwort anmelden L sung berpr fen Sie dass die folgende Datenklassifizierung nicht in die Kennwortattributdefinition in der Verzeichniskonfigurationsdatei directory xml eingeschlossen ist lt DataClassification name AttributeLev
334. ng zu verbessern indizieren Sie LDAP Attribute die in Suchanfragen in der Benutzerkonsole verwendet werden m Ein bekanntes Attribut siehe Seite 79 Wenn Sie ein bekanntes Attribut bereitstellen berechnet CA IdentityMinder den Wert automatisch Zum Beispiel bestimmt CA IdentityMinder nach dem Angeben des bekannten Attributs ORG_MEMBERSHIP basierend auf dem DN einer Eingabe jene Organisation zu der die Eingabe geh rt Beschreibung Enth lt die Beschreibung des Attributs 66 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte displayName Gibt einen eindeutigen Namen f r das Attribut an In der Benutzerkonsole wird der Anzeigename in der Liste der verf gbaren Attribute angezeigt die einem Aufgabenfenster hinzugef gt werden k nnen Dieser Parameter ist erforderlich Hinweis Sie d rfen den Anzeigenamen eines Attributs in der Verzeichniskonfigurationsdatei directory xmi nicht ndern Um den Namen des Attributs in einem Aufgabenfenster zu ndern geben Sie in der Aufgabenfensterdefinition eine Bezeichnung f r das Attribut an Weitere Informationen finden Sie im Administrationshandbuch valuetype Gibt den Datentyp des Attributs an Die folgenden Werte sind g ltig Zeichenfolge Der Wert kann eine beliebige Zeichenfolge sein Dies ist der Standardwert Integer Der Wert muss eine Ganzzahl sein Hinweis Der Parameter Integer unterst tzt keine Dezimalzahlen Number
335. ngsserver Zugriff Kennwort Gibt das Kennwort f r das Benutzerkonto an das Sie im Benutzernamen f r relationale Datenbanken oder Benutzer DN Feld angegeben haben f r LDAP Verzeichnisse Kennwort best tigen Geben Sie das in das Feld Kennwort eingegebene Kennwort erneut zur Best tigung ein Sichere Verbindung nur f r LDAP Verzeichnisse Zeigt an ob CA IdentityMinder eine sichere Verbindung verwendet W hlen Sie diese Option f r Active Directory Benutzerspeicher aus Klicken Sie auf Weiter 6 berpr fen Sie die Einstellungen f r das CA IdentityMinder Verzeichnis Klicken Sie auf Fertig stellen um das CA IdentityMinder Verzeichnis mit den aktuellen Einstellungen zu erstellen oder auf Zur ck um es zu ndern Statusinformationen werden im Verzeichniskonfigurations Ausgabefenster angezeigt 7 Klicken Sie zum Beenden auf Fortfahren CA IdentityMinder erstellt das Verzeichnis Aktivieren von Bereitstellungsserver Zugriff Sie aktivieren den Zugriff auf den Bereitstellungsserver durch die Verwendung des Links Directories Verzeichnisse in der Management Konsole Hinweis Eine Voraussetzung f r diesen Vorgang ist das Bereitstellungsverzeichnis auf CA Directory zu installieren Weitere Informationen dazu finden Sie im Installationshandbuch Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http hostname port iam immanage Hos
336. nierende Gruppe angibt kann zu Fehlern f hren wenn Administratoren Gruppen erstellen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 77 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Die Verwendung des Foto Attributs als das Attribut welches den Status eines Benutzerkontos aktiviert oder deaktiviert angibt kann zu Fehlern f hren wenn ein Administrator einen Benutzer erstellt Hinweis Zusatzinformationen ber CA Directory Anforderungen k nnen Sie der CA Directory Dokumentation entnehmen Microsoft Active Directory berlegungen Wenn Sie Attribute f r Active Directory beschreiben beachten Sie die folgenden Punkte Der Fall der in den Attributbeschreibungen spezifizierten Attribute muss mit dem Fall der Attribute unter Active Directory bereinstimmen Wenn Sie zum Beispiel das unicodePwd Attribut als das Attribut zum Speichern von Benutzerkennw rtern ausw hlen geben Sie unicodePwd mit gro em P in der Verzeichniskonfigurationsdatei an Vergewissern Sie sich bei Benutzer und Gruppenobjekten dass Sie das sAMAccountName Attribut einschlie en IBM Verzeichnisserver berledgungen Wenn Sie Attribute f r ein Benutzerverzeichnis des IBM Verzeichnisservers beschreiben m ssen Sie die folgenden Abschnitte ansehen Gruppen in Verzeichnisserver Verzeichnissen siehe Seite 78 Die Objektklasse Top in der Organisationsobjekt Beschreibung siehe Seite 79 Gruppen in Verzeichnisserver
337. nis erstellt haben werden die Verbindungsinformationen zum Benutzerverzeichnis im Anbieter Element der Verzeichniskonfigurationsdatei angezeigt 138 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Beschreibung einer Datenbankverbindung Provider Element Um eine Datenbankverbindung zu beschreiben verwenden Sie das Provider Element und dessen Unterelemente in der Datei directory xml Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie keine Verzeichnisverbindungsinformationen in der Datei directory xml angeben Die Verbindungsinformationen werden im Assistenten f r CA IdentityMinder Verzeichnisse in der Management Konsole angegeben ndern Sie das Provider Element nur f r Aktualisierungen Das Provider Element beinhaltet die folgenden Unterelemente JDBC erforderlich Gibt die JDBC Datenquelle an die beim Herstellen einer Verbindung mit dem Benutzerspeicher verwendet wird Geben Sie den JNDI Namen an den Sie beim Erstellen der JDBC Datenquelle siehe Seite 107 eingegeben haben Credentials erforderlich Gibt den Benutzernamen und das Kennwort f r den Zugriff auf die Datenbank an DSN Gibt die ODBC Datenquelle an die beim Herstellen einer Verbindung mit dem Benutzerspeicher verwendet wird Hinweis Dieses Unterelement wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In CA IdentityMinder Umgebungen die SiteMinder nicht einschlie en wird dieses Unterelemen
338. nis genehmigt werden muss Um den Inhalt von E Mail Benachrichtigungen anzugeben k nnen Sie entweder vordefinierte E Mail Vorlagen verwenden oder die Vorlagen an Ihre Anforderungen anpassen Mithilfe der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren m Aktivieren von E Mail Benachrichtigungen f r eine CA IdentityMinder Umgebung m Angeben der Vorlagens tze f r das Erstellen von E Mail Nachrichten m Angeben der Ereignisse und Aufgaben f r die E Mail Benachrichtigungen gesendet werden Ereignis Listener Eine CA IdentityMinder Aufgabe besteht aus einer oder mehreren Aktionen sogenannten Ereignissen die CA IdentityMinder w hrend der Ausf hrung der Aufgabe durchf hrt Die Aufgabe Benutzer erstellen kann beispielsweise die folgenden Ereignisse umfassen m CreateUserEvent Erstellt ein Benutzerprofil in einer Organisation m AddToGroupEvent Optional F gt den Benutzer als Mitglied einer Gruppe hinzu m AssignAccessRole Optional Weist einem Benutzer eine Zugriffsrolle zu Ein Ereignis Listener berwacht die Umgebung auf ein bestimmtes Ereignis und f hrt dann zu einem bestimmten Zeitpunkt im Lebenszyklus eines Ereignisses benutzerdefinierte Business Logic aus Nachdem ein neuer Benutzer in CA IdentityMinder erstellt wurde kann beispielsweise ein Ereignis Listener die Informationen zum Benutzer einer Datenbank in einer anderen Anwendung hinzuf gen Hinweis Weitere Informationen zum Konfigurieren vo
339. nization Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis oder speichern Sie sie unter einem anderen Namen damit sie nicht berschrieben wird Anschlie end k nnen Sie die Vorlage ndern sodass sie Ihre Datenbankstruktur widerspiegelt In der Verzeichniskonfigurationsdatei gelten zwei wichtige Konventionen m H Kennzeichnet erforderliche Werte Um alle erforderlichen Informationen anzugeben suchen nach doppelten Rautenzeichen und ersetzen Sie sie durch entsprechende Werte Beispielweise kennzeichnet PASSWORD_HINT dass Sie ein Attribut angeben m ssen in dem eine Frage gespeichert ist die der Benutzer zum Erhalt eines tempor ren Kennworts beantworten muss wenn er sein Kennwort vergessen hat 116 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Kennzeichnet Werte die von CA IdentityMinder ausgef llt werden Diese Werte d rfen in der Verzeichniskonfigurationsdatei nicht ge ndert werden CA IdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf diese Werte anzugeben Bevor Sie die Verzeichniskonfigurationsdatei ndern ben tigen Sie die folgenden Informationen Tabellennamen f r die Benutzer Gruppen und Organisationsobjekte wenn Ihre Struktur Organisationen einschlie t Eine Liste von Attributen in Benutzer Gruppen und Organisationsprofilen wenn Ihre Struktur Organisationen einschlie t ndern der Verz
340. nn 269 So verfolgen Sie Komponenten und Datenfelder u neeeesesssenensssnsnnnnnennnnnnnnnnnnnennnnnnnsnnnnnennnnnnnnnnsennennnnnenssennnnnnn 271 Kapitel 11 CA IdentityMinder Schutz 275 Sicherheit an der Benutzerkonsole u220s40240snnsnnnenneennnennnnnnnnnnnnnnnnennnnnnnnnnnnnennnennnsnsnensnnnnnnnsnsnnensnsnnsensnnnnnennnann 275 Sicherheit an der Management Konsole uueueeeesssssesnenennssnnnnnnnenonnnnnnnnennunnnnnnnsnnnnnnnnnnnnnsnnnnnnnonnnnssnnnsennnnnnnsssssennnnnn 276 Hinzuf gen zus tzlicher Administratoren zur Management Konsole uuuseesesssssnsnennnnnnnnnnnnennnnnnnennennnnnnnnnennn 277 Deaktivieren der systemeigenen Sicherheit f r die Management Konsole uuussesenssssennennenonnnnnnnnennennnnenenn 278 Sch tzen der Management Konsole mit SiteMinder 22222020000n0ennsnnnneennnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnn 278 Sch tzen einer vorhandenen Umgebung nach einem Upgrade uuursssssesensnnnneennennnnnnnennnnnnnnnnnnanennnnnnnen 280 Schutz vor CSRF Angriffenaussanaesinn aneinander 281 Kapitel 12 Integration von CA SiteMinder 283 SiteMinder und CA IdentityMinder 2 4 se ek 284 So sch tzen Sie Ressourcen vecere aaee ia E AEAEE EEE NEA OE E ANE EE hessen 285 bersicht ber die Integration von SiteMinder und CA IdentityMinder uunesssssesesesessnnesesnenennnnnnennnnennnnnnnnnnnnn 286 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder
341. nn eine Aufgabe abgeschlossen wird oder ein Ereignis in einer Aufgabe einen gewissen Status annimmt z B Genehmigung ausstehend genehmigt oder abgelehnt erhalten die Benutzer eine E Mail Benachrichtigung entsprechend der Benachrichtigungsregel Hinweis Weitere Informationen zur E Mail Benachrichtigungsfunktion finden Sie im Administrationshandbuch CA IdentityMinder beinhaltet die folgenden vordefinierten Benachrichtigungsregeln ADMIN_ADAPTER Sendet eine E Mail Nachricht an den Administrator der die Aufgabe initiiert hat USER_ADAPTER Sendet eine E Mail Nachricht an den Benutzer der von der Aufgabe betroffen ist USER_MANAGER Sendet eine E Mail Nachricht an den Manager des Benutzers im aktuellen Kontext Verwenden Sie zum Erstellen benutzerdefinierter Benachrichtigungsregeln die Benachrichtigungsregel API Hinweis Weitere Informationen zu Benachrichtigungsregeln finden Sie im Programmierhandbuch f r Java Organisationsauswahl Eine Organisationsauswahl ist ein benutzerdefinierter Logical Attribute Handler der basierend auf den vom Benutzer w hrend der Registrierung eingegebenen Informationen bestimmt wo CA IdentityMinder das Profil eines selbst registrierten Benutzers erstellt Zum Beispiel kann das Profil von Benutzern die bei der Registrierung einen Werbungscode eingeben einer Organisation namens Promotional Users hinzugef gt werden Kapitel 7 Erweiterte Einstellungen 233 Bereitstellung Bereitstellung Verwend
342. nnennnnnsnssnnnnnnnn CA IdentityMinder Verzeichniseigenschaften 222222000000sssennnnnnennnnnnnnnnnnnennnnnnnnnnnnnennnnnnnennnnnannnnnnnnnnnnnennnnnnnenn Fenster CA IdentityMinder Directory Properties Verzeichniseigenschaften eeeen Anzeigen von verwalteten Objekteigenschaften und Attributen Validation Rule Sets Validierungsregels tze 00usussessessnsssnnnnnnennnnnnnunnnnnnnnnnnnennnnnsnnnnnnnennnnnnnnnnnnnsnnnnn Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis uuuss0r0222sssssenennensnnnneenennnnnennnsennennnn Exportieren von CA IdentityMinder Verzeichnissen 2222020000 0000snnnnenonnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnsnsnnnnnnnnnnennn Aktualisieren von CA IdentityMinder Verzeichnissen uuesesesessssnsenennennnnnnnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnsennnnnnn L schen von CA IdentityMinder Verzeichnissen Kapitel 6 CA IdentityMinder Umgebungen 191 CA IdentityMinder Umgebungen useueneensennnnenennnnnnnnnnennonnnnnnnnnnnnnonnnnnnnnnnnnnnnnnnnensnnnnennnnnnnsnnnsnannnnnnnsnsnnnannnannnenn 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen uuesersesssnsnsenonnnnesnnnnennnnnnnnnnnennennnn 192 Erstellen einer CA IdentityMinder Umgebung Zugreifen auf eine CA IdentityMinder Umgebung 222220000s0snnennnnnnnenonnnnnennnnnennnnnnnnnnnnnennnnnnnennnnennennnnnnnnnsennnnnnn Konfiguri
343. nnnennnnnnnnnnnnnennnnnnnnnnnnnenennnnnennnnnn Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters ussesessesssssnsenonnennsnnnnnennnnnnnnnnnnnnnnnnnnnnnsnnnnnnnn Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter Neustarten des Anwendungsservers eeeeenenssensnnnnenunnennnnnnnnnnonnnnnnnnnnnnnnnnnnsnnnnennennnnnsnsnssnnnennnnnsnsnsennen Konfigurieren einer Datenquelle f r SiteMinder Importieren der Verzeichnisdefinitionen 222222220000nnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnsnsnnnnnnnnnsnsnsennanennnnnsnnnnnn Aktualisieren und Importieren von Umgebungsdefinitionen zu uss022222022020enonnnnnsnnnnnennnnnnnnnnnsennnnnnnnennsnnnnnnnn Installieren des Web Proxyserver Plug ins uneeseseeessnsnsnennennsnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnannnnnnnnensnnesnennnnnnnennnnnn Installieren des Proxy Plug ins auf WebSphere uusenessssssnsssenennennsnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnennnnnnnnnnnnn Installieren Sie das Proxy Plug in f r JBOSS 22ccseseeneneennsnnnsnenunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnonnnnnsnnnnnnnennnnnenn 314 Installieren des Proxy Plug ins auf WebLogic uusuesesessssnsssnenennnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnsnnnnnannnnnnnnnn Zuordnen des SiteMinder Agenten zu einer CA IdentityMinder Dom ne uuenersesssssssnnennennnnnnsennnnnnnnennnennennnn Konfigurieren des SiteMinder Parameters LogOf
344. nnnnnnnennennnnnnnnnnnnnnnnnnnnnnnnennnnnanonnnnnsnnnsennonnnnnennnsnnnnnn 86 Konfigurieren von bekannten Attributen ueeeesesssenensenssnnnneenunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennennnnnsnsnennnnonnnensnnnnnn 86 Beschreiben der Benutzerverzeichnisstruktur unsessesssssennssnnnennnnnnnnnnnnnonnnnnnnnnennnnnnnennennnensnennnsnnnnnnnsnnnnnsnsnnnsnsnnnnnennnn 87 So beschreiben Sie eine hierarchische Verzeichnisstruktur eesessssssssnsssnsnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnsnnnnnnnn 87 So beschreiben Sie eine flache Benutzerverzeichnisstruktur usuusssssssssnnnnnsnnnnnnnnnnnennnnnnnnnnnnnnnnnnnsnnnnnsnnnnnnnnn 87 So beschreiben Sie eine flache Verzeichnisstruktur uusssssssessssnnnnennnnenennnnnnnennnennnennnnnnnnnnnnnnnnnnnnennsnnnennnnnnnnnnn 87 So beschreiben Sie ein Benutzerverzeichnis das keine Organisationen unterst tzt ueneneeesseseeeeneneenesnennnnennn 88 So konfigurieren Sie GruUppEN isese reiterati nnie kanin eraren ini aieka ierant iim iieb ieren iii Konfigurieren von selbstabonnierenden Gruppen ueuessesssssssnsnonnnnennnnnennonnnnnnnnnnnnnnnnnnnnnnnnennennnnnnnsnsennnnnnnnensnnnnnn Konfigurieren von dynamischen und verschachtelten Gruppen zuscssessssssnnnsnnnennnnnnnnnnennennnnnnnnnennnnnnnnnnennnnnn Hinzuf gen von Unterst tzung f r Gruppen als Gruppenadministrator VE o JE 1eT 1d 22 111 ENFRREHPERHRLFIERRFEIREIROTENIFE aani aa EEREUITLERREEHEITHETEETEUFFENRTSOIGSTERRIFTERTENEERHEFEIFERTE
345. nnnnnnnnnnnnnnnnannnnnnnnnnnnnnnnnnnnnnnannnnnnnnn 254 So konfigurieren Sie CA IdentityMinder f r die berpr fung der Anmeldungs und Abmeldungsereignisse von Benutzern uuenesssssssessnnensennennnennnnnnnnnnnnnnnnnnnnnnnsnnnsnnnnnnnennnennnsssnensnsnnnnennsnnnnsnsnnnnn 255 Bereinigen der Audit Datenbank 2222222s0snennenssnnnnenonnnnnnnnnennonnnnnnnnnnnnnnnnnnnnnnennennnnnsnsnnnnnnnnnnnsnsnnnsnnnennnensnnnnnn 256 Inhalt 9 Kapitel 9 Produktionsumgebungen 257 So migrieren Sie Admin Rollen und Aufgabendefinitionen 2zussssussssnsnnnsenonnennennnnnennnnnnnnnnnnennnnnnnnennsennnnenn 257 So exportieren Sie Admin Rollen und Aufgabendefinitionen u 2244004s0000nnnennennnennnennnnnnnnnnnnannnnnsnnnen 258 So importieren Sie Admin Rollen und Aufgabendefinitionen 2222000000nsennsnnnnnenonnnnnnnnnennonnnnnennsennennnn 258 So pr fen Sie den Rollen und Aufgabenimport 2zususs0rsssnsnnnseenonnnnnnnnnnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnesennnnnn 259 So migrieren Sie CA IdentityMinder Designs uusuussnessnsnnnsnennnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnenennnnnsnnnsennennnnnnnnnsennnnnn 259 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung 2220s0202222000snnnonnnnnnnnnnennnnnnnnennsennennnn 260 So migrieren Sie eine CA IdentityMinder Umgebung 2222222sssenennennnnnnnennonnnnnnnnnnnnnnnnnnnennnnennnnnnnnnnnsennenenn 260 So exportiere
346. nnnnnnnnnnnnnnnnnsnnnennennnensnnnnnsnnnennnnnnnenssnnnsnsnsnnnennn 38 Ben tzerverWaltungss cuasraaeseenaisenkeriann E E E E aber n hen en 41 So werden zus tzliche Funktionen konfiguriert uuseesessesssssssnenennnnnnnnnnnnnnnnnnnnnnnnennennnnnnnsnnnnnnnnnnnnnsnnnsnnnennnnssnssennenenn 46 Einschr nkung beim SiteMinder Anmeldenamen f r globalen Benutzernamen u ucssessssenneesnnnnnennnnnnennnnnnnnnnn 46 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 47 CA IdentityMinder Verzeichnisse s 4ss02340ss4050020 0404er aN EENE A EEEE EAEE R else EESE aKa 47 So erstellen Sie ein CA IdentityMinder Verzeichnis uuu0000000ssssssensnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnennnnnsnnnnnsnsnennnsnnnnnnsnenn 48 Inhalt 5 Verzeichnisstrukt f sten near sera tan a a LEE nee nee nee Verzeichniskonfigurationsdatei So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus uucueeeenansenennnnnenannnnennnnnnnnnnennennnnnnnnnnnnnennnnnnnennnnennennn So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben 2222000000200000nnnneenonnnnnsnnnnnennnnnnnennnennennn So wird die Verzeichniskonfigurationsdatei ge ndert uuuesenesesensnnesnenonnnennnnnnennnnnnnnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnsennennn Verbindung zum Benutzerverzeichnis Provider Element Verzeichnissuchp rameter e szsesssusiseinnesanesnidarceheenfankantanktehvensnnnn ee elreehnhahnnentdenheehesn aiea a a eE ear aean Aae Bes
347. nnnnnsnnnsnnnnnnnnssnsnnnnnnnnnnsnsnsennnnnnsssnsnsennnnnn 237 Benutzer Konsol Esearo paean nhrn een ent aE ENE EA hneree rer rear 237 Webservices isses E E EE E EEA E AA E E A EE EE E E E 239 Workflow Properties Workflow Eigenschaften 2uu 2220200222000nsssnneennnnnsnnnnnnnennnnnnunnnnnnnnnnnnnnnnnnsnnnnnnnennnennnenn 240 Work Item Delegation Arbeitselement delegieren 220002222002002000nnennnonnnsnsnennnnennnnnnennnnnnnnnnnnennnennnenn 240 Workflow Participant Resolvers Workflow Teilnehmer Resolver 222200022200snsssnsnennnsnnnnnnneennnsnnnnnnnnnennnennnenn 241 Importieren Exportieren von benutzerdefinierten Einstellungen 2s2222002200snnennenennnsennnnennnnennnnennnsennnnennnnnnnnn 241 Fehler wegen unzureichendem Speicher in Java Virtual Machine usucsussssssssssnennnnsnnnnnennennnnnennnnennnnnnnnnnennnnnn 242 Kapitel 8 berpr fung 243 Audit Daten u nce nennen nenn nennen hen area einen Henne Te 243 So konfigurieren Sie die berpr fung uucenssensenensensnnennennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 243 Konfigurieren von Auditeinstellungen 022222222sssenennssnsnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnonnnnnsnsnsnannnnnnennn 244 Auditeinstell ngsd teir runssenecnei n iae reer a i ae a eid Ena Eio rear EEAS ee 245 So aktivieren Sie die berpr fung f r eine Aufgabe uuncnennsensesennensnnnnnnnn
348. nnnnnsnsnennnnnnnnnnsnn 16 So wird eine CA IdentityMinder Umgebung erstellt ussssensesssssssnsnennnnnnnennennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnssennennn 17 Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 19 bersicht des Beispiels einer CA IdentityMinder Umgebung uu0u0u2nseneenenennnnennnnnnennnnnnnnnnnnnnennnnennnnnnenennnnnnnnen 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert 2zcscssenensesssnnnnnenonnnnnnnnnnnonnnnnnennnsennenenn 20 LDAP Verzeichnisstruktur f r NeteAuto uussssssnessssnnnnesnnnennnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnsnnnnnnnsnnnnsnsnennnsnsnnnsnsnnnenssnann 20 Relationale Datenbank f r NeteAuto uusesessesesssnnnnnnnennnnnnnnnnennnnnnnnnnnnennnnnsnnnnnnnsnnnennnennnensnnnnnsnsnennnsnnnnnnsnann 21 Erforderliche Software f r NeteAuto u nee sn nenne hl 22 Installationsdateien f r die NeteAuto Umgebung 20442s0suesnnnnnneennnnnnnnnnnnnnnnnnnnnnennennnensnnnnnsnsnennnnnnnennsnen 22 Installieren Sie die NeteAuto Umgebung 22222s00nunnennsnnnnnnnonnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnennennnnnnnsnsnnnnnnnnnensnnnnnn 23 Konfigurieren Sie ein LDAP Benutzerverzeichnis uueseseesssssssnenennenssnnnnnnennnnnnnnnnnnnnnnnnnnnnnnennennnnnnnnnnennnnnnnnensnnnnnn 23 Konfigurieren einer relationalen Datenbank uussusu22ssssssenennennsnnnnnnennnnnnnnnnnnnnnnnnnnnnnnennennnnnnnennennnnnnnnensnnnnnn 24 Erstellen des CA IdentityMind
349. nschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben d Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen 6 W hlen Sie den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld im Feld Component managed Authentication Alias Komponentenverwalteter Authentifizierungsalias aus 7 Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut Erstellen einer Oracle Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben Kapitel 4 Verwaltung relationaler Datenbanken 113 So erstellen Sie eine JDBC Datenquelle 114 Konfigurationshandbuch Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore URL jdbc oracle thin db_systemname 1521 oracle_sid
350. nshandbuch Kapitel 4 Verwaltung relationaler Datenbanken Dieses Kapitel enth lt folgende Themen CA IdentityMinder Verzeichnisse siehe Seite 103 Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken siehe Seite 105 Erstellen einer Oracle Datenquelle f r WebSphere siehe Seite 106 So erstellen Sie ein CA IdentityMinder Verzeichnis siehe Seite 107 So erstellen Sie eine JDBC Datenquelle siehe Seite 107 So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder siehe Seite 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei siehe Seite 115 Verbindung zum Benutzerverzeichnis siehe Seite 138 Bekannte Attribute f r eine relationale Datenbank siehe Seite 144 So konfigurieren Sie selbstabonnierende Gruppen siehe Seite 149 Validierungsregeln siehe Seite 151 Organisationsverwaltung siehe Seite 151 So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 154 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis beschreibt wie Objekte z B Benutzer Gruppen und optional Organisationen im Benutzerspeicher gespeichert und in CA IdentityMinder dargestellt werden Ein CA IdentityMinder Verzeichnis ist einer oder mehreren CA IdentityMinder Umgebungen zugeordnet Kapitel 4 Verwaltung relationaler Datenbanken 103 CA IdentityMinder Verzeichnisse Die folgende Abbildung zeigt die Bezi
351. nsole auf Umgebungen Klicken Sie im CA IdentityMinder Umgebungs Fenster auf Neu Der CA IdentityMinder Umgebungs Assistent wird angezeigt Geben Sie auf der ersten Seite des Assistenten die folgenden Werte ein Umgebungs Name NeteAuto Umgebung Beschreibung Beispiel Umgebung Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 27 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert 28 Konfigurationshandbuch Alias NeteAuto Das Alias wird der URL hinzugef gt um auf die CA IdentityMinder Umgebung zugreifen zu k nnen Die URL zum Zugriff auf die Neteauto Umgebung kann beispielsweise wie folgt lauten http server_name iam im neteauto server_name Definiert den vollst ndig qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist Beispiel http myserver mycompany org iam im neteauto Hinweis Beim Alias muss die Gro Kleinschreibung beachtet werden Klicken Sie auf Weiter W hlen Sie das CA IdentityMinder Verzeichnis aus das mit der Umgebung zu verkn pfen ist die Sie erstellen Verwenden Sie f r den Verzeichnisserver des Sun Java Systems das NeteAuto Verzeichnis Verwenden Sie f r Microsoft SQL Server oder die Oracle Datenbank das NeteAutoRDB Verzeichnis Klicken Sie auf Weiter Konfigurieren Sie den Support f r ffentliche Aufgaben wie die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern wie folgt a Geben Sie folgend
352. nt Konsole aktiviert haben und jetzt eine andere Anwendung zum Schutz der Management Konsole verwenden m chten m ssen Sie die systemeigene Sicherheit deaktivieren bevor Sie eine andere Sicherheitsmethode implementieren Gehen Sie wie folgt vor 1 Deaktivieren Sie die systemeigene Sicherheit f r die Management Konsole in der Datei web xml wie folgt a C ffnen Sie die Datei CA IdentityMinder_installation iam_im ear management_console war WEB INF w eb xml in einem Texteditor Legen Sie den Wert des Parameters Enable f r ManagementConsoleAuthFilter wie folgt auf false fest lt filter gt lt filter name gt ManagementConsoleAuthFilter lt filter name gt lt filter class gt com netegrity ims manage filter ManagementCon soleAuthFilter lt filter class gt lt init param gt lt param name gt Enable lt param name gt lt param value gt false lt param value gt lt init param gt lt filter gt Speichern Sie die Datei web xml Starten Sie den CA IdentityMinder Server neu Die Management Konsole ist nicht mehr durch die systemeigene Sicherheit gesch tzt Sch tzen der Management Konsole mit SiteMinder Um die Management Konsole von Anfang an zu sch tzen k nnen Sie eine SiteMinder Richtlinie erstellen Eine SiteMinder Richtlinie kennzeichnet eine Ressource die Sie sch tzen m chten z B die Management Konsole und erteilt einer Gruppe von Benutzern Zugriff auf diese Ressource 278 Kon
353. nt in der Liste nach oben verschieben Aktuelles Element in der Liste nach unten verschieben 2 Fahren Sie mit dem n chsten Abschnitt Definieren von Admin Richtlinien f r Zugriffsrollen fort 350 Konfigurationshandbuch SiteMinder Vorg nge Definieren von Mitgliederrichtlinien f r Zugriffsrollen Eine Mitgliederrichtlinie definiert eine Mitgliederregel und Bereichsregeln f r eine Rolle Sie k nnen verschiedene Mitgliederrichtlinien f r eine Rolle definieren F r jede Richtlinie haben Benutzer die der Bedingung in der Mitgliederregel entsprechen den entsprechenden Bereichsumfang bei der Verwendung der Rolle der in der Richtlinie definiert ist Gehen Sie wie folgt vor 1 2 3 W hlen Sie die Registerkarte Mitglieder aus Klicken Sie auf Hinzuf gen um Mitgliederrichtlinien zu definieren Optional Definieren Sie auf der Seite Mitgliederrichtlinie optional eine Mitgliederregel f r denjenigen der diese Rolle verwenden k nnen muss Beim Definieren einer Mitgliederregel wird diese Rolle automatisch Benutzern zugeordnet die mit den Kriterien in der Mitgliederrichtlinie bereinstimmen Hinweis Definieren Sie Mitgliederrichtlinien die nur Verzeichnisattribute verwenden zum Beispiel title Manager Wenn Sie Mitgliederrichtlinien definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen berpr fen Sie dass die
354. nz von NCPServer durch en servername o servercontainer ersetzen Aktualisieren Sie eDirectory Server mit der Datei novell_ims8 ldif Anweisungen hierzu finden Sie in der Dokumentation zu Novell eDirectory Kapitel 12 Integration von CA SiteMinder 295 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Oracle Internet Directory OID Um Oracle Internet Directory zu konfigurieren aktualisieren Sie die Datei oracleoid ldif Gehen Sie wie folgt vor 1 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Aktualisieren Sie Oracle Internet Directory Server mit der Datei oracleoid_ims d ldif Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist install_path policystore schemas OracleOID Anweisungen hierzu finden Sie in der Dokumentation zu Oracle Internet Directory Pr fen des Richtlinienspeichers Um den Richtlinienspeicher zu pr fen best tigen Sie die folgenden Punkte 296 Konfigurationshandbuch Das Richtlinienserverprotokoll enth lt keinen Abschnitt mit Warnungen der mit dem folgenden Code beginnt IMS NO SCHEMA BEGIN Diese Warnung wird nur angezeigt wenn Sie die Erweiterungen f r den SiteMinder Richtlinienserver installiert aber das Richtlinienspeicherschema nicht erweitert haben Die CA Identity
355. nzuf gen Nachdem Sie die Verbindungsinformationen eingegeben haben klicken Sie auf Weiter um die zu verwaltenden Objekte auszuw hlen Hinweis Die Felder die auf diesem Fenster angezeigt werden h ngen vom Typ des Benutzerspeichers ab und davon ob Sie die Verbindung mithilfe des Assistenten f r die Verzeichniskonfiguration herstellen oder eine XML Datei direkt importieren Die folgenden Felder sind in diesem Fenster verf gbar Name Gibt den Namen des Benutzerverzeichnisses an mit dem Sie Verbindung aufnehmen Beschreibung Gibt eine Beschreibung des Benutzerverzeichnisses an Host Gibt den Hostnamen f r den Computer an wo sich der Benutzerspeicher befindet Kapitel 5 CA IdentityMinder Verzeichnisse 161 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Port Gibt den Port f r den Computer an wo sich der Benutzerspeicher befindet User DN Benutzer DN Gibt den Benutzerdom nennamen zum Zugriff auf den LDAP Benutzerspeicher an JDBC Datenquellen JNDI Name Gibt den Namen einer vorhandenen JDBC Datenquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbindung aufzunehmen Benutzername Gibt den Benutzernamen zum Zugriff auf den Provisioning Server an Hinweis Ausschlie lich f r Provisioning Server Dom ne Gibt den Dom nennamen zum Zugriff auf den Provisioning Server an Hinweis Ausschlie lich f r Provisioning Server Kennwort Gibt das Kennwort zum Zugriff a
356. odifizieren zum Fenster der grundlegenden Objektattribut Definitionen zur ckzukehren Schaltfl che Weiter Klicken Sie auf diese Schaltfl che um mit dem Fenster zum Konfigurieren der verwalteten Objekte fortzufahren In diesem Fenster k nnen Sie das n chste zu konfigurierende verwaltete Objekt ausw hlen Sobald Sie die verwalteten Objekte konfiguriert haben w hlen Sie die Anzeige Zusammenfassung und das bereitstellte Verzeichnis um Ihre Verzeichnisinformationen anzuzeigen und das Verzeichnis bereitzustellen Weitere Informationen Verwalten vertraulicher Attribute siehe Seite 71 170 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Best tigungs Fenster Dieses Fenster zeigt eine Zusammenfassung der Verzeichnis Details an Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Verbindungs Details Gibt die Verbindungsdetails f r das Benutzerverzeichnis an Details zu Benutzer Gruppe Organisation Gibt die nderungen an die am directory xml vorgenommen werden Schaltfl che Zur ck Klicken Sie hier um Details im Assistenten zu ndern Schaltfl che Speichern Klicken Sie hier um Ihre Auswahl zu speichern Schaltfl che Fertig stellen Wenn alle Verzeichnisdetails richtig sind klicken Sie hier um den Assistenten zu verlassen Die Konfiguration wird validiert und das Verzeichnis wird erstellt Sie gelangen dann zur ck z
357. olen Sie die Schritte 1 und 2 bis Sie alle erforderlichen Werte ersetzt und die gew nschten optionalen Werte eingef gt haben Ordnen Sie optional die bekannten Attribute physischen Attributen zu sofern erforderlich Speichern Sie die Verzeichniskonfigurationsdatei So konfigurieren Sie selbstabonnierende Gruppen Um Self Service Benutzern den Beitritt zu Gruppen zu erm glichen k nnen Sie in der Verzeichniskonfigurationsdatei die Unterst tzung selbstabonnierender Gruppen konfigurieren Gehen Sie wie folgt vor 1 F gen Sie im Abschnitt f r selbstabonnierende Gruppen das Element SelfSubscribingGroups wie folgt hinzu lt SelfSubscribingGroups type search type org org_dn gt Kapitel 4 Verwaltung relationaler Datenbanken 149 So konfigurieren Sie selbstabonnierende Gruppen 2 Geben Sie Werte f r die folgenden Parameter ein type Gibt an wo CA IdentityMinder nach selbstabonnierenden Gruppen sucht Die folgenden Werte sind g ltig m NONE CA IdentityMinder sucht nicht nach Gruppen Geben Sie NONE an wenn Sie verhindern m chten dass Benutzer selbst Gruppen abonnieren m ALL CA IdentityMinder durchsucht alle Gruppen im Benutzerspeicher Geben Sie ALL an wenn Benutzer alle Gruppen abonnieren k nnen m INDICATEDORG nur f r Umgebungen die Organisationen unterst tzen CA IdentityMinder sucht nach selbstabonnierenden Gruppen in der Organisation eines Benutzers und deren Unterorganisationen Wenn zum Beispi
358. olgende URL in einen Browser ein http hostname iam im neteautopublic index jsp task tag ForgottenPasswordRes et Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Geben Sie die eindeutige Kennung f r den selbst registrierten Benutzer ein den Sie unter Als neuer Benutzer registrieren siehe Seite 38 erstellt haben und klicken Sie auf Weiter Beantworten Sie bei jeder Aufforderung die berpr fungsfrage Die Antwort ist derjenige die Sie w hrend der Registrierung angegeben haben Hinweis Auf jede Frage ist die richtige Antwort erforderlich Das Abbrechen der Aufgabe oder das Schlie en des Browsers wird als fehlgeschlagener Versuch gewertet Klicken Sie auf Senden CA IdentityMinder fordert Sie auf ein neues Kennwort bereitzustellen Die Benutzerverwaltung umfasst die folgenden Vorg nge Zugreifen auf die NeteAuto CA IdentityMinder Umgebung ndern eines Benutzers Zuweisen der Gruppen Manager Rolle Erstellen einer Gruppe Verwalten von selbst registrierten Benutzern Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 41 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Zugreifen auf die NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um auf die NeteAuto CA IdentityMinder Umgebung zuzugreifen Gehen Sie wie folgt vor 1 Einen Benutzer ndern Geben Sie die folgende URL in einen Browse
359. olgenden Suchparameter im DirectorySearch Element festlegen maxrows Gibt die maximale Zahl an Objekten an die CA IdentityMinder beim Suchen in einem Benutzerverzeichnis zur ckgeben kann Wenn die Anzahl an Objekten das Limit berschreitet wird ein Fehler angezeigt 58 Konfigurationshandbuch Verzeichnissuchparameter Durch Festlegen eines Wertes f r den Maxrows Parameter k nnen Sie die Einstellungen im LDAP Verzeichnis berschreiben welche die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der Maxrows Parameter beschr nkt nicht die Anzahl an Objekten die in einem CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign maxpagesize Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie beim Spezifizieren von maxpagesize die folgenden Aspekte m Um die Option maxpagesize zu verwenden muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigurationsschritte damit sie Paging unterst tzen Weitere Informationen k n
360. ollen zu einer SiteMinder Richtlinie hinzu 1 Klicken Sie im SiteMinder Dialogfeld Richtlinie auf die Registerkarte Benutzer Die Registerkarte Benutzer enth lt Registerkarten f r jede s in die Richtliniendom ne eingeschlossene Benutzerverzeichnis und CA IdentityMinder Umgebung W hlen Sie die CA IdentityMinder Umgebung aus die die Rollen enth lt die Sie der Richtlinie hinzuf gen wollen Klicken Sie auf die Schaltfl che Hinzuf gen Entfernen Das Dialogfeld f r die Identity Manager Rolle der SiteMinder Richtlinie ffnet sich Um der Richtlinie Rollen hinzuzuf gen w hlen Sie einen Eintrag aus der Liste der verf gbaren Mitglieder aus und verschieben ihn zur Liste der aktuellen Mitglieder Klicken Sie auf OK um die nderungen zu speichern und zum Dialogfeld der SiteMinder Richtlinie zur ckzukehren Kapitel 12 Integration von CA SiteMinder 359 SiteMinder Vorg nge Ausschlie en von Rollen in einer Richtlinie Neben der Verwendung von Zugriffsrollen um Zugriff auf Anwendungen zu erteilen k nnen Sie Zugriffsrollen auch verwenden um zu verhindern das Mitglieder von Zugriffsrollen auf eine Anwendung zugreifen Um Mitglieder von Zugriffsrollen davon abzuhalten auf eine Anwendung zuzugreifen schlie en Sie die Rollen aus den SiteMinder Richtlinien aus Wenn ein Benutzer dem die ausgeschlossene Zugriffsrolle in CA IdentityMinder zugewiesen worden ist versucht auf eine gesch tzte Ressource zuzugreifen
361. on CA SiteMinder 323 Installieren des Web Proxyserver Plug ins 3 4 5 324 Konfigurationshandbuch ndern Sie in einem Texteditor die iPlanet Datei obj conf wie folgt a Nach der letzten Zeile die mit dem folgenden Text anf ngt NamerTrans fn F gen Sie die folgende Service Direktive zum Abschnitt f r Object name default hinzu Service method GET HEAD POST PUT type text jsp fn wl proxy Hinweis Sie k nnen diese Direktive in einer Zeile nach den vorhanden Service Direktiven hinzuf gen F gen Sie den folgenden Code am Ende der Datei hinzu lt Object name idm ppath iam gt gt Service fn wl proxy WebLogicHost hostname WebLogicPort portnumber PathTrim weblogic lt Object gt lt Object name weblogic1 ppath console gt Service fn wl proxy WebLogicHost hostname WebLogicPort portnumber PathTrim weblogic lt Object gt wobei Hostname der Servername und die Dom ne des Systems ist wo Sie WebLogic installiert haben und portnumber der WebLogic Port ist Standard ist 7001 Sie k nnen mehr als einen Object Eintrag haben Beispiel lt Object name idm ppath iam gt gt Service fn wl proxy WebLogicHost MyServer MyCompany com WebLogicPort 7001 PathTrim weblogic lt Object name weblogic1 ppath console gt Service fn wl proxy WebLogicHost MyServer MyCompany com WebLogicPort 7001 PathTrim weblogic lt Object gt Speicher
362. onfig property value gt lt config property gt lt config property gt lt config property name gt AdminSecret lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt ENCRYPTED PASSWORD lt config property value gt lt config property gt lt config property gt lt config property name gt AgentName lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt DEVELOPMENT AGENT NAME lt config property value gt lt config property gt lt config property gt lt config property name gt AgentSecret lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt ENCRYPTED AGENT SECRET lt config property value gt lt config property gt Hinweis Verwenden Sie f r die Werte die verschl sselten Text erfordern das CA IdentityMinder Kennwort Tool Weitere Informationen finden Sie im Konfigurationshandbuch Kapitel 12 Integration von CA SiteMinder 339 Konfigurieren der SiteMinder Hochverf gbarkeit Hinzuf gen von mehreren Richtlinienservern Um mehr Richtlinienserver zur CA IdentityMinder Installationsinstanz hinzuzuf gen bearbeiten Sie den Eintrag FailoverServers in der Datei ra xml Hinweis Schlie en Sie den prim ren Richtlinienserver und alle Failover Server in den Eintrag FailoverServers ein
363. onshandbuch Fehlerbehebung 1 Stellen Sie sicher dass der Benutzerspeicher ausgef hrt wird Wenn CA IdentityMinder mit SiteMinder integriert ist berpr fen Sie ob SiteMinder eine Verbindung mit dem Benutzerspeicher herstellen kann In der Richtlinienserver Benutzeroberfl che k nnen Sie die Verbindung berpr fen indem Sie die Eigenschaftsseite f r die Verbindung mit dem SiteMinder Benutzerverzeichnis ffnen die dem Benutzerspeicher zugeordnet ist und auf die Schaltfl che Inhalt anzeigen klicken Wenn der Inhalt des Benutzerspeichers angezeigt wird kann SiteMinder die Verbindung erfolgreich herstellen Weitere Informationen zum Richtlinienserver finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch 2 Starten Sie CA IdentityMinder und den Richtlinienserver neu Meldung SM connection is not OK SM Verbindung ist nicht OK IMS is not available now IMS ist zu diesem Zeitpunkt nicht verf gbar 500 Fehlermeldung von Windows Aufrufen des Status einer CA IdentityMinder Umgebung Beschreibung CA IdentityMinder kann keine Verbindung mit dem SiteMinder Richtlinienserver f r Implementierungen einschlie lich SiteMinder herstellen In CA IdentityMinder ist ein Fehler aufgetreten Die Statusseite wird nicht angezeigt wenn darauf zugegriffen wird w hrend die Konnektivit t mit dem LDAP Benutzerverzeichnis entfernt wird Fehlerbehebung 1 berpr fen Sie Fo
364. orderlich G ltige Werte reichen von 001 bis 366 Wenn der Werttyp eines Attributs falsch ist k nnen CA IdentityMinder Abfragen fehlschlagen Um sicherzugehen dass ein Attribut in der Datenbank korrekt gespeichert ist k nnen Sie ihm eine Validierungsregel zuordnen required Gibt wie folgt an ob zum Angeben des Attributs ein Wert erforderlich ist m True Erforderlich m False Optional Standardeinstellung Kapitel 4 Verwaltung relationaler Datenbanken 125 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei multi valued Gibt wie folgt an ob das Attribut mehrere Werte haben kann m True Ein Attribut kann mehrere Werte haben m False Ein Attribut kann nur einen Einzelwert haben Standardeinstellung Das Gruppenmitgliedschaftsattribut in einem Benutzerprofil kann beispielsweise mehrere Werte haben um die Gruppen zu speichern denen ein Benutzer angeh rt Um Attribute mit mehreren Werten in einer begrenzten Liste anstelle in einer mehrzeiligen Tabelle zu speichern m ssen Sie das Trennzeichen im Parameter delimiter definieren Stellen Sie sicher dass die Anzahl der m glichen Werte und die L nge jedes Wertes den die Spalte zul sst ausreichend sind Wichtig Vergewissern Sie sich dass das Gruppenmitgliedschaftsattribut in der Benutzerobjektdefinition mehrere Werte zul sst wellknown Gibt den Namen des bekannten Attributs an Bekannte Attribute haben eine bestimmte Bedeutung in
365. ornamen eines Benutzers FULL_NAME Erforderlich Enth lt den Vor und Nachnamen eines Benutzers Kapitel 4 Verwaltung relationaler Datenbanken 145 Bekannte Attribute f r eine relationale Datenbank IDENTITY_POLICY Enth lt die Liste der Identit tsrichtlinien die auf ein Benutzerkonto angewandt wurden CA IdentityMinder verwendet dieses Attribut um zu bestimmen ob eine Identit tsrichtlinie auf einen Benutzer angewandt werden muss Wenn f r die Richtlinie die Einstellung Apply Once Einmal bernehmen aktiviert ist und die Richtlinie im Attribut IDENTITY_POLICY aufgef hrt ist wendet CA IdentityMinder die nderungen in der Richtlinie nicht auf den Benutzer an Hinweis Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch LAST_CERTIFIED_DATE F r die Verwendung der Benutzerzertifizierungsfunktion erforderlich Enth lt das Datum an dem die Rolle eines Benutzers zertifiziert wurde Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch LAST_NAME Enth lt den Nachnamen eines Benutzers ORG_MEMBERSHIP Bei Unterst tzung von Organisationen erforderlich Enth lt die eindeutige Kennung der Organisation der der Benutzer angeh rt ORG_MEMBERSHIP_NAME Bei Unterst tzung von Organisationen erforderlich Enth lt den benutzerfreundlichen Namen der Organisation der der Benutzer angeh rt PASSWORD Enth lt ein Benutz
366. ot durch die Stammorganisation f r das Verzeichnis Die Stammorganisation muss mit der Stammorganisation bereinstimmen die Sie beim Konfigurieren des Richtlinienspeichers in der Richtlinienserver Management Konsole angegeben haben Wenn zum Beispiel die Stammorganisation de myorg dc com ist ersetzen Sie dn CN imdomainid6 CN Schema CN Configuration root durch dn CN imdomainid6 CN Schema CN Configuration dc myorg dc com Speichern Sie die Datei F gen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Microsoft ADAM Um einen Microsoft ADAM Richtlinienspeicher zu konfigurieren wenden Sie das Skript adam_ims amp ldif an Gehen Sie wie folgt vor 1 3 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Notieren Sie den CN Wert die GUID ndern Sie die Schemadatei adam_ims8 ldif wie folgt a C ffnen Sie die Datei adam_ims8 ldif in einem Texteditor Der Standardspeicherort unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas MicrosoftActiveDirectory Ersetzen Sie jeden Verweis auf en guid durch die Zeichenfolge die Sie beim Konfigurieren des SiteMi
367. own PASSWORD maxlength 0 gt Bestimmte bekannte Attribute sind erforderlich andere sind optional Bekannte Attribute f r Benutzer Eine Liste Benutzern bekannter Attribute und die Elemente denen sie zugeordnet werden ist im Folgenden ersichtlich ADMIN_ROLE_CONSTRAINT F hrt Zuordnungen zur Liste von Admin Rollen eines Administrators durch Das physische Attribut das zu ADMIN_ROLE_CONSTRAINT zuordnet muss mehrwertig sein um mehrere Rollen aufzunehmen Es wird empfohlen das LDAP Attribut zu indizieren welches zu ADMIN_ROLE_CONSTRAINT zugeordnet wird CERTIFICATION_STATUS F hrt Zuordnungen zum Zertifizierungsstatus eines Benutzers durch Dieses Attribut ist erforderlich um die Funktion der Benutzerzertifizierung zu verwenden Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch DELEGATORS Wird einer Liste mit Benutzern zugeordnet die Arbeitselemente an den aktuellen Benutzer delegiert haben Dieses Attribut ist f r die Verwendung der Delegierung erforderlich Das physische Attribut das DELEGATORS zugeordnet ist muss mehrere Werte umfassen und es muss Zeichenfolgen enthalten k nnen Wichtig Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder Aufgaben oder einem externen Tool hat betr chtliche Auswirkungen auf die Sicherheit EMAIL F hrt Zuordnungen zur E Mail Adresse eines Benutzers durch Macht es erforderlich die Funktion der E Mai
368. pem cs_install ccs data tls et2_cacert pem conxp_install lib jiam jar Anwendungsserver Installationsverzeichnis ia m_im ear library jiam jar FIPS Modus Protokollierung Beschreibung Zertifikat wird in Connector Xpress Schl sselspeicher unter Connector Xpress Installationsverzeichnis conf ssl keystore importiert Das Zertifikat muss auch in den jiam jar Schl sselspeicher importiert werden Extrahieren Sie zum Importieren die jar Datei importieren Sie das Zertifikat in admincacerts jks und verpacken Sie dann den jar Inhalt erneut Das Schl sselspeicherkennwort von admincacerts jks ist changeit berpr fen Sie dass alle Kopien von jiam jar ersetzt werden Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 379 N tzliche Befehle N tzliche Befehle Das OpenSSL Programm ist ein Befehlszeilentool f r die Verwendung der verschiedenen Kryptografiefunktionen aus der Bibliothek von OpenSSL Dieses Tool wird mit IMPS unter Bereitstellungsserver Installationsverzeichnis bin geliefert Die folgende Tabelle enth lt einige n tzliche Befehle von OpenSSL um verschiedene Befehle f r die Verwaltung von Zertifikaten auszuf hren Befehle Beschreibung Druckt den Inhalt des pem Zertifikats openssl x509 in cert pem text noout Druckt den Inhalt der p12 Datei openssl ex e pkcs12 in my pkcs12 info Konvertiert pem Zert Schl sselpaar zu p12
369. physische Attribute in einem benutzerfreundlichen Format in den Aufgabenfenstern anzeigen CA IdentityMinder Administratoren verwenden Aufgabenfenster um Funktionen in CA IdentityMinder auszuf hren Logische Attribute sind in Benutzerspeichern nicht vorhanden In der Regel stellen sie mindestens ein physisches Attribut dar um die Darstellung zu vereinfachen Das logische Attribut date kann beispielsweise die physischen Attribute month day und year darstellen Kapitel 7 Erweiterte Einstellungen 231 Sonstiges Sonstiges Logische Attribute werden durch Logical Attribute Handler verarbeitet Hierbei handelt es sich um Java Objekte die mit der Logical Attribute API geschrieben werden Wenn zum Beispiel ein Aufgabenfenster angezeigt wird kann ein Logical Attribute Handler die Daten eines physischen Attributs aus dem Benutzerspeicher in logische Attributdaten konvertieren Sie k nnen die vordefinierten logischen Attribute und Logical Attribute Handler verwenden die in CA IdentityMinder enthalten sind oder mit der Logical Attribute API neue erstellen Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java Benutzerdefinierte Eigenschaften die in diesem Fenster definiert werden beziehen sich auf die gesamte CA IdentityMinder Umgebung Sie werden als Namen Wertpaare an die init Methode jedes benutzerdefinierten Java Objekts bergeben das Sie mit den CA IdentityMinder APls erstellen Ein benutzerdefiniertes Objek
370. ples NeteAuto NoOrganization mssaql directory xml m Oracle Datenbanken admin_tools samples NeteAuto NoOrganization oracle directory xml admin_tools bezieht sich auf die Administrations Tools die standardm ig unter folgendem Speicherort installiert sind m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager IAM_Suite ldentity_Manager tools Statusinformationen werden auf dem Ausgabebildschirm der Verzeichniskonfiguration angezeigt Stellen Sie auf der zweiten Seite des Assistenten die folgenden Werte bereit Name NeteAutoRDB Directory Beschreibung NeteAuto Beispielverzeichnis ohne Organisations Support Connection Object Name Name des Verbindungsobjekts NeteAutoRDB JDBC Data Source JDBC Datenquelle neteautoDS Benutzername neteautoadmin Kennwort test Klicken Sie auf Weiter Klicken Sie auf Fertigstellen um den Assistenten zu beenden Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 35 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Erstellen der NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um die NeteAuto CA IdentityMinder Umgebung zu erstellen Gehen Sie wie folgt vor 1 2 36 Konfigurationshandbuch Klicken Sie in der Managementkonsole auf Umgebungen Klicken Sie im CA IdentityMinder Umgebungs Fenster auf Neu Der CA IdentityMinder Umgebungs Assistent wird ge ffnet Geben Sie auf d
371. ption My Users objectclass top person organizationalperson inetorgperson customClass objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name REPLICATION WAIT TIME description time delay in seconds for LDAP provider to allow replication to propagate from master to slave gt lt Property name REPLICATION WAIT TIME gt 800 lt Property gt lt PropertyDict gt Wenn die keine Wartezeit f r Replikationen definiert wird wird der Standardwert 0 verwendet Angeben von LDAP Verbindungseinstellungen Um die Leistung zu verbessern k nnen Sie die folgenden Parameter in der Verzeichniskonfigurationsdatei directory xml angeben Verbindungszeitlimit Gibt die maximale Zeit in Millisekunden an die CA IdentityMinder ein Verzeichnis durchsucht bevor die Suche beendet wird Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi Idap connect timeout Connection Pool Max Size Gibt die maximale Anzahl von Verbindungen an die CA IdentityMinder zum LDAP Verzeichnis herstellen kann Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi Idap connect pool maxsize Kapitel 3 Verwaltung des LDAP Benutzerspeichers 95 So verbessern Sie die Leistung von Verzeichnissuchen Connection Pool Default
372. queldentifier konfigurieren 3 Konfigurieren Sie die bergeordnete Organisation siehe Seite 152 4 Beschreiben Sie die Attribute siehe Seite 123 die eine Organisation ausmachen 5 Definieren Sie die bekannten Attribute f r das Organisationsobjekt siehe Seite 153 Kapitel 4 Verwaltung relationaler Datenbanken 151 Organisationsverwaltung Konfigurieren der Unterst tzung von Organisationen in der Datenbank Gehen Sie wie folgt vor 1 ffnen Sie eines der folgenden SQL Skripte in einem Editor m Microsoft SQL Server Datenbanken ims_mssql_rdb sql m Oracle Datenbanken ims_oracle_rdb sql Diese Dateien sind in den folgenden Verzeichnissen gespeichert admin_tools directoryTemplates RelationalDatabase admin_tools bezieht sich auf das Installationsverzeichnis der Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools 2 Suchen Sie im SQL Skript nach lt primary organization table gt und ersetzen Sie den Eintrag durch den Namen der prim ren Tabelle f r das Organisationsobjekt Speichern Sie das SQL Skript 3 F hren Sie das SQL Skript in der Datenbank aus Spezifikation der Stammorganisation Die Stammorganisation dient als bergeordnete Organisation im Verzeichnis Alle Organisationen beziehen sich auf diese Stammorganisation In
373. r Gruppen oder Organisationsentit t gespeichert wie eine Telefonnummer oder Adresse Die Attribute einer Entit t bestimmen deren Profil In der Verzeichniskonfigurationsdatei werden Attribute in ImsManagedObjectAttr Elementen beschrieben In den Abschnitten f r Benutzer Gruppen und Organisationsobjekte der Verzeichniskonfigurationsdatei ndern Sie die Standardattributbeschreibungen um Ihre Datenbankattribute zu beschreiben Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhandene Beschreibung kopieren und Werte nach Bedarf ndern F r jedes Attribut in Benutzer Gruppen und Organisationsprofilen gibt es jeweils nur ein ImsManagedObjectAttr Element Zum Beispiel kann ein ImsManagedObjectAttr Element eine Benutzer ID beschreiben Ein ImsManagedObjectAttr Element entspricht dem folgenden Code lt ImsManagedObjectAttr physicalname tblUsers id displayname User Internal ID description User Internal ID valuetype Number required false multivalued false maxlength 0 hidden false permission READONLY gt Hinweis Wenn Sie eine Oracle Datenbank verwenden beachten Sie beim Konfigurieren von Attributen f r verwaltete Objekte die folgenden Punkte Oracle Datenbanken beachten standardm ig die Gro Kleinschreibung Die Schreibweise der Attribute und Tabellennamen in der Verzeichniskonfigurationsdatei muss mit der Schreibweise der Attribute in Oracle bereinstimmen Geben Sie f r Zei
374. r die sich auf diese Zugriffsrollen beziehen im SiteMinder Richtlinienspeicher Um dies zu erm glichen konfigurieren Sie eine Eigenschaft in der CA IdentityMinder Management Konsole So aktivieren Sie Zugriffsrollen f r die Verwendung mit SiteMinder 1 ffnen Sie die Managementkonsole 2 W hlen Sie Umgebung Ihre Umgebung Erweiterte Einstellungen Verschiedenes 3 F gen Sie eine neue Eigenschaft durch das Angeben der folgenden Informationen hinzu m Geben Sie im Feld Eigenschaft Folgendes ein EnableSMRBAC m Geben Sie im Feld Wert Folgendes ein true 346 Konfigurationshandbuch SiteMinder Vorg nge Klicken Sie auf Hinzuf gen Klicken Sie dann auf Speichern Eine Meldung die anzeigt dass die Umgebung neu gestartet werden muss wird angezeigt Starten Sie die Umgebung neu CA IdentityMinder unterst tzt jetzt Zugriffsrollen und Aufgaben f r die Verwendung mit CA SiteMinder Sobald Sie Zugriffsrollen f r die Verwendung mit CA SiteMinder aktivieren beachten Sie Folgendes Wenn Sie Zugriffsrollen in CA Identity Manager r8x verwendet haben m ssen Sie einen zus tzlichen Migrationsschritt ausf hren um diese Zugriffsrollen in der aktuellen Version von CA IdentityMinder zu verwalten Weitere Informationen finden Sie im Aktualisierungshandbuch Um die Unterst tzung von Zugriffsrollen in SiteMinder zu deaktivieren l schen Sie die CA IdentityMinder Zugriffsrolle und Aufgabenobjekte aus dem Sit
375. r Web Agent installiert ist Beispiel c weblogic_proxy Melden Sie sich beim System an wo der CA IdentityMinder Server ausgef hrt wird Wechseln Sie zu diesem Ordner Weblogic_Home wlserver_11 server plugin Kopieren Sie die folgenden Dateien zu dem in Schritt 1 erstellten WebLogic Proxy Ordner m iisforward dll m iisproxy dil Erstellen Sie eine Datei namens iisproxy ini im gleichen Ordner und geben Sie den folgenden Inhalt ein This file contains initialization name value pairs for the IIS WebLogic plug in WebLogicHost host name WebLogicPort 7001 ConnectTimeoutSecs 20 ConnectRetrySecs 2 WLForwardPath castylesr5 1 1 iam im WLLogFile c weblogic_proxy proxy log DebugConfigInfo 0N Ersetzen Sie host name durch den eigentlichen Hostnamen Starten Sie IIS Manager Erweitern Sie die Websites Klicken Sie mit der rechten Maustaste auf die Standardwebsite W hlen Sie Eigenschaften aus 10 F gen Sie wie folgt einen Filter hinzu a Klicken Sie auf host name b Klicken Sie auf Hinzuf gen und f llen Sie das Dialogfeld folgenderma en aus Filtername WebLogic Ausf hrbare Datei Pfad von iisforward dlil Kapitel 12 Integration von CA SiteMinder 321 Installieren des Web Proxyserver Plug ins 11 12 13 14 15 Geben Sie den Speicherort der iisproxy dll Datei wie folgt an a Klicken Sie auf Basisverzeichnis b Klicken Sie auf Konfiguration c Klicken Sie auf Hinzuf
376. r bestimmen 87 ORG_MEMBERSHIP_ NAME 80 ORG_MEMBERSHIP_NAME 83 85 ORG_NAME 85 PASSWORD 80 PASSWORD_DATA 80 PASSWORD_HINT 80 145 SELF_SUBSCRIBING 83 147 USER_ID 80 A Abfrage 142 Aktivieren Identit tsrichtlinien 231 Aktivierter Parameter Audit Elemente 245 247 Aktiviertes Feld Identit tsrichtlinien 231 Anmeldeseiten Anpassen 342 Audit Aktivieren f r Aufgaben 254 Auditeinstellungsdatei 244 Wissenswertes 243 Audit Daten Wissenswertes 243 Auditeinstellungsdatei Wissenswertes 244 Audit Element Wissenswertes 245 AuditEvent Element Wissenswertes 247 auditlevel Parameter Audit Elemente 245 Aufgaben Audit erm glichen 254 E Mail Benachrichtigungen angeben 230 Authentifizierungsschemen 342 Bekanntes Identit tsrichtlinien Attribut Feld 231 Benutzerdefinierte Einstellungen Importieren und Exportieren 241 Bereiche Authentifizierungsschemen konfigurieren 342 C CA IdentityMinder Benutzerkonsole Zugreifen 198 CA IdentityMinder Umgebungen Audit 243 Authentifizierungsschema konfigurieren 342 Zugreifen 198 CA IdentityMinder Verzeichnisse Validierungsregels tze anzeigen 185 ClassFilters 88 D Datenquellenparameter Audit Elemente 246 directory xml Konventionen 53 Selbstabonnierende Gruppen konfigurieren 89 149 displayName ImsManagedObjectAttr Anweisungen 123 Dynamische Gruppen Konfigurieren 89 Index 383 E
377. r ein http hostname iam im neteauto imcss index jsp Hostname Definiert den vollst ndig qualifizierten Dom nennamen wie im folgenden Beispiel http myserver mycompany com iam im neteauto imcss index jsp Hinweis Wenn Sie das NeteAuto Design nicht konfiguriert haben k nnen Sie die folgende URL verwenden um auf die NeteAuto Umgebung zuzugreifen http hostname iam im neteauto Geben Sie im Anmeldefenster die folgenden Anmeldeinformationen ein Benutzername SuperAdmin Kennwort test F hren Sie den folgenden Vorgang aus um einen Benutzer zu ndern Gehen Sie wie folgt vor 1 42 Konfigurationshandbuch Melden Sie sich als SuperAdmin an der NeteAuto Umgebung mithilfe des Kennworttests an Benutzer ausw hlen Benutzer verwalten Benutzer ndern Das Fenster Benutzer ausw hlen wird angezeigt Klicken Sie auf Suchen CA IdentityMinder zeigt eine Liste von Benutzern in der NeteAuto Umgebung an W hlen Sie den NeteAuto Administrator wie folgt aus m F r LDAP Verzeichnisse NeteAuto Administrator m F r relationale Datenbanken NeteAuto Admin Klicken Sie auf Ausw hlen CA IdentityMinder zeigt das Profil f r den NeteAuto Administrator an 5 6 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Geben Sie Manager im Titel Feld ein Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren Weisen Sie die
378. r sind optional Anmeldeinformationen Unterelement Um eine Verbindung zu einem LDAP Verzeichnis herzustellen muss CA IdentityMinder g ltige Anmeldeinformationen bereitstellen Die Anmeldeinformationen werden in dem Anmeldeinformationen Unterelement definiert das dem folgenden Code entspricht lt Credentials user SMDirUser cleartext true gt MyPassword lt Credentials gt Sofern Sie kein Kennwort in den Anmeldeinformationen angeben verlangt das Unterelement nach dem Kennwort wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen Hinweis Es wird empfohlen das Kennwort in der Management Konsole anzugeben 56 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Wenn Sie das Kennwort in der Management Konsole angeben wird es von CA IdentityMinder verschl sselt Andernfalls sollten Sie das Kennwort mit dem Kennwort Tool das zusammen mit CA IdentityMinder installiert wird verschl sseln sodass dieses nicht als unverschl sselter Text angezeigt wird Hinweis Sie k nnen nur einen Satz von Anmeldeinformationen angeben Wenn Sie mehrere Verzeichnisse definieren wie im Verbindungs Unterelement beschrieben m ssen die von Ihnen angegebenen Anmeldeinformationen f r alle Verzeichnisse gelten Das Anmeldeinformationen Unterelement enth lt die folgenden Parameter user Gibt die Anmelde ID f r ein Konto an das auf das Verzeichnis zugreifen kann Bei Provisioning Benutzern muss das Benu
379. r und Oracle Datenbanken enth lt CA IdentityMinder eine Version der NeteAuto Umgebung die keine Organisationen umfasst Diese CA IdentityMinder Umgebung schlie t die folgenden drei Benutzer ein 30 Konfigurationshandbuch Superadmin stellt das Administratorkonto mit der Systemmanager Rolle f r diese CA IdentityMinder Umgebung dar Als Superadmin k nnen Sie alle standardm igen Admin Aufgaben ausf hren Hinweis Informationen ber eine Beschreibung der standardm igen Admin Aufgaben k nnen Sie dem Administrationshandbuch entnehmen SelfRegUser stellt das Administratorkonto dar das CA IdentityMinder verwendet um die Selbstregistrierung f r die CA IdentityMinder Umgebung zu aktivieren NeteAuto Administrator besitzt keine Berechtigungen wenn Sie die NeteAuto Umgebung installieren Sie k nnen jedoch dem NeteAuto Administratorkonto die Gruppen Manager Rolle zuweisen So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Die folgende Abbildung beschreibt das NeteAuto Beispiel f r eine relationale Datenbank jedoch ohne Organisationen tblUserRoles T userid Tre tblUserExtraAttrs Ki l tblGroupMembers z E groupid rm addens userid tblGroupAdmins groupid userid Installationsdateien f r die NeteAuto Umgebung CA IdentityMinder enth lt ein Set von Dateien die Sie verwenden k nnen um eine CA IdentityMinder Beispielumgebung einzurichten Eine CA IdentityMinder Umgeb
380. r zum Authentifizieren eines Administrators verwendet der auf die Management Konsole zugreifen kann CA IdentityMinder erstellt einen Benutzer mit den Anmeldeinformationen die Sie in einem Bootstrap Verzeichnis namens AuthenticationDirectory angeben Sie k nnen dieses Verzeichnis in der Management Konsole anzeigen Hinweis Sie k nnen die systemeigene Sicherheit nicht verwenden um die Management Konsole zu sch tzen wenn CA IdentityMinder mit CA SiteMinder integriert ist Management Console Logout Help technologies Home gt Directories en Used For d Name Description Type Authentication Environment s E AuthenticationDirectory This is a bootstrap Relational directory used for Database true authentication Orgless Wichtig AuthenticationDirectory ist ein reines Bootstrap Verzeichnis Das Kennwort in diesem Verzeichnis wird nicht verschl sselt CA Technologies empfiehlt dringend dass Sie nach der Anmeldung an der Management Konsole ein anderes Verzeichnis f r die Authentifizierung konfigurieren siehe Seite 277 276 Konfigurationshandbuch Sicherheit an der Management Konsole Hinzuf gen zus tzlicher Administratoren zur Management Konsole Standardm ig hat eine Management Konsole die durch die systemeigene CA IdentityMinder Sicherheit gesch tzt wird ein Administratorkonto das w hrend der Installation in einem neuen CA IdentityMinder Verzeichnis erstellt wird Um zus tzlich
381. ration des JBoss Apache Plug ins f r IIS 6 0 Gehen Sie wie folgt vor 1 10 11 12 316 Konfigurationshandbuch Stellen Sie einen ISAPI Filter auf dem Dateisystem bereit und aktualisieren Sie ihn Stellen Sie den ISAPI Ordner im Stammverzeichnis des Laufwerks C bereit Bearbeiten Sie die Datei jakarta reg im entpackten Ordner Wenn Sie den ISAPI Ordner im Stammverzeichnis von C platziert haben ndern Sie diese Datei nicht Wenn Sie sie in einem anderen Ordner ablegen geben Sie diesen Ordner in den Zeilen 9 11 und 12 an Speichern Sie Ihre nderungen und doppelklicken Sie dann um die Registrierung zu aktualisieren Bearbeiten Sie die Datei workers properties durch das Angeben des Speicherorts Ihres JBoss Anwendungsservers Der Port und Typ m ssen nicht ge ndert werden Stellen Sie den ISAPI Filter auf IIS bereit ffnen Sie den Internetinformationsdienste Manager ber die Verwaltung Blenden Sie die Ebenen ein bis die Standardwebsite sichtbar ist Klicken Sie mit der rechten Maustaste und w hlen Sie Neu Virtuelles Verzeichnis aus Geben Sie jakarta als Alias ein Verweisen Sie auf den Pfad wo Sie das ISAPI Plug in installiert haben Aktivieren Sie Lesen Skripts ausf hren wie ASP und Ausf hren wie ISAPlI Anwendungen oder CGI Klicken Sie auf Weiter um fortzufahren und den Assistenten fertig zu stellen Klicken Sie mit der rechten Maustaste auf Standardwebsites und w hlen Si
382. rationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Geben Sie einen Benutzer oder Gruppen Container an F hren Sie den folgenden Vorgang aus um einen Benutzer oder Gruppen Container anzugeben Gehen Sie wie folgt vor 1 Machen Sie das Container Element im Benutzerobjekt oder Gruppenobjekt Abschnitt ausfindig 2 Geben Sie Werte f r die folgenden Parameter an objectclass Legt die LDAP Objektklasse des Containers fest in dem die Objekte eines bestimmten Typs erstellt werden Zum Beispiel ist der Standardwert f r den Benutzercontainer top organizationalUnit was anzeigt dass Benutzer in LDAP Organisationseinheiten ou erstellt werden Wenn Sie dynamische oder verschachtelte Gruppen verwalten m ssen Sie sicherstellen dass Sie eine Objektklasse angeben die diese Gruppentypen unterst tzt siehe Seite 89 Hinweis Dieser Parameter ist erforderlich Attribut Gibt das Attribut an das den Containernamen zum Beispiel ou speichert Das Attribut wird paarweise mit dem Wert angeordnet um das relative DN des Containers zu bilden wie im folgenden Beispiel dargestellt ou People Hinweis Dieser Parameter ist erforderlich value Gibt den Namen des Containers an Hinweis Dieser Parameter ist erforderlich Hinweis Sie k nnen keine Container f r Organisationen angeben Attributbeschreibungen Ein Attribut speichert Information zu einer Eingabe wie etwa eine Telefonn
383. rationsschritte damit sie Paging unterst tzen Weitere Informationen finden Sie in den folgenden Themen Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server siehe Seite 99 Konfigurieren von Paging Unterst tzung f r Active Directory Wenn der Benutzerspeicher kein Paging unterst tzt und ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder nur den Wert f r maxrows zum Steuern der Suchgr e Kapitel 3 Verwaltung des LDAP Benutzerspeichers 97 So verbessern Sie die Leistung von Verzeichnissuchen Sie k nnen die maximale Zeilenanzahl und Seitengr e an den folgenden Positionen konfigurieren Benutzerspeicher In den meisten Benutzerspeichern und Datenbanken k nnen Sie Beschr nkungen f r die Suche konfigurieren Hinweis Weitere Informationen finden Sie in der Dokumentation zu dem verwendeten Benutzerspeicher oder zu der verwendeten Datenbank CA IdentityMinder Verzeichnis Sie k nnen das DirectorySearch Element siehe Seite 58 in der verwendeten Verzeichniskonfigurationsdatei directory xmi konfigurieren um das CA IdentityMinder Verzeichnis zu erstellen Standardm ig ist der Wert f r die maximale Zeilenanzahl und Seitengr e f r vorhandene Verzeichnisse unbegrenzt F r neue Verzeichnisse ist der Wert f r die maximale Zeilenanzahl unbegrenzt und der Wert f r die Seitengr e ist 2000 Definition f r verwaltete Objekte Um die maximale Zeilenanzahl und Seit
384. rd So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben Um ein Verzeichnis zu verwalten muss CA IdentityMinder die Struktur und den Inhalt eines Verzeichnisses verstehen Um das Verzeichnis f r CA IdentityMinder zu beschreiben ndern Sie die Verzeichniskonfigurationsdatei directory xml im entsprechenden Vorlagenverzeichnis Die Verzeichniskonfigurationsdatei weist die folgenden wichtigen Konventionen auf m H Kennzeichnet erforderliche Werte Um s mtliche erforderlichen Information anzugeben m ssen Sie alle doppelten Rautenzeichen ausfindig machen und diese durch entsprechende Werte ersetzen Beispiel DISABLED_STATE zeigt an dass Sie ein Attribut bereitstellen m ssen um den Kontostatus eines Benutzers zu speichern m Kennzeichnet Werte die von CA IdentityMinder ausgef llt werden Diese Werte d rfen in der Verzeichniskonfigurationsdatei nicht ge ndert werden CA IdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf diese Werte anzugeben Bevor Sie die Verzeichniskonfigurationsdatei ndern ben tigen Sie die folgenden Informationen m LDAP Objektklassen f r die Benutzer Gruppen und Organisationsobjekte m Liste von Attributen in Benutzer Gruppen und Organisationsprofilen So wird die Verzeichniskonfigurationsdatei ge ndert F hren Sie die folgenden Schritte aus um die Verzeichniskonfigurationsdatei zu ndern Hinweis Schritte die erforderlich sind wer
385. rechenden CA IdentityMinder Umgebung Das Eigenschaftsfenster f r diese Umgebung wird angezeigt 3 Klicken Sie auf Role and Task Settings Rollen und Aufgaben Einstellungen und anschlie end auf Export 4 Klicken Sie auf ffnen um die Datei in einem Browserfenster anzuzeigen oder auf Speichern um die Einstellungen in einer XML Datei zu speichern Kapitel 6 CA IdentityMinder Umgebungen 219 Role and Task Settings Rollen und Aufgabeneinstellungen Importieren von Rollen und Aufgabeneinstellungen Rollen und Aufgabeneinstellungen werden in XML Dateien definiert die als Rollendefinitionsdateien bezeichnet werden Sie k nnen vordefinierte Rollendefinitionsdateien importieren um bestimmte CA IdentityMinder Funktionss tze zum Beispiel Smart Provisioning zu unterst tzen oder Rollendefinitionsdateien in eine Umgebung aus einer anderen importieren Hinweis Sie k nnen auch Rollendefinitionen f r benutzerdefinierte Connectors importieren die mit Connector Xpress erstellt werden Sie erstellen diese Rollendefinitionsdateien mit dem Generator f r Rollendefinitionen Weitere Informationen finden Sie im Connector Xpress Handbuch Gehen Sie folgenderma en vor um Rollen und Aufgabeneinstellungen zu importieren Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste von CA IdentityMinder Umgebungen wird angezeigt 2 Klicken Sie auf den Namen der CA IdentityMinder Umgebung in di
386. ren Organisationen Eine Objektbeschreibung enth lt die folgenden Informationen m Informationen zum Objekt siehe Seite 118 wie etwa zur LDAP Objektklasse oder zum Container in dem Objekte gespeichert werden m Die Attribute in denen Informationen zu einem Eintrag gespeichert sind siehe Seite 123 Zum Beispiel ist im Attribut pager eine Pagernummer gespeichert Hinweis Eine CA IdentityMinder Umgebung unterst tzt nur einen Typ von Benutzer Gruppe oder Organisationsobjekt Zum Beispiel weisen alle Benutzerobjekte die gleiche Objektklasse auf Beschreibung von verwalteten Objekten Ein verwaltetes Objekt wird durch das Angeben der Objektinformation in den Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei beschrieben Hinweis Wenn die Konfigurationsvorlage directory xml Datei verwendet wird ist der Organisationsobjekt Abschnitt f r jene Benutzerverzeichnisse nicht verf gbar die keine Organisationen unterst tzen Jeder dieser Abschnitte enth lt ImsManagedObject Elemente wie im folgenden Beispiel dargestellt lt ImsManagedObject name User description My Users objectclass top person organizationalperson inetorgperson objecttype USER gt 60 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Optional kann das ImsManagedObject Element ein Container Element enthalten wie im folgenden Beispiel dargestellt
387. rf gbaren Attribute angezeigt die einem Aufgabenfenster hinzugef gt werden k nnen Hinweis Sie d rfen den Anzeigenamen eines Attributs in der Verzeichniskonfigurationsdatei directory xmi nicht ndern Um den Namen des Attributs in einem Aufgabenfenster zu ndern geben Sie in der Aufgabenfensterdefinition eine Bezeichnung f r das Attribut an Weitere Informationen finden Sie im Administrationshandbuch Beschreibung 124 Konfigurationshandbuch Gibt die Beschreibung des Attributs an So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei valuetype Gibt den Datentyp des Attributs an Die folgenden Werte sind g ltig Zeichenfolge Der Wert kann eine beliebige Zeichenfolge sein Dies ist der Standardwert Integer Der Wert muss eine Ganzzahl sein Hinweis Der Parameter Integer unterst tzt keine Dezimalzahlen Number Der Wert muss eine Ganzzahl sein Der Parameter Number unterst tzt Dezimalzahlen Datum Der Wert muss sich in ein g ltiges Datum nach folgendem Muster aufl sen lassen MM TT JJ ISODate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJ MM TT aufl sen lassen UnicenterDate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJJJJTTT aufl sen lassen Dabei gilt JJJJJJ ist eine siebenstellige Darstellung des Jahres beginnend mit drei Nullen Beispiel 0002008 TTT ist eine dreistellige Darstellung des Tages beginnend mit Nullen sofern erf
388. rganisationen k nnen Benutzer Gruppen und andere Organisationen enthalten Hinweis Weitere Informationen zur Konfiguration von Organisationen finden Sie unter Organisationsverwaltung siehe Seite 151 Eine Objektbeschreibung enth lt die folgenden Informationen m Informationen zu dem Objekt siehe Seite 118 wie die Tabellen in denen das Objekt gespeichert ist m Die Attribute in denen Informationen zu einem Eintrag gespeichert sind siehe Seite 123 Zum Beispiel ist im Attribut pager eine Pagernummer gespeichert Wichtig Eine CA IdentityMinder Umgebung unterst tzt nur jeweils einen Typ von Benutzer Gruppen und Organisationsobjekt So beschreiben Sie ein verwaltetes Objekt Ein verwaltetes Objekt wird beschrieben indem Sie Objektinformation in den Abschnitten f r Benutzerobjekt Gruppenobjekt und Organisationsobjekt wenn die Datenbank Organisationen einschlie t der Verzeichniskonfigurationsdatei angeben Jeder dieser Abschnitte enth lt ein ImsManagedObject Element wie zum Beispiel der folgende Code lt ImsManagedObject name User description My Users gt Das ImsManagedObject Element kann die folgenden Elemente enthalten m Table erforderlich m Uniqueldentifier erforderlich m ImsManagedObjectAttr erforderlich m RootOrg nur f r Organisationsobjekte 118 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Datenbanktabellen Verwenden Sie das
389. rgibt die Liste dann an die Workflow Engine Normalerweise erstellen Sie nur dann eine benutzerdefinierte Teilnehmeraufl sung wenn keine der Standardteilnehmeraufl sungen die Teilnehmerliste liefern kann die f r die Aktivit t erforderlich ist Hinweis Weitere Informationen zum Erstellen benutzerdefinierter Teilnehmeraufl sungen finden Sie im Programmierhandbuch f r Java Weitere Informationen zu den standardm ige Teilnehmeraufl sungen finden Sie im Administrationshandbuch Importieren Exportieren von benutzerdefinierten Einstellungen Im Fenster Advanced Settings der Management Konsole k nnen Sie wie folgt erweiterte Einstellungen auf mehrere Umgebungen anwenden m Konfigurieren Sie erweiterte Einstellungen in einer Umgebung m Exportieren Sie die erweiterten Einstellungen in eine XML Datei m Importieren Sie die XML Datei in die erforderlichen Umgebungen Kapitel 7 Erweiterte Einstellungen 241 Fehler wegen unzureichendem Speicher in Java Virtual Machine Fehler wegen unzureichendem Speicher in Java Virtual Machine Symptom In Zeiten hoher Belastung oder hoher Last werden Fehler wegen unzureichendem Speicher in JVM ausgegeben die sich auf die Funktionalit t des CA IdentityMinder Servers auswirken L sung Wir empfehlen die JVM Debugoptionen so festzulegen dass bei unzureichendem Speicher eine Warnung angezeigt wird Hinweis Weitere Informationen zum Festlegen von JVM Debugoptionen finden Sie im Abschnitt z
390. rgleichen Das Laden einer Umgebung kann einige Minuten dauern Gehen Sie wie folgt vor 1 2 ffnen Sie Config Xpress So laden Sie eine Live Umgebung direkt von einem CA IdentityMinder Server a Klicken Sie auf die Registerkarte Server Network Server Netzwerk b Geben Sie den Namen und den Port des CA IdentityMinder Servers ein Beispiel servername ca com 8080 c W hlen Sie HTTPS verwenden aus wenn Ihr Server so eingerichtet ist dass nur HTTPS verwendet werden kann d W hlen Sie 12 5 SP7 aus wenn der Server eine h here Version als r12 5 SP6 hat e Klicken Sie auf Verbinden f W hlen Sie eine Umgebung aus der Liste Choose Environment to load Zu ladende Umgebung ausw hlen aus und klicken Sie dann auf Laden So laden Sie eine Umgebungsdatei die aus Ihrer CA IdentityMinder Umgebung exportiert wurde a Exportieren Sie eine CA IdentityMinder Umgebung b Klicken Sie in Config Xpress auf die Registerkarte File System Dateisystem c W hlen Sie die Version aus suchen Sie die Umgebungsdatei und klicken Sie dann auf Laden So laden Sie eine Baseline Umgebungsdatei die mit Config Xpress installiert wurde a Klicken Sie auf die Registerkarte Base Versions Basisversionen b W hlen Sie die gew nschte Version aus und klicken Sie dann auf Ausw hlen Config Xpress analysiert die Umgebung und zeigt dann Details der Umgebung an Kapitel 6 CA IdentityMinder Umgebungen 213
391. ribut anzugeben tablename columnname tablename Gibt den Namen der Tabelle an in der sich das Attribut befindet Die angegebene Tabelle muss die prim re Tabelle sein columnname Gibt den Namen der Spalte an in der das Attribut gespeichert ist m Das angegebene Attribut muss in der Datenbank vorhanden und in der Verzeichniskonfigurationsdatei definiert sein wie in So ndern Sie Attributbeschreibungen siehe Seite 123 beschrieben 136 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beispiel Benutzerdefinierte Vorg nge f r das Attribut Business Number Im folgenden Beispiel wird das Attribut Business Number durch den Aufruf einer gespeicherten Prozedur generiert es ist kein physisches Attribut in der Datenbank lt ImsManagedObjectAttr wellknown BUSINESS NUMBER displayname Business Number description Business Number valuetype String required false multivalued false maxlength 0 gt lt Operation name Get value call sp getbusinessnumber gt lt Parameter name USER_ID gt lt Operation gt lt Operation name Set value call sp _setbusinessnumber gt lt Parameter name USER_ID gt lt Parameter name BUSINESS_NUMBER gt lt Operation gt lt Operation name Delete value call sp _deletebusinessnumber gt lt Parameter name USER_ID gt lt Operation gt Beachten Sie Folgendes m sp_getbusinessnumber
392. rieren einer Umgebung f r die Bereitstellung d Geben Sie in das Feld Administrator f r Eingehendes die Benutzer ID des Benutzers ein den Sie in Schritt 2 erstellt haben e Klicken Sie auf Validieren um zu best tigen dass die Benutzer ID akzeptiert wurde wie im folgenden Beispiel zu sehen ist in dem die vollst ndige Benutzer ID unter der eingegebenen Benutzer ID angezeigt wird Organization for Creating su NeteAuto do securit Validate apound Unique Name ou NeteAuto de security de com sers Inbound id SuperAdmin ou Pec Validate Administrator Unique Name uid SuperAdmin ou People ou Employee ou NeteAuto de security de com f ndern Sie andere Felder in diesem Fenster Keine nderungen sind erforderlich ndern Sie nur etwas wenn Sie verstehen wie die Felder interagieren Um Details zu jedem Feld zu erhalten klicken Sie auf die Hilfeverkn pfung in dem Fenster Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste der vorhandenen Umgebungen wird angezeigt Klicken Sie auf den Namen der Umgebung die Sie dem Bereitstellungsserver zuordnen m chten Klicken Sie im Feld Bereitstellungsserver auf das Symbol mit dem Rechtspfeil Das Fenster Provisioning Properties Bereitstellungseigenschaften wird ge ffnet W hlen Sie den gew nschten Bereitstellungsserver aus Klicke
393. rmationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden ndern Sie die Eigenschaft LogOffUri im Agent Konfigurationsobjekt f r den Agenten der die CA IdentityMinder Umgebung sch tzt wie folgt m Entfernen Sie das Rautenzeichen m Geben Sie im Feld Wert folgenden URI an iam im logout jsp Hinweis Sie w hlen ein Agent Konfigurationsobjekt aus wenn Sie den Web Agenten installieren Weitere Informationen finden Sie im Installationshandbuch zum CA SiteMinder Web Access Manager Richtlinienserver Speichern Sie die nderungen Starten Sie den Webserver neu Kapitel 12 Integration von CA SiteMinder 361 SiteMinder Vorg nge Aliasnamen in SiteMinder Bereichen Ein Alias ist eine eindeutige Zeichenfolge die der URL hinzugef gt wird um auf eine CA IdentityMinder Umgebung zuzugreifen Wenn zum Beispiel der Aliasname einer Umgebung employees ist ist die URL mit der man auf diese Umgebung zugreift folgenderma en http myserver mycompany org iam im employees myserver mycompany org Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist Sie geben mindestens ein Alias an wenn Sie eine CA IdentityMinder Umgebung in der Management Konsole erstellen Sie k nnen auch ein ffentliches Alias angeben SiteMinder verwendet den Umgebungsnamen um die Objekte zu benennen die die Umgebung sch tzen Wenn Si
394. rneut sch tzen Die Richtliniendom ne wird beim Exportieren einer CA IdentityMinder Umgebung nicht aus dem Richtlinienspeicher exportiert Starten Sie den Richtlinienserver und die CA IdentityMinder Knoten neu die Sie angehalten hatten Aktualisieren von CA IdentityMinder in einer Produktionsumgebung Bei der Migration einer CA IdentityMinder Umgebung werden die folgenden Aktivit ten ausgef hrt m Wenn das gleiche Objekt an beiden Positionen vorhanden ist berschreiben die nderungen am Entwicklungsserver die nderungen am Produktionsserver m Werden in der Entwicklungsumgebung neue Objekte erstellt werden sie dem Produktionsserver hinzugef gt m Werden am Produktionsserver neue Objekte erstellt werden sie beibehalten So exportieren Sie eine CA IdentityMinder Umgebung Um eine CA IdentityMinder Umgebung auf einem Produktionssystem bereitzustellen exportieren Sie die Umgebung aus einem Entwicklungs oder Staging System und importieren Sie sie in das Produktionssystem Hinweis Wenn Sie eine zuvor exportierte Umgebung importieren zeigt CA IdentityMinder ein Protokoll in einem Statusfenster in der Management Konsole an Um Validierungs und Bereitstellungsinformationen f r jedes verwaltete Objekt und seine Attribute in diesem Protokoll anzuzeigen w hlen Sie das Feld Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren auf der Seite Environment Properties Umgebungseigenschaften aus bevor Si
395. roup Aktiviert die Unterst tzung f r dynamische und verschachtelte Gruppen Die folgenden Werte sind g ltig m NONE CA IdentityMinder unterst tzt keine dynamischen und verschachtelten Gruppen m ALL CA IdentityMinder unterst tzt dynamische und verschachtelte Gruppen m DYNAMIC CA IdentityMinder unterst tzt nur dynamische Gruppen m NESTED CA IdentityMinder unterst tzt nur verschachtelte Gruppen Nachdem Sie die Unterst tzung f r dynamische und verschachtelte Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche Gruppen in der Benutzerkonsole dynamisch und welche verschachtelt sind Hinweis Beachten Sie dass Sie den Gruppentyp auf NESTED oder ALL festgelegt haben ohne den bekannten Parameter NESTED_GROUP_MEMBERSHIP festzulegen In diesem Fall speichert CA IdentityMinder sowohl die verschachtelten Gruppen als auch die Benutzer in dem bekannten Parameter GROUP_MEMBERSHIP Die Verarbeitung von Gruppenmitgliedschaften kann geringf gig langsamer sein 90 Konfigurationshandbuch Validierungsregeln Hinzuf gen von Unterst tzung f r Gruppen als Gruppenadministrator Bei Verwaltung eines LDAP Benutzerspeichers k nnen Sie festlegen dass Gruppen als Administratoren anderer Gruppen fungieren k nnen Wenn Sie eine Gruppe als Administrator zuweisen sind nur die Administratoren dieser Gruppe Administratoren der anderen angegebenen Gruppe Die Mitglieder der
396. rt Zuordnungen zum Kennwort eines Benutzers durch Dieses Attribut muss mit dem Kennwortattribut in der SiteMinder Benutzerverzeichnisverbindung bereinstimmen Hinweis Der Wert des Attributs PASSWORD wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen Bekannte Attribute f r einen LDAP Benutzerspeicher PASSWORD_DATA F r die Unterst tzung von Kennwortrichtlinien erforderlich Gibt das Attribut an das Kennwortrichtlinieninformationen verfolgt Hinweis Der Wert des Attributs PASSWORD_DATA wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen PASSWORD_HINT Erforderlich F hrt Zuordnungen zu einem benutzerspezifischen Frage und Antwortpaar durch Das Frage und Antwortpaar wird verwendet wenn Benutzer ihre Kennw rter vergessen Um mehrere Frage und Antwortpaare zu unterst tzen m ssen Sie sicherstellen dass das PASSWORD_HINT Attribut mehrwertig ist Wenn Sie die Funktion der Kennwortdienste von SiteMinder verwenden um Kennw rter zu verwalten muss das Kennworthinweis Attribut mit dem Challenge Response Attribut im SiteMinder Benutzerverzeichnis bereinstimmen Hinweis Der Wert des Attributs PASSWORD wird in den CA Identity
397. rt werden bei denen Daten in das LDAP Verzeichnis geschrieben werden Die Daten werden im Master LDAP Verzeichnis gespeichert und entsprechend dem Replikationsschema Ihrer Netzwerkressourcen im Slave LDAP Verzeichnis repliziert Wenn Sie in einer solchen Konfiguration ein Objekt in CA IdentityMinder erstellen wird dieses im Masterverzeichnis erstellt und zus tzlich im Slaveverzeichnis repliziert W hrend des Replikationsprozesses kann es zu Verz gerungen kommen durch die der Erstellungsvorgang in CA IdentityMinder fehlschl gt Um dieses Problem zu vermeiden k nnen Sie in der Eigenschaft REPLICATION_WAIT_TIME die Wartezeit in Sekunden angeben bevor CA IdentityMinder das Zeitlimit berschreitet 94 Konfigurationshandbuch Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml das ImsManagedObject Element das das Benutzerobjekt beschreibt 2 F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name REPLICATION WAIT TIME description time delay in seconds for LDAP provider to allow replication to propagate from master to slave gt lt Property name REPLICATION WAIT_TIME gt lt time in seconds gt lt Property gt lt PropertyDict gt Hinweis Das PropertyDict Element muss das letzte Element im ImsManagedObject Element sein wie im folgenden Beispiel dargestellt lt ImsManagedObject name User descri
398. rties Anmeldeeigenschaften Geben Sie die Authentifizierungsmethode und den Speicherort der Anmeldungsseite an zu der Benutzer umgeleitet werden wenn sie auf eine Umgebung zugreifen Authentication Provider module class name Klassenname des Authentifizierungsanbietermoduls Gibt den Klassennamen des Authentifizierungsanbietermoduls an Login Page Anmeldeseite Gibt die Seite an zu der Benutzer umgeleitet werden wenn sie auf eine Umgebung zugreifen Der Webservice zur externen Ansteuerung von Aufgaben Task Execution Web Service TEWS von CA IdentityMinder erm glicht Clientanwendungen von Drittanbietern CA IdentityMinder Aufgaben zur entfernten Ausf hrung an CA IdentityMinder zu bermitteln Im Eigenschaftsfenster f r Webservices k nnen Sie den TEWS f r eine Umgebung konfigurieren In diesem Fenster k nnen Sie die folgenden Aufgaben ausf hren Aktivieren Sie TEWS f r eine CA IdentityMinder Umgebung Generieren Sie aufgabenspezifische WSDL Dokumente Web Services Definition Language Lassen Sie Identit tswechsel zu Geben Sie an dass das Admin Kennwort zur Authentifizierung erforderlich ist Konfigurieren Sie die SiteMinder Authentifizierung Konfigurieren Sie SiteMinder so dass die URL des Webservices gesichert wird wenn CA IdentityMinder mit SiteMinder integriert ist Geben Sie die Authentifizierung des Benutzernamens f r Websicherheitsservices mithilfe eines Tokens an Geben Sie mindestens einen der dr
399. rty name gt lt config property type gt java lang String lt config property type gt lt config property value gt Sitellinder lt config property value gt lt config property gt lt The property password has been removed AdminSecret is used in This is due to the fact that we have added algorithm name padding in th the algorithm name for ex PBES with its own handlers This crashes 2 Geben Sie in der Eigenschaft UserName das Konto an das verwendet wird um mit CA SiteMinder zu kommunizieren Verwenden Sie zum Beispiel das SiteMinder Konto Standardwert Falscher geheimer Admin Schl ssel Symptom Falscher geheimer Admin Schl ssel L sung Wird ein falscher geheimer Admin Schl ssel angegeben wird in ra xml der Fehler ber ung ltige Anmeldeinformationen Cannot connect to policy server Invalid credentials wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 35 52 965 WARN ims default HHRRRRRHHHHRRRRRRRHHHBEHHRRRRERHEHHRRRRRHHBERBRR 2010 12 13 10 35 52 965 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 10 35 52 965 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 35 53 137 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 35 53 153 WARN ims tmt CreateDatabaseSchema Schema for Archive is up to date 2010 12 13 10 35 53 184 WARN ims tmt CreateDatabaseSchema
400. rungsfunktion ist erforderlich Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch LAST_NAME F hrt Zuordnungen zum Nachnamen eines Benutzers durch Kapitel 3 Verwaltung des LDAP Benutzerspeichers 81 Bekannte Attribute f r einen LDAP Benutzerspeicher MEMBER_OF F hrt Zuordnungen zur Liste der Gruppen durch bei denen der Benutzer ein Mitglied ist Das physische Attribut das zu MEMBER_OF zuordnet muss mehrwertig sein um mehrere Gruppen aufzunehmen Die Verwendung dieses Attributs verbessert die Antwortzeit wenn die Gruppen eines Benutzers gesucht werden Sie k nnen dieses Attribut mit Active Directory oder einem Verzeichnisschema verwenden das die Gruppenmitgliedschaft eines Benutzers im Benutzerobjekt verwaltet ORG_MEMBERSHIP Erforderlich F hrt Zuordnungen zu dem DN jener Organisation durch zu der der Benutzer geh rt CA IdentityMinder verwendet dieses bekannte Attribut um die Struktur eines Verzeichnisses siehe Seite 87 zu bestimmen Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t ORG_MEMBERSHIP_NAME Erforderlich F hrt Zuordnungen zum benutzerfreundlichen Namen der Organisation durch in der das Profil des Benutzers vorhanden ist Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t PASSWORD 82 Konfigurationshandbuch F h
401. rzeichnis in der Management Konsole erstellen Wenn Sie die Verzeichniskonfiguration exportieren nachdem Sie ein CA IdentityMinder Verzeichnis erstellt haben werden die Verbindungsinformationen zum Benutzerverzeichnis im Anbieter Element der Verzeichniskonfigurationsdatei angezeigt 54 Konfigurationshandbuch Provider Element Verbindung zum Benutzerverzeichnis Konfigurationsinformationen werden im Anbieter Element und dessen Unterelementen in der directory xmi Datei gespeichert Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie keine Verzeichnisverbindungsinformationen in der Datei directory xml angeben Die Verbindungsinformationen werden im Assistenten f r CA IdentityMinder Verzeichnisse in der Management Konsole angegeben ndern Sie das Provider Element nur f r Aktualisierungen Das Provider Element beinhaltet die folgenden Unterelemente LDAP Beschreibt das Benutzerverzeichnis zu dem Sie eine Verbindung herstellen Anmeldeinformationen Gibt den Benutzernamen und das Kennwort f r den Zugriff auf den LDAP Benutzerspeicher an Verbindung Gibt den Hostnamen und den Port f r den Computer an auf dem sich der Benutzerspeicher befindet Bereitstellungsdom ne Definiert die Provisioning Dom ne die durch CA IdentityMinder verwaltet wird ausschlie lich f r Provisioning Benutzer Ein abgeschlossenes Anbieter Element entspricht dem folgenden Code lt Provider type LDAP userdirectory
402. s_home bin Stellen Sie sicher dass der WebSphere Anwendungsserver ausgef hrt wird Migrieren der Datei iam_im ear f r WebSphere 5 Exportieren Sie die bereitgestellte CA IdentityMinder Anwendung wie folgt Geben Sie unter Windows den folgenden Befehl ein imsExport bat path to exported ear Dabei steht path to exported ear f r den vollst ndigen Pfad und Dateinamen die vom imsExport Dienstprogramm erstellt wurden Verwenden Sie f r Windows Systeme Schr gstriche anstelle von umgekehrten Schr gstrichen wenn Sie den Pfad zur Datei was_im ear angeben Beispiel imsExport bat c program files CA CA Identity Manager exported_ear iam im ear Geben Sie unter UNIX den folgenden Befehl ein wsadmin f imsExport jacl conntype RMI port 2809 path to exported ear Dabei steht path to exported ear f r den vollst ndigen Pfad einschlie lich Dateinamen der exportierten EAR Datei 6 Kopieren Sie die exportierte EAR Datei von dem Verzeichnis auf dem Entwicklungssystem in das Sie diese exportiert haben in ein Verzeichnis auf dem System auf dem der Bereitstellungsmanager installiert ist 7 Ersetzen Sie die Datei was_im_tools_dir WebSphere ear iam_im ear policyserver_rar META INF ra xml durch die aus der Produktionsumgebung Die Datei ra xml enth lt die Verbindungsinformationen f r den Richtlinienserver 8 Stellen Sie auf dem System auf dem der Bereitstellungsmanager installiert ist die EAR Datei von Id
403. s_init as_handler as_term shlib export WebSphere AppServer bin libns41_http so Init fn as_init bootstrap properties export WebSphere AppServer config cells plugin cfg xml F gen Sie nach AuthTrans fn SiteMinderAgent in der obj conf Datei den folgenden Code hinzu Service fn as_handler Stellen Sie sicher dass das SiteMinder Web Agent Plug in mod2_sm so auf Apache Webservern vor dem WebSphere Plug in mod_ibm_app_server_http so geladen wird Dieser Befehl befindet sich im Abschnitt Dynamic Shared Object DSO Support von apache_home config httpd conf Starten Sie den Webserver neu Kapitel 12 Integration von CA SiteMinder 313 Installieren des Web Proxyserver Plug ins Installieren Sie das Proxy Plug in f r JBoss Plattform IIS Webserver auf einem Windows System Nachdem der SiteMinder Web Agent eine Anfrage f r eine CA IdentityMinder Ressource authentifiziert und genehmigt hat leitet der Webserver die Anfrage an den Anwendungsserver weiter der den CA IdentityMinder Server hostet Um diese Anfragen weiterzuleiten installieren und konfigurieren Sie einen JK Connector auf dem System wo der SiteMinder Web Agent installiert ist Weitere Informationen zum JK Connector finden Sie auf der Jakarta Projektwebsite Die CA IdentityMinder Verwaltungstools schlie en Beispielkonfigurationsdateien ein die Sie verwenden k nnen um den JK Connector zu konfigurieren Anweisungen finden Sie in der readme txt Datei i
404. selten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 Wenn die FIPS 140 2 Unterst tzung aktiviert ist wird das Attribut mithilfe der RC2 Verschl sselung oder FIPS 140 2 Verschl sselung verschl sselt 74 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Beachten Sie Folgendes bevor Sie die Verschl sselung auf Attributebene implementieren m CA lIdentityMinder kann bei einer Suche keine verschl sselten Attribute finden Nehmen Sie an dass ein verschl sseltes Attribut einer Mitglieds Admin oder Eigent merrichtlinie bzw einer Identit tsrichtlinie hinzugef gt wird CA IdentityMinder kann die Richtlinie nicht richtig aufl sen weil eine Suche nach dem Attribut nicht m glich ist Ziehen Sie in Erw gung das Attribut in der directory xmi Datei auf searchable false festzulegen zum Beispiel lt ImsManagedObjectAttr physicalname title description Title displayname Title valuetype String maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt ImsManagedObjectAttr gt m Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und ein gemeinsames Bereitstellungsverzeichnis verwendet verschl sseln Sie nicht die Bereitstellungsserver Attribute m Aktivieren Sie AttributeLevelEncrypt nich
405. snssnnnnnnn Beschreibung einer Datenbankverbindung SOL Abfrageschemen anuasiineieains nennen ehren anna aE nane en ad EE EE Bekannte Attribute f r eine relationale Datenbank zu 22204402s4000nnennnnenennnnnnnnnnnennnennnennnensnennnnnnnennsnnnennnsnnnen 144 Bekannte Attribute f r Benutzer uuuessssssesssnnennennsnennnnnnnnnnnnnnnnnnnsnnnnnsnnnnnsnsnennnsnsnnnsnsnnnssnsnnnsnsnsnnssnsnnnnssssnann Bekannte Attribute f r Gruppen eueeeseesssssnsesnennnnnsnennnnnonunnnnnnnnnnnnnonnnnnnnnnnnnnnnnnnsnnnnsnnnnnnnnnnnsnsnsnnnennnsnsnsnsnnnennnnsnnn Attribut Admin_Role_Constraint Konfigurieren von bekannten Attributen ucneeesesssseseenensssnsnnnsnenunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnsnsennanennnnennn So konfigurieren Sie selbstabonnierende Gruppen uurenessasnnssnenennnnnnnnnnnennnnnnnnnnnnnnnonnnnnnnnnnnennnnnnnnnnnennennnnnnnssennnnenn Validier ngsregeln sssrin ansie aaee a i iage aapne aaaea edoa ai ariani E Organisationsverwalt ng eissioes aaa aR nn a aE aE ehren e ai aa aiioa aE NAA ESEE So richten Sie die Unterst tzung von Organisationen ein Konfigurieren der Unterst tzung von Organisationen in der Datenbank Spezifikation der Stammorganisation sissies iindrre aaaea iinei Rair inaasa r iEn Ei eai Bekannte Attribute f r Organisationen uueeenenesensnnesnenennnnnnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnonnnnnnnsnsnsnnnnnnnnnnnn So definieren Sie die Organisationshierarchie
406. sprofil wie unter Bekannte Attribute siehe Seite 79 beschrieben Die erforderlichen und optionalen bekannten Attribute f r Organisationen lauten wie folgt ORG_DESCR Enth lt die Beschreibung einer Organisation ORG_MEMBERSHIP Erforderlich Enth lt die bergeordnete Organisation einer Organisation Hinweis Weitere Informationen zum Attribut ORG_MEMBERSHIP finden Sie unter So definieren Sie die Organisationshierarchie ORG_MEMBERSHIP_NAME Erforderlich Enth lt den benutzerfreundlichen Namen der bergeordneten Organisation siehe Seite 154 einer Organisation Kapitel 4 Verwaltung relationaler Datenbanken 153 So verbessern Sie die Leistung von Verzeichnissuchen ORG_NAME Erforderlich Enth lt den Namen der Organisation So definieren Sie die Organisationshierarchie So verbessern Organisationen haben in CA IdentityMinder eine hierarchische Struktur bestehend aus einer Stammorganisation und Unterorganisationen Dabei k nnen die Unterorganisationen weitere Unterorganisationen haben Jede Organisation mit Ausnahme der Stammorganisation hat eine bergeordnete Organisation In der folgenden Abbildung ist zum Beispiel Dealer die bergeordnete Organisation f r die Organisationen USA und Europe NeteAuto Supplier Employee Die eindeutige Kennung der bergeordneten Organisation wird in einem Attribut im Profil der Organisation gespeichert Mithilfe der Informationen in diesem At
407. ss f r den ffentlichen Bereich XXX_pub_realm Nachdem Sie beide Bereiche aktualisiert haben klicken Sie auf Senden Warten Sie auf die Aktualisierung des Agenten oder starten Sie den Webserver neu wo sich der Proxy Agent befindet Konfigurieren des SiteMinder Parameters LogOffUrT Konfigurieren des SiteMinder Parameters LogOffUrI Nachdem Sie SiteMinder zur Umgebung hinzugef gt haben bewirkt das Abmelden in CA IdentityMinder eigentlich nichts Um diese Funktionalit t wieder zu aktivieren aktualisieren Sie das Agent Konfigurationsobjekt ACO f r den Agenten auf dem Proxy Gehen Sie wie folgt vor 1 Fehlerbehebung Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Klicken Sie auf die Registerkarte Infrastruktur erweitern Sie Agent Konfiguration und klicken Sie dann auf Agent Konfiguration ndern Suchen Sie Ihr ACO Suchen Sie den Parameter LogoffUri Klicken Sie auf die Wiedergabeschaltfl che nach rechts gerichteter Pfeil links von diesem Parameter Entfernen Sie das Rautenzeichen aus dem Namen im Feld Wert und geben Sie idm logout jsp ein Klicken Sie auf OK und dann Senden um das Agent Konfigurationsobjekt zu aktualisieren Wenn der Agent das n chste Mal seine Konfiguration aus dem Richtlinienserver abruft wird die neue Einstellung bertragen Die folgenden Themen beschreiben h ufige Fehler die auftreten k nnen Wo eine Behebung m glich ist wurde diese zus
408. stratoren erm glicht Objekte wie Benutzer Gruppen oder Organisationen zu verwalten Diese Objekte werden zusammen mit einem Set von verkn pften Rollen und Aufgaben verwaltet Die CA IdentityMinder Umgebung steuert die Verwaltungs und Grafikpr sentation eines Verzeichnisses Die CA IdentityMinder Beispielumgebung umfasst Folgendes Beispielobjekte wie Benutzer und Organisationen Rollen Aufgaben und Bildschirmdefinitionen Aufgaben werden in der Benutzerkonsole angezeigt wenn Sie auf eine Registerkarte klicken wie etwa f r Benutzer oder Gruppen Basierend auf den zugewiesenen Rollen werden die verkn pften Aufgaben angezeigt wenn sich der Benutzer anmeldet Hinweis Weitere Informationen zu Rollen und Aufgaben finden Sie im Administrationshandbuch Ein Beispieldesign das die Benutzerkonsole f r NeteAuto Benutzer individuell anpasst Eine Verzeichniskonfigurationsdatei die Sie verwenden um ein CA IdentityMinder Verzeichnis zu erstellen Die Dateien f r das Erstellen der CA IdentityMinder Beispielumgebung werden unter dem folgenden Speicherort installiert admin _tools samples NeteAuto 22 Konfigurationshandbuch So wird das NeteAuto Beispiel mit Organisations Support konfiguriert In diesem Pfad bezieht sich admin_tools auf die Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA I
409. t Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java 184 Konfigurationshandbuch CA IdentityMinder Verzeichniseigenschaften Unterst tzt mehrere Werte Zeigt an ob das Attribut mehrere Werte haben kann oder nicht wie folgt zum Beispiel hat das Attribut das verwendet wird um die Mitglieder von einer Gruppe zu speichern mehrere Werte m True gibt an dass das Attribut mehrere Werte unterst tzen kann m False gibt an dass das Attribut nur einen einzelnen Wert haben kann Multiple Value Delimiter Trennzeichen bei mehreren Werten nur f r relationale Datenbanken Das Zeichen das Werte voneinander trennt wenn mehrere Werte in einer Spalte gespeichert werden System Attribute Systemattribut Zeigt an ob das Attribut nur von CA IdentityMinder verwendet wird wie folgt m True zeigt an dass das Attribut ein Systemattribut ist Das Attribut ist nicht zum Hinzuf gen zu Aufgabenfenstern verf gbar m False zeigt an dass die Benutzer dieses Attribut verwenden k nnen Das Attribut kann in Aufgabenfenstern angezeigt werden Datentyp Gibt den Datentyp des Attributs an Der Standardwert ist String Maximum Length Maximale L nge Gibt die gr tm gliche L nge an die ein Attributwert haben kann Wenn auf O festgelegt gibt es kein Limit f r die L nge des Wertes Validation Rule Set Validierungsregelsatz Gibt den Namen eines Validierungsregelsatzes an falls das Attribut einem
410. t Vorhandene Werte werden entschl sselt wenn Sie das Objekt speichern das dem Attribut zugeordnet wird Hinweis Um den Attributwert zu entschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um zum Beispiel ein Kennwort f r einen vorhandenen Benutzer zu entschl sseln speichern Sie das Benutzerobjekt mit einer Aufgabe die das Kennwortfeld enth lt beispielsweise die Aufgabe Benutzer ndern Kapitel 4 Verwaltung relationaler Datenbanken 133 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Um zu erzwingen dass CA IdentityMinder alle verschl sselten Werte erkennt und entschl sselt die f r das Attribut im Benutzerspeicher verbleiben k nnen Sie eine andere Datenklassifizierung PreviouslyEncrypted angeben Der Klartextwert wird im Benutzerspeicher gespeichert wenn Sie das Objekt speichern Hinweis Durch die Datenklassifizierung PreviouslyEncrypted wird bei jedem Laden des Objekts der Verarbeitungsaufwand erh ht Um Leistungsbeeintr chtigungen zu verhindern k nnen Sie die Datenklassifizierung PreviouslyEncrypted hinzuf gen jedes Objekt dem dieses Attribut zugeordnet ist laden und speichern und anschlie end die Datenklassifizierung wieder entfernen Mit dieser Methode werden alle gespeicherten verschl sselten Werte automatisch in gespeicherten Klartext konvertiert Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniseinstellungen f
411. t des Bereitstellungsverzeich nisses Installationspfad Bereitstellungsserver Installationsverzeichnis d ata tls client eta2_clientcert pem Bereitstellungsserver Installationsverzeichnis d ata tls client eta2_clientkey pem Bereitstellungsmanager Installationsverzeichnis data tls client eta2_clientcert pem Bereitstellungsmanager Installationsverzeichnis data tls client eta2_clientkey pem cs_install ccs data tls client eta2_clientcert pem cs_install ccs data tls client eta2_clientkey pem cs_install jes conf eta2_client p12 cadir_install config ssld impd_trusted pem cadir_install config ssld personalities impd co p em cadir_install config ssld personalities impd inc pem cadir_install config ssld personalities impd mai n pem cadir_install config ssld personalities impd noti fy pem cadir_install config ssld personalities impd rout er pem 378 Konfigurationshandbuch Beschreibung Vom Bereitstellungsserver im pem Format und von CA IAM CS im p12 Format verwendet einschlie lich signiertes Zertifikat privater Schl ssel und Stamm CA Zertifikat Von CA Directory im pem Format verwendet Es muss Zertifikatsinhalt in der folgenden Struktur enthalten Von CA Directory im pem Format verwendet Zertifikate Root CA Zertifikat Installationspfad Bereitstellungsserver Installationsverzeichnis d ata tls et2_cacert pem Bereitstellungsmanager Installationsverzeichnis data tls et2_cacert
412. t ADAM siehe Seite 293 Konfigurieren von CA Directory Server siehe Seite 293 Konfigurieren von Novell eDirectory Server siehe Seite 295 Konfigurieren von Oracle Internet Directory OID siehe Seite 296 290 Konfigurationshandbuch Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren einer relationalen Datenbank Nach der Konfiguration k nnen Sie die relationale Datenbank als SiteMinder Richtlinienspeicher verwenden Gehen Sie wie folgt vor 1 Konfigurieren Sie die Datenbank als einen unterst tzten SiteMinder Richtlinienspeicher Hinweis Anweisungen zur Konfiguration finden Sie im Installationshandbuch zum SiteMinder Richtlinienserver F hren Sie das entsprechende Skript f r Ihre Datenbank aus m SQL C Programme CA ldentity Manager lAM Suite ldentity Manager tools policystore schemas MicrosoftSQLServer ims8_mssql_ps sql Oracle opt CA IdentityManager lAM_Suite ldentity_Manager tools policystore sch emas OracleRDBMS ims8_oracle_ps sql Die vorangehenden Pfade sind die Standardinstallationsverzeichnisse Der Speicherort f r Ihre Installation kann hiervon abweichen Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server Zum Konfigurieren eines Java oder IBM Verzeichnisservers wenden Sie die entsprechende Schemadatei an Gehen Sie wie folgt vor 1 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinwe
413. t PropertyDiet name Config gt lt Property name FieldsSpan gt 1 lt Property gt Property name LabelSpan gt 1 lt Property gt lt Property name Style gt Taxt lt Property gt lt PropartyDia gt lt ScreenField gt SeraanfieldGroup gt lt PropertyDict name Config gt lt Property name Columns gt 2 lt Proparty gt lt PropaertyDict gt lt Screen gt Hory Attribute h Mimsirsios MOD nasti w Identity Poicies Policy Xpress 19 i pan A Medied G Mem Kapitel 6 CA IdentityMinder Umgebungen 217 Optimieren der Auswertung von Richtlinienregeln Optimieren der Auswertung von Richtlinienregeln Richtlinienregeln die eine Gruppe von Benutzern dynamisch identifizieren werden in der Auswertung von Richtlinien der Rollen Mitglied Admin und Eigent mer und von Identit tsrichtlinien verwendet Die Auswertung dieser Regeln kann in gro en CA IdentityMinder Implementierungen viel Zeit in Anspruch nehmen Hinweis Weitere Informationen zu Mitglieds Admin Eigent mer und Identit tsrichtlinien finden Sie im Administrationshandbuch Sie k nnen die Auswertungszeit f r Regeln mit Benutzerattributen verk rzen indem Sie die Option f r die Auswertung im Arbeitsspeicher aktivieren Wenn die Option f r die Auswertung im Arbeitsspeicher aktiviert ist ruft CA IdentityMinder Informationen ber einen zu bewertenden Benutzer aus dem Benutzerspeicher ab und speichert eine Repr sentation dieses
414. t die SQL Anweisung oder gespeicherte Prozedur an die ausgef hrt werden soll Die folgenden Werte sind g ltig m INSERT m SELECT m UPDATE m DELETE m CALL f r gespeicherte Prozeduren Hinweis Diese Parameter sind f r das SiteMinderQuery Element erforderlich Bevor Sie Abfrageschemen anpassen f hren Sie die folgenden Schritte aus Machen Sie sich mit den Standardabfrageschemen vertraut Hinweis Weitere Informationen zu den SQL Abfrageschemen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Sammeln Sie umfassende Erfahrungen mit der Entwicklung von SQL Abfragen ndern der Standardabfrageschemen F hren Sie das folgende Verfahren aus um die Standardabfrageschemen zu ndern Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniskonfigurationsdatei CA IdentityMinder generiert eine Verzeichniskonfigurationsdatei die alle aktuellen Einstellungen f r das CA IdentityMinder Verzeichnis enth lt einschlie lich der generierten Abfrageschemen Speichern Sie die Verzeichniskonfigurationsdatei Hinweis Wenn Sie eine Sicherung der urspr nglichen Verzeichniskonfigurationsdatei erstellen m chten speichern Sie die Datei unter einem anderen Namen oder in einem anderen Verzeichnis bevor Sie die exportierte Datei speichern Suchen Sie das von CA IdentityMinder generierte Abfrageschema das Sie ndern m chten Kapitel 4 Verwaltung relationaler Datenbanken 143 Bekannte
415. t f r Benutzerkennw rter in Umgebungen die den folgenden Kriterien entsprechen Umfassen eine CA SiteMinder Integration und Speichern Benutzer in einer relationalen Datenbank Wenn CA IdentityMinder mit CA SiteMinder integriert wird f hren verschl sselte Kennw rter zu Problemen wenn neue Benutzer versuchen sich anzumelden und Kennw rter als Klartext eingeben m Wenn Sie die Verschl sselung auf Attributebene f r einen Benutzerspeicher aktivieren der von anderen Anwendungen als CA IdentityMinder verwendet wird k nnen die anderen Anwendungen das verschl sselte Attribut nicht verwenden Hinzuf gen von Verschl sselung auf Attributebene Nehmen Sie an dass Sie eine Verschl sselung auf Attributebene f r ein CA IdentityMinder Verzeichnis hinzugef gt haben CA IdentityMinder verschl sselt automatisch vorhandene Klartext Attributwerte wenn Sie das Objekt speichern das dem Attribut zugeordnet ist Wenn Sie zum Beispiel das Kennwortattribut verschl sseln wird beim Speichern des Benutzerprofils das Kennwort verschl sselt Hinweis Um den Attributwert zu verschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um das Kennwortattribut im vorherigen Beispiel zu verschl sseln vergewissern Sie sich dass das Kennwortfeld der Aufgabe hinzugef gt wird die Sie zum Speichern des Objekts verwenden zum Beispiel die Aufgabe Benutzer ndern Alle neuen Objekte werden mit verschl
416. t ignoriert SiteMinderQuery Gibt die benutzerdefinierten Abfrageschemen f r die Suche nach Benutzerinformationen in einer relationalen Datenbank an Hinweis Dieses Unterelement wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In CA IdentityMinder Umgebungen die SiteMinder nicht einschlie en wird dieses Unterelement ignoriert Kapitel 4 Verwaltung relationaler Datenbanken 139 Verbindung zum Benutzerverzeichnis Eine abgeschlossene Datenbankverbindung entspricht dem folgenden Beispiel lt Provider type RDB userdirectory SMDirName gt lt JDBC datasource SMDirJDBCDataSource gt lt Credentials user SMDirUser cleartext true gt SMDirPassword lt Credentials gt lt DSN name SMDirDSN gt lt SiteMinderQuery name AuthenticateUser query SELECT TBLUSERS LOGINID FROM TBLUSERS WHERE TBLUSERS LOGINID AND TBLUSERS PASSWORD 5 gt lt provider gt Die Attribute f r das Provider Element lauten wie folgt type Gibt den Typ der Datenbank an Geben Sie f r Microsoft SQL Server und Oracle Datenbanken RDB an Standardeinstellung userdirectory Gibt den Namen der Benutzerverzeichnisverbindung an Dieser Parameter entspricht dem Namen des Verbindungsobjekts den Sie w hrend der Erstellung des Verzeichnisses angegeben haben Wenn CA IdentityMinder und SiteMinder f r Authentifizierungszwecke integriert sind wird in SiteMinder eine Benutzerverzeichnisverbindung mit dem Na
417. t ist ein Geben Sie f r LDAP Benutzer den relativen DN des Benutzers ein Wenn der DN des Benutzers zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin1 ein Hinweis Vergewissern Sie sich dass der Systemmanager nicht der gleiche Benutzer wie der Administrator des Benutzerspeichers ist Klicken Sie auf Validieren um die vollst ndige Kennung des Benutzers anzuzeigen Klicken Sie auf Weiter Aufrufen des Status einer CA IdentityMinder Umgebung 6 W hlen Sie auf der zweiten Seite des Assistenten eine Rolle aus um sie dem Benutzer wie folgt zuzuweisen m Wenn Sie die Systemmanager Rolle zuweisen m chten f hren Sie die folgenden Aufgaben aus a W hlen Sie das Optionsfeld neben der Systemmanager Rolle aus b Klicken Sie auf Fertig stellen m Wenn Sie eine andere Rolle als die des Systemmanagers zuweisen m chten f hren Sie die folgenden Aufgaben aus a W hlen Sie in der ersten Liste eine Bedingung aus b Geben Sie im zweiten Listenfeld den Teil eines Rollennamens oder einen vollst ndigen Rollennamen oder ein Sternchen ein Klicken Sie auf Suchen c W hlen Sie die zuzuweisende Rolle aus der Suchergebnisliste aus d Klicken Sie auf Fertig stellen Im Fenster System Manager Configuration Output Systemmanager Konfigurationsausgabe werden die Statusinformationen angezeigt 7 Klicken Sie auf Fortfahren um den Systemmanager Assistenten zu schlie en
418. t kann diese Daten auf beliebige Weise entsprechend den Anforderungen der Business Logic des Objekts verwenden Benutzerdefinierte Eigenschaften werden auch f r ein bestimmtes benutzerdefiniertes Objekt definiert Nehmen Sie zum Beispiel an dass die benutzerdefinierten Eigenschaften im Eigenschaftsfenster f r den Ereignis Listener MyListener definiert werden Die objektspezifischen benutzerdefinierten Eigenschaften und die in den sonstigen Fenstern definierten umgebungsweiten Eigenschaften werden in einem einzelnen Aufruf an MyListener init bergeben Um eine benutzerdefinierte Eigenschaft hinzuzuf gen geben Sie einen Eigenschaftsnamen und wert an und klicken Sie auf Hinzuf gen Wenn Sie eine oder mehrere benutzerdefinierte Eigenschaften l schen m chten aktivieren Sie das Kontrollk stchen neben jedem zu l schenden Namen Wertpaar und klicken Sie auf L schen Nachdem Sie die nderungen durchgef hrt werden klicken Sie auf Speichern Starten Sie den Anwendungsserver neu damit die nderungen wirksam werden Hinweis Alle sonstigen Eigenschaften beachten die Gro Kleinschreibung Wenn Sie also eine Eigenschaft SelfRegistrationLogoutUrl und eine andere Eigenschaft selfregistrationlogouturl definieren werden beide Eigenschaften hinzugef gt 232 Konfigurationshandbuch Benachrichtigungsregeln Benachrichtigungsredeln Eine Benachrichtigungsregel kennzeichnet Benutzer die E Mail Benachrichtigung erhalten We
419. tellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden Erstellen Sie ein Authentifizierungsschema wie im Konfigurationshandbuch f r CA SiteMinder Richtlinienserver beschrieben ndern Sie den Bereich der die entsprechende CA IdentityMinder Umgebung sch tzt um das Authentifizierungsschema zu verwenden das Sie in Schritt 1 erstellt haben Der Bereichsname hat das folgende Format Identity Manager Umgebung_ims_realm Hinweis Wenn Sie Support f r ffentliche Aufgaben konfiguriert haben sehen Sie einen zus tzlichen Bereich Identity Manager Umgebung_pub_realm Dieser Bereich verwendet ein anonymes Authentifizierungsschema um unbekannten Benutzern zu erm glichen die Funktionen f r Selbstregistrierung und vergessene Kennw rter zu verwenden ohne Anmeldeinformationen anzugeben ndern Sie die Authentifizierungsschemen f r diese Bereiche nicht Kapitel 12 Integration von CA SiteMinder 343 SiteMinder Vorg nge Ersetzen der Standardauthentifizierung durch ein CA IdentityMinder Formular Die Standardauthentifizierungsmethode der CA IdentityMinder Dom ne ist Basis Um ein bisschen mehr Komfort f r die an eigenst ndige oder integrierte Formulare gew hnten Kunden zu demonstrieren schlie en wir ein SiteMinder Anmeldungs FCC ein das dem CA IdentityMinder Formular hnelt Gehen Sie wie folgt vor 1 Finden Sie einen Webserver in Ihrer Umgebung der das Formular hosten kann Dieser Server muss kei
420. tglied f r eine gesch tzte Ressource genehmigt finden die folgenden Ereignisse statt 1 Die Regel der Richtlinie wird in SiteMinder ausgef hrt und l st die gepaarte Antwort aus 2 Der Richtlinienserver erh lt Berechtigungsinformationen von Identity Manager zum Einschlie en in eine Antwort 3 Der Richtlinienserver bergibt das Antwortattribut an den Web Agenten 4 Der Web Agent macht die Berechtigungsinformationen f r die Anwendung als HTTP Header Variable oder als Cookie verf gbar SiteMinder generierte Antwortattribute Identity Manager bergibt Berechtigungsinformationen durch Antworten von SiteMinder Web Agent an Anwendungen Diese Antworten enthalten HTTP Header Variablen in Antwortattributen die von der Anwendung verwendet werden k nnen um die Zugriffsberechtigungen eines Benutzers zu bestimmen Antworten sind in SiteMinder Richtlinien eingeschlossen die entscheiden wie Benutzer mit einer gesch tzten Ressource interagieren SiteMinder Administratoren k nnen eine Antwort konfigurieren die zwei Typen von Antwortattributen einschlie t um einer Anwendung Informationen zu bergeben m SM_USER_APPLICATION_ROLES Anwendungs ID Gibt eine Liste von Rollen zur ck die einem Benutzer zugeordnet sind m SM _USER_APPLICATION_TASKS Anwendungs ID Gibt eine Liste von Aufgaben zur ck die ein Benutzer basierend auf ihm zugewiesenen Rollen ausf hren kann Die Anwendungs ID beschr nkt das angeforderte Set von Rol
421. thilfe des Verzeichniskonfigurations Assistenten Auxiliary Class Name Name der Hilfsklasse Gibt die Hilfsklasse des zu konfigurierenden Attributs an Schaltfl che Hinzuf gen Klicken Sie hier um eine zu konfigurierende Hilfsklasse hinzuzuf gen Objektklasse Gibt die Objektklasse des Containers an Gibt die Container ID an Name Gibt den Namen des Containers an Attribute Tabelle Gibt den physischen Namen und die Objektklasse dahingehend an ob das Attribut mit mehreren Werten ausgestattet ist Au erdem gibt es den Datentyp der ausgew hlten Attribute an Attribute in dieser Tabelle k nnen nach Ausgew hlt Objektklasse Mehrfachwerten oder Datentyp sortiert werden Schaltfl che Zur ck Klicken Sie hier um zum Bildschirm der konfigurierten verwalteten Objekte zur ckzukehren Weiter Klicken Sie hier um mit dem Fenster der bekannten Zuordnungen fortzufahren und die erforderlichen und optionalen bekannten Aliase zuzuordnen 166 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster der bekannten Zuordnungen Verwenden Sie dieses Fenster um CA IdentityMinder bekannte Attribute zu ausgew hlten LDAP Attributen zuzuordnen Ein Administrator kann in der Liste von bekannten Attributen wenn sie f r benutzerdefinierten Code erforderlich sind Elemente hinzuf gen indem er ein neues bekanntes Attribut ins Textfeld eingibt und auf die Schaltfl che Hinz
422. tieren Sie den Namen der Datenquelle f r die sp tere Verwendung Fahren Sie wie folgt fort m Windows Konfigurieren Sie die ODBC Datenquelle als ein System DN Anweisungen hierzu finden Sie in der Dokumentation zu Ihrem Windows Betriebssystem m UNIX F gen Sie der Datei system_odbec ini im Verzeichnis policy_server_installation db einen Eintrag hinzu der die Parameter f r die ODBC Datenquelle angibt So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Um eine Datenbank verwalten zu k nnen muss CA IdentityMinder die Datenbankstruktur und den Datenbankinhalt erkennen Zum Beschreiben der Datenbank in CA IdentityMinder erstellen Sie eine Verzeichniskonfigurationsdatei directory xm Die Verzeichniskonfigurationsdatei enth lt einen oder mehrere der folgenden Abschnitte Informationen zum CA IdentityMinder Verzeichnis Enth lt Information zu dem CA IdentityMinder Verzeichnis das CA IdentityMinder verwendet Attributvalidierung Definiert die Validierungsregeln die auf das CA IdentityMinder Verzeichnis angewandt werden Informationen zum Anbieter Beschreibt den Benutzerspeicher den CA IdentityMinder verwaltet Informationen zur Verzeichnissuche Erm glicht Ihnen anzugeben wie CA IdentityMinder den Benutzerspeicher durchsucht Benutzerobjekt siehe Seite 118 Beschreibt wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Kapitel 4 Ver
423. tigt auch die Best tigung von diesem Kennwort Klicken Sie auf Senden Die Aufgabe zum Erstellen des Agent Objekts wird zur Verarbeitung bermittelt und die Best tigungsmeldung erscheint Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen Der Integrationsprozess entfernt alle aktuellen Umgebungs und Verzeichnisdefinitionen Um sicherzustellen dass diese Informationen beibehalten werden exportiert der Identit tsadministrator die Umgebungen mithilfe der CA IdentityMinder Management Konsole Nachdem Sie die Integration abgeschlossen haben stellen diese Definitionen die Verzeichnisse und Umgebungen wieder her Gehen Sie wie folgt vor 1 2 3 4 5 6 7 8 9 ffnen Sie die CA IdentityMinder Management Konsole Klicken Sie auf Directories Verzeichnisse Klicken Sie auf das erste Verzeichnis in der Liste und dann auf Export Speichern und archivieren Sie die Verzeichnis xml Datei Wiederholen Sie diesen Vorgang f r die verbleibenden Verzeichnisse Klicken Sie auf Startseite und dann auf Umgebungen W hlen Sie die erste Umgebung aus Klicken Sie auf Exportieren Wiederholen Sie diesen Vorgang f r die verbleibenden Umgebungen Hinweis Dieser Prozess kann ein paar Minuten f r jede Umgebung dauern Kapitel 12 Integration von CA SiteMinder 299 L schen aller Verzeichnis und Umgebungsdefinitionen L schen aller Verzeichnis
424. tion Rule Properties Validierungsregel Eigenschaften angezeigt Name Gibt den Namen der Validierungsregel an Beschreibung Gibt eine Beschreibung der Regel an Klasse Gibt den Namen der Java Klasse an die die Validierungsregel implementiert Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel in einer Java Klasse definiert ist Dateiname Gibt den Namen der Datei an die die JavaScript Implementierung der Validierungsregel enth lt Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel in einer Datei definiert ist Regul rer Ausdruck Gibt den regul ren Ausdruck an der die Validierungsregel implementiert Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel als regul rer Ausdruck definiert ist 186 Konfigurationshandbuch Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis Validierungsregelsatz Eigenschaften Die folgenden Informationen werden im Fenster Validation Rule Set Properties Validierungsregelsatz Eigenschaften angezeigt Name Gibt den Namen des Validierungsregelsatzes an Beschreibung Gibt eine Beschreibung f r den Validierungsregelsatz an Die Validierungsregelsatz Eigenschaftsseite schlie t auch eine Liste von Validierungsregeln im Set ein Sie k nnen auf den Namen der Validierungsregel klicken um das Fenster Validation Rule Properties Validierungsregel Eigenschaften zu ffnen Aktualisieren von Einstellungen f r ein CA IdentityM
425. tityMinder Schutz 281 Kapitel 12 Integration von CA SiteMinder Dieses Kapitel enth lt folgende Themen SiteMinder und CA IdentityMinder siehe Seite 284 So sch tzen Sie Ressourcen siehe Seite 285 bersicht ber die Integration von SiteMinder und CA IdentityMinder siehe Seite 286 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder siehe Seite 290 Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher siehe Seite 297 Erstellen eines SiteMinder 4 X Agentenobjekts siehe Seite 297 Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen siehe Seite 299 L schen aller Verzeichnis und Umgebungsdefinitionen siehe Seite 300 Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters siehe Seite 301 Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter siehe Seite 302 Neustarten des Anwendungsservers siehe Seite 303 Konfigurieren einer Datenquelle f r SiteMinder siehe Seite 303 Importieren der Verzeichnisdefinitionen siehe Seite 304 Aktualisieren und Importieren von Umgebungsdefinitionen siehe Seite 305 Installieren des Web Proxyserver Plug ins siehe Seite 305 Zuordnen des SiteMinder Agenten zu einer CA IdentityMinder Dom ne siehe Seite 326 Konfigurieren des SiteMinder Parameters LogOffUrl siehe Seite 327 Fehlerbehebung siehe Seite 327 So konfigurieren Sie CA IdentityMinder Agent Einstellungen siehe Seite 337 Konfigur
426. tityMinder Verzeichnisses ein oder suchen Sie nach der Datei Klicken Sie auf Weiter Geben Sie Werte f r die Felder in diesem Fenster folgenderma en an Hinweis Die Felder die in diesem Fenster angezeigt werden h ngen vom Benutzerspeichertyp und der Information ab die Sie in der Verzeichniskonfigurationsdatei in Schritt 4 angegeben haben Wenn Sie Werte f r eines dieser Felder in der Verzeichniskonfigurationsdatei angaben fordert CA IdentityMinder Sie nicht auf diese Werte erneut zu liefern Name Bestimmt den Namen des CA IdentityMinder Verzeichnisses das Sie erstellen Beschreibung Optional Beschreibt das CA IdentityMinder Verzeichnis Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Connection Object Name Name des Verbindungsobjekts Gibt den Namen des Benutzerverzeichnisses an das das CA IdentityMinder Verzeichnis beschreibt Geben Sie eins der folgenden Details ein m Wenn CA IdentityMinder nicht in SiteMinder integriert ist geben Sie einen aussagekr ftigen Namen f r das Objekt an das CA IdentityMinder verwendet um mit dem Benutzerspeicher Verbindung aufzunehmen m Wenn CA IdentityMinder in SiteMinder integriert ist und Sie ein Benutzerverzeichnis Verbindungsobjekt in SiteMinder erstellen wollen geben Sie einen aussagekr ftigen Namen an CA IdentityMinder erstellt das Benutzerverzeichnis Verbindungsobjekt in SiteMinder mit dem Namen den Sie angeben m Wenn CA IdentityMinder in SiteMinder
427. tname Definiert den voll qualifizierten Hostnamen des Systems auf dem der CA IdentityMinder Server installiert ist port Definiert die Portnummer des Anwendungsservers 174 Konfigurationshandbuch Aktivieren von Bereitstellungsserver Zugriff Klicken Sie auf Directories Verzeichnisse Das CA IdentityMinder Verzeichnisfenster wird ge ffnet Klicken Sie auf Create from Wizard ber Assistenten erstellen Geben Sie den Pfad und Dateinamen der Verzeichnis XML Datei f r das Konfigurieren des Bereitstellungsverzeichnisses ein Es wird unter directoryTemplates ProvisioningServer im Ordner Verwaltung gespeichert Der Standardspeicherort dieses Ordners ist m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools Hinweis Sie k nnen diese Verzeichniskonfigurationsdatei wie installiert ohne nderungen verwenden Klicken Sie auf Weiter Geben Sie Werte f r die Felder in diesem Fenster folgenderma en an Name Ist ein Name f r das Bereitstellungsverzeichnis das dem Bereitstellungsserver zugeordnet wird den Sie konfigurieren m Wenn CA IdentityMinder nicht in SiteMinder integriert ist geben Sie einen aussagekr ftigen Namen f r das Objekt an das CA IdentityMinder verwendet um mit dem Benutzerverzeichnis Verbindung aufzunehmen m Wenn CA IdentityMinder in SiteMinder integriert ist haben Sie zwei Optionen Wenn Sie ein Ben
428. tribut kann CA IdentityMinder die Organisationshierarchie erstellen Um das Attribut anzugeben in dem die bergeordnete Organisation gespeichert ist verwenden Sie die bekannten Attribute ORG_MEMBERSHIP und ORG_MEMBERSHIP_NAME wobei das physische Attribut wie folgt den Namen der bergeordneten Organisation in einer Attributbeschreibung enth lt lt ImsManagedObjectAttr physicalname tblOrganizations parentorg displayname Organization description Parent Organization valuetype Number required false multivalued false wellknown 0RG _MEMBERSHIP maxlength 0 gt Sie die Leistung von Verzeichnissuchen Um die Leistung von Verzeichnissuchen nach Benutzern Organisationen und Gruppen zu verbessern f hren Sie die folgenden Schritte aus m Indizieren Sie die Attribute die Administratoren in Suchanfragen angeben k nnen 154 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen berschreiben Sie die Standardeinstellung f r das Verzeichniszeitlimit indem Sie Werte f r die Zeitlimitsuchparameter in einer Verzeichniskonfigurationsdatei directory xm festlegen Optimieren Sie das Benutzerverzeichnis Weitere Informationen finden Sie in der Dokumentation zur verwendeten Datenbank Konfigurieren Sie datenbankspezifische Optionen in der ODBC Datenquelle Weitere Informationen finden Sie in der Dokumentation zur Datenquelle So verbessern Sie die Leistung von gro en Suchen Wenn CA IdentityMi
429. tselement delegieren Bei Aktivierung kann ein Teilnehmer der Delegierer angeben dass einem anderen Benutzer der Delegierte die Berechtigung erteilt wird Aufgaben in der Arbeitsliste des Delegierers zu genehmigen W hrend der Abwesenheit des Delegierers kann der Teilnehmer einem anderen Genehmiger Arbeitselemente zuweisen Der Delegierer beh lt w hrend des Delegationszeitraums vollen Zugriff auf seine Arbeitselemente Zur Delegation wird das folgende bekannte Attribut verwendet DELEGATORS Dieses bekannte Attribut speichert die Namen der Benutzer die Arbeitselemente an den Benutzer mit dem Attribut delegieren sowie den Zeitpunkt zu dem die Delegation erstellt wird Hinweis Weitere Informationen zum Delegieren von Arbeitselementen finden Sie im Administrationshandbuch 240 Konfigurationshandbuch Workflow Participant Resolvers Workflow Teilnehmer Resolver Workflow Participant Resolvers Workflow Teilnehmer Resolver Die Aktivit ten in einem Workflow Vorgang wie das Genehmigen oder Zur ckweisen einer Aufgabe werden von Teilnehmern ausgef hrt Im Fenster Workflow Participant Resolvers k nnen Sie einer benutzerdefinierten Teilnehmeraufl sung einer Java Klasse f r eine vollst ndig qualifizierte Teilnehmeraufl sung zuordnen Eine benutzerdefinierte Teilnehmeraufl sung ist ein Java Objekt das Teilnehmer einer Workflow Aktivit t bestimmt und eine Liste an CA IdentityMinder zur ckgibt CA IdentityMinder be
430. tyMinder Umgebung siehe Seite 13 Mehrere CA IdentityMinder Umgebungen siehe Seite 15 CA IdentityMinder Management Konsole siehe Seite 16 Zugreifen auf die CA IdentityMinder Management Konsole siehe Seite 16 So wird eine CA IdentityMinder Umgebung erstellt siehe Seite 17 Komponenten der CA IdentityMinder Umgebung Eine CA IdentityMinder Umgebung stellt die Ansicht eines Verwaltungs Namespace dar mit dem CA IdentityMinder Administratoren Objekte wie Benutzer Gruppen oder Organisationen verwalten k nnen Diesen Objekten wird ein Satz zugeh riger Rollen und Aufgaben zugeordnet Die CA IdentityMinder Umgebung steuert die Verwaltung und die grafische Darstellung eines Verzeichnisses Ein einzelner Benutzerspeicher kann mehrere CA IdentityMinder Umgebungen siehe Seite 15 verkn pfen um unterschiedliche Ansichten des Verzeichnisses zu definieren Allerdings ist eine CA IdentityMinder Umgebung nur mit einem Benutzerspeicher verkn pft CA IdentityMinder Umgebungen enthalten folgende Elemente Verzeichnis Beschreibt einen Benutzerspeicher f r CA IdentityMinder Ein Verzeichnis Element umfasst Folgendes Ein Zeiger zu einem Benutzerspeicher in dem verwaltete Objekte wie Benutzer Gruppen und Organisationen gespeichert werden Metadaten die beschreiben wie verwaltete Objekte im Verzeichnis gespeichert werden und deren Darstellung in CA IdentityMinder Provisioning Verzeichnis optional Speichert Daten
431. tzerkonto das Sie angeben das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen im Provisioning Server besitzen Hinweis Geben Sie keinen Wert f r den Benutzerparameter in der directory xml Datei an CA IdentityMinder fordert Sie beim Erstellen des CA IdentityMinder Verzeichnisses in der Management Konsole zur Eingabe der Anmelde ID auf cleartext Legt fest ob das Kennwort wie folgt im Flie text in der directory xml Datei angezeigt wird m True Das Kennwort wird als unverschl sselter Text angezeigt m False Das Kennwort wird verschl sselt Standardeinstellung Hinweis Die Parameter sind optional Verbindungs Unterelement Das Verbindungs Unterelement beschreibt den Speicherort des Benutzerspeichers den CA IdentityMinder verwaltet Dieses Unterelement enth lt die folgenden Parameter Host Gibt den Hostnamen oder die IP Adresse des Systems an in dem sich das Benutzerverzeichnis befindet Hinweis Wenn das verbundene System eine IPv6 Adresse aufweist f gen Sie die IP Adresse innerhalb der Klammern wie folgt bei lt Connection host 2 9255 214 22ff fe72 525a port 20389 failover 2 9255 214 22ff fe72 5253 20389 gt port Gibt die Port Nummer f r das Benutzerverzeichnis an Kapitel 3 Verwaltung des LDAP Benutzerspeichers 57 Verzeichnissuchparameter Failover Gibt den Hostnamen und die IP Adresse des Systems an in dem redundante Benutzerspeicher vorhanden sin
432. tzlichen Klassen im Fenster Attribut ausw hlen an und ndern Sie sie ggf Klicken Sie anschlie end auf Weiter b Verbinden Sie im Fenster Select Attributes Mapping Well Knowns Attribut ausw hlen bekannte Attribute verbinden die bekannten CA IdentityMinder Aliasnamen mit ausgew hlten LDAP Attributen und klicken Sie auf Weiter c Optional Zeigen Sie die Attributdefinitionen im Fenster Describe User Attributes Benutzerattribute beschreiben an und ndern Sie sie Klicken Sie anschlie end auf Weiter Sie k nnen den Anzeigenamen und die Beschreibung ndern d Optional Definieren Sie im Fenster User Attribute Details Benutzerattributdetails die Metadaten f r jedes ausgew hlte Attribut und klicken Sie auf Weiter Das Fenster Managed Object Selection Auswahl des verwalteten Objekts wird angezeigt Um Gruppen oder Organisationen zu konfigurieren w hlen Sie das verwaltete Objekt aus und klicken Sie auf Weiter um die Fenster Attribute f r diese Objekte aufzurufen W hlen Sie Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen aus und klicken Sie anschlie end auf Weiter Das Best tigungsfenster wird ge ffnet Zeigen Sie die Details zum Verzeichnis an Wenn Fehler aufgetreten sind klicken Sie auf die Schaltfl che Zur ck um die nderungen in den entsprechenden Fenstern auszuf hren Klicken Sie auf Fertig stellen um die nderungen zu
433. u Debugoptionen unter Java HotSpot VM Options auf http www oracle com 242 Konfigurationshandbuch Kapitel 8 berpr fung Audit Daten Dieses Kapitel enth lt folgende Themen Audit Daten siehe Seite 243 So konfigurieren Sie die berpr fung siehe Seite 243 Bereinigen der Audit Datenbank siehe Seite 256 Um eine CA IdentityMinder Umgebung zu berpr fen konfigurieren Sie in CA IdentityMinder die Protokollierung von Audit Daten Audit Daten stellen einen Verlaufsdatensatz der Vorg nge bereit die in einer CA IdentityMinder Umgebung stattfinden Audit Daten k nnen beispielsweise Folgendes enthalten m Systemaktivit t f r einen angegebenen Zeitraum m Benutzeranmeldungen und abmeldungen beim Zugriff auf eine bestimmte Umgebung m Die Aufgaben die ein bestimmter Benutzer ausf hrt m Eine Liste von Objekten die w hrend eines bestimmten Zeitraums ge ndert wurden m Die einem Benutzer zugewiesenen Rollen m Die Vorg nge die f r ein bestimmtes Benutzerkonto durchgef hrt werden Audit Daten werden f r Ereignisse in CA IdentityMinder generiert Ein Ereignis ist ein Vorgang der von einer CA IdentityMinder Aufgabe generiert wird So kann beispielsweise die Aufgabe Benutzer erstellen das Ereignis AssignAccessRoleEvent enthalten Hinweis Weitere Informationen zu Ereignissen finden Sie im Administrationshandbuch So konfigurieren Sie die berpr fung F hren Sie zum Konfigurieren der berpr
434. uf gen klickt Das Fenster wird aktualisiert sodass Sie mit dem Hinzuf gen beliebig vieler bekannter Attribute fortfahren k nnen Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Erforderliche bekannte Attribute Well Knowns Gibt die bekannten Attribute f r Benutzer Gruppen oder Organisationen an wenn anwendbar die f r die Zuordnung zu den LDAP Attributen erforderlich sind Optionale Well Knowns Gibt die bekannten Attribute f r Benutzer Gruppen oder Organisationen an wenn anwendbar die optional zugeordnet werden k nnen Neuer Well Known Gibt ein bekanntes Attribut an auf das ber benutzerdefinierten Code verwiesen wird Schaltfl che Hinzuf gen Klicken Sie hier um ein neues bekanntes Attribut zur Tabelle der optionalen Well Knowns hinzuzuf gen Schaltfl che Zur ck Klicken Sie hier um zum Fenster der ausgew hlten Benutzerattribute zur ckzugehen und weitere Attribute auszuw hlen Die Zuordnungen die Sie bereits vorgenommen haben werden gespeichert und sind verf gbar wenn Sie zu diesem Fenster zur ckkehren Schaltfl che Weiter Klicken Sie hier um mit dem Fenster der grundlegenden Objektattribut Definition fortzufahren und um grundlegende Attributdefinitionen anzugeben Weitere Informationen Bekannte Attribute f r einen LDAP Benutzerspeicher siehe Seite 79 Bekannte Attribute f r Benutzer siehe Seite 80 Bekannte Attribute f r Gruppen sieh
435. uf den LDAP Benutzerspeicher bzw den Provisioning Server an Kennwort best tigen Best tigt das Kennwort zum Zugriff auf den LDAP Benutzerspeicher bzw den Provisioning Server Sichere Verbindung Bei Auswahl wird eine Secure Sockets Layer SSL Verbindung zum LDAP Benutzerverzeichnis erzwungen Suchstamm Gibt den Speicherort in einem LDAP Verzeichnis an das als Ausgangspunkt f r das Verzeichnis dient blicherweise ist dies eine Organisation O oder eine Organisationseinheit OU Hinweis Ausschlie lich f r die LDAP Benutzerspeicher Search Maximum Rows Maximale Such Zeilen Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutzerverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen im LDAP Verzeichnis berschreiben die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung 162 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Search Page Size Suchseiten Gr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten Gr e
436. ugriffsrollen siehe Seite 345 Legt den Zugriff auf Funktionen in einer Anwendung fest Konfigurieren der LogOff URL siehe Seite 360 Verhindert unbefugten Zugriff auf eine CA IdentityMinder Umgebung durch das Erzwingen einer vollst ndigen Abmeldung Kapitel 12 Integration von CA SiteMinder 341 SiteMinder Vorg nge Aktualisieren eines Alias in SiteMinder Bereichen siehe Seite 362 Aktualisiert die Bereiche die eine CA IdentityMinder Umgebung sch tzen wenn Sie den Aliasnamen der Umgebung ndern SiteMinder Kennw rter siehe Seite 363 L sst Sie das Kennwort f r das Administratorkonto das CA IdentityMinder verwendet um mit SiteMinder zu kommunizieren und den gemeinsamen geheimen Schl ssel f r den SiteMinder Agenten ndern der eine CA IdentityMinder Umgebung sch tzt Konfigurieren der CA IdentityMinder Agent Einstellungen siehe Seite 337 Optimiert die Leistung des CA IdentityMinder Agenten der mit dem SiteMinder Richtlinienserver kommuniziert Verwenden von unterschiedlichen Verzeichnissen f r Authentifizierung und Autorisierung siehe Seite 365 Bef higt Administratoren die Profile in einem Verzeichnis haben Benutzer in einem anderen Verzeichnis zu verwalten Verbessern der Leistung von LDAP Verzeichnisvorg ngen siehe Seite 367 Erh ht den Durchsatz von CA IdentityMinder Anfragen an den Benutzerspeicher indem man SiteMinder konfiguriert um mehrere Verbindungen f r das gleiche Verzeichnis zu
437. ull javax resource spi EISSystemException Cannot connect to policy server Unknown administrator at com netegrity ra policyserver impl PSManagedConnectionFactory createManagedConnection PSManagedConnectionFactory java 299 at org jboss resource connectionmanager InternalManagedConnectionPool createConnectionEventListener InternalManagedConnectionPool java 619 at org jboss resource connectionmanager InternalManagedConnectionPool getConnection InternalManagedConnectionPool Jjava 264 at org jboss resource connectionmanager JBossManagedConnectionPool BasePool getConnection JBossManagedConnectionPool java 575 at org jboss resource connectionmanager BaseConnectionManager2 getManagedConnection BaseConnectionManager2 java 347 at org jboss resource connectionmanager TxConnectionManager getManagedConnection TxConnectionManager java 330 at org jboss resource connectionmanager BaseConnectionManager2 allocateConnection BaseConnectionManager2 java 402 at org jboss resource connectionmanager BaseConnectionManager2 ConnectionManagerProxy allocateConnection BaseConnectionManager2 java 849 Kapitel 12 Integration von CA SiteMinder 329 Fehlerbehebung Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft UserName in ra xml lt config property value gt smserver forwardinc ca 44441 44442 44443 lt co lt config property gt lt config property gt lt config property name gt UserName lt config prope
438. umgebung Nachdem Sie CA IdentityMinder von der Entwicklungs auf die Produktionsumgebung migriert haben m ssen Sie ggf inkrementelle Aktualisierungen durchf hren F hren Sie die folgenden Schritte aus um neue CA IdentityMinder Funktionen von Ihrer Entwicklungsumgebung auf Ihre Produktionsumgebung zu migrieren 1 2 3 Migrieren Sie CA IdentityMinder Umgebungen Kopieren Sie die Datei iam_im ear Migrieren Sie Workflow Prozessdefinitionen So migrieren Sie eine CA IdentityMinder Umgebung Eine CA IdentityMinder Umgebung wird in der Management Konsole erstellt Eine CA IdentityMinder Umgebung beinhaltet eine Reihe von Rollen und Aufgabendefinitionen Workflow Definitionen mit den CA IdentityMinder APis erstellte benutzerdefinierte Funktionen und ein CA IdentityMinder Verzeichnis Gehen Sie wie folgt vor 1 260 Konfigurationshandbuch Wenn CA IdentityMinder mit SiteMinder integriert ist und Sie ein Richtlinienserver Cluster verwenden m ssen Sie sicherstellen dass nur ein Richtlinienserver ausgef hrt wird Halten Sie bis auf einen alle CA IdentityMinder Knoten an Exportieren Sie CA IdentityMinder Umgebungen ber die Management Konsole aus der Entwicklungsumgebung Importieren Sie die exportierten Umgebungen ber die Management Konsole in die Produktionsumgebung Wenn CA IdentityMinder mit SiteMinder integriert ist m ssen Sie die CA IdentityMinder Bereiche in der Benutzeroberfl che des Richtlinienservers e
439. ummer oder Adresse Ein Eingabeattribut bestimmt das entsprechende Profil Kapitel 3 Verwaltung des LDAP Benutzerspeichers 65 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte In der Verzeichniskonfigurationsdatei werden Attribute in ImsManagedObjectAttr Elementen beschrieben In den Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei k nnen Sie die folgenden Aktionen durchf hren m ndern Sie die Standardattributbeschreibungen um die Attribute in Ihrem Benutzerspeicher zu beschreiben m Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhandene Beschreibung kopieren und Werte nach Bedarf ndern F r jedes Attribut in Benutzer Gruppen und Organisationsprofilen liegt ein ImsManagedObjectAttr Element vor So wird zum Beispiel ein ImsManagedObjectAttr Element als Benutzer ID bezeichnet Ein ImsManagedObjectAttr Element entspricht dem folgenden Code lt ImsManagedObjectAttr physicalname uid displayname User ID description User ID valuetype String required true multivalued false wellknown USER ID maxlength 0 gt ImsManagedObjectAttr weist die folgenden Parameter auf physicalname Dieser Parameter muss eines der folgenden Elemente enthalten m Der Name des LDAP Attributs in dem der Profilwert gespeichert wird Die Benutzer ID wird zum Beispiel im uid Attribut im Benutzerverzeichnis gespeichert Hinweis Um die Leistu
440. und vergessene Kennw rter Dieser Bereich wird nur angezeigt wenn Sie ein ffentliches Alias konfiguriert haben Hinweis Wenn Sie die Richtlinienserver Benutzeroberfl che verwenden um den Bereich zu ndern suchen Sie zuerst die Richtliniendom ne Identity Manager UmgebungDomain f r die CA IdentityMinder Umgebung Diese Bereiche befinden sich unter der Dom ne 2 ndern Sie die Ressource f r den Bereich folgenderma en Jiam im new_alias Entfernen Sie nicht iam im das dem Alias im Ressourcenfilter vorangeht 3 Speichern Sie die nderungen Hinweis Im Abschnitt ber das ndern der CA IdentityMinder Eigenschaften finden Sie Anweisungen wie Sie ein Alias in der Management Konsole ndern ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels Wenn Sie die CA IdentityMinder Erweiterungen des Richtlinienservers installieren liefern Sie das Kennwort f r das SiteMinder Administratorkonto das CA IdentityMinder verwendet um mit dem Richtlinienserver zu kommunizieren Sie k nnen das Kennwort ndern allerdings muss das Kennwort verschl sselt werden Um ein Kennwort zu verschl sseln verwenden Sie das Kennwort Tool das mit CA IdentityMinder geliefert wird Hinweis Vergewissern Sie sich dass die JAVA_HOME Variable f r Ihre Umgebung definiert ist bevor Sie das SiteMinder Kennwort ndern Kapitel 12 Integration von CA SiteMinder 363 SiteMinder Vorg nge Gehen Sie wie folgt vor 1 Versch
441. ung stellt die Ansicht eines Verwaltungs Namespace dar der CA IdentityMinder Administratoren zum Verwalten von Objekten bef higt Diese Objekte wie Benutzer und Gruppen gehen mit einem Set von verkn pften Rollen und Aufgaben einher Die CA IdentityMinder Umgebung steuert die Verwaltungs und Grafikpr sentation eines Benutzerspeichers Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 31 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Die CA IdentityMinder Beispielumgebung umfasst Folgendes Beispielbenutzer Rollen Aufgaben und Bildschirmdefinitionen Aufgaben werden in der Benutzerkonsole angezeigt wenn Sie auf eine Kategorie klicken wie etwa f r Benutzer oder Gruppen Die Aufgaben die angezeigt werden basieren auf den Rollen die dem Benutzer zugewiesen sind Hinweis Weitere Informationen zu Rollen und Aufgaben finden Sie im Administrationshandbuch Ein Beispieldesign das die Benutzerkonsole f r NeteAuto Benutzer individuell anpasst Eine Verzeichniskonfigurationsdatei die Sie verwenden um ein CA IdentityMinder Verzeichnis zu erstellen Die Dateien f r das Erstellen der CA IdentityMinder Beispielumgebung werden unter dem folgenden Speicherort installiert admin _tools samples NeteAutoRDB NoOrganization In diesem Pfad bezieht sich admin_tools auf die Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern gespeichert Windows C Programme CA ldentity Manag
442. ung zu finden ist m False Die u ere Verkn pfung ist eine linke u ere Verkn pfung relativ zur prim ren Tabelle In diesem Fall m ssen nur die Zeilen in einer Tabelle in der Abfrage die Bedingung erf llen Standardeinstellung Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Der Parameter Table kann eines oder mehrere Reference Elemente enthalten um eine prim re Tabelle mit sekund ren Tabellen zu verkn pfen 120 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Reference Element Die Parameter im Reference Element lauten wie folgt childcol Gibt die Spalte in der sekund ren Tabelle im entsprechenden Table Element an die der Spalte in der prim ren Tabelle zugeordnet ist primarycol Gibt die Spalte in der prim ren Tabelle an die der Spalte in der sekund ren Tabelle zugeordnet ist Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Angeben von Objektinformationen Objektinformationen werden angegeben indem Sie Werte f r verschiedene Parameter festlegen Gehen Sie wie folgt vor 1 Suchen Sie das ImsManagedObject Element im Abschnitt f r Benutzerobjekte Gruppenobjekte oder Organisationsobjekte 2 Geben Sie Werte f r die folgenden Parameter an name Erforderlich Gibt einen eindeutigen Namen f r das verwaltete Objekt an Beschreibung Gibt die Beschreibung des verwalteten Objekts an objecttype Er
443. ungs Alias zum Beispiel employees Melden Sie sich bei der CA IdentityMinder Umgebung mit einem privilegierten Administratorkonto an zum Beispiel mit dem Systemmanager Konto das Sie f r die CA IdentityMinder Umgebung erstellt haben Hinweis Alle CA IdentityMinder Aufgaben sind gesch tzt au er wenn Sie ffentliche Aufgaben konfigurieren Um auf ffentliche Aufgaben zuzugreifen f r die Benutzer keine Anmeldeinformationen angeben m ssen verwenden Sie eine URL mit dem folgenden Format http Hostname iam im alias index jsp task tag tasktag Hostname Definiert den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com Konfigurieren einer Umgebung f r die Bereitstellung alias Definiert den Alias f r ffentliche Aufgaben zum Beispiel Self Service task_tag Definiert das Tag dass die Aufgabe startet Sie geben das Aufgaben Tag an wenn Sie eine Aufgabe in der Benutzerkonsole konfigurieren Die Aufgaben Tags f r die Standardaufgaben f r die Selbstregistrierung und das Zur cksetzen vergessener Kennw rter sind SelfRegistration und ForgottenPasswordReset Hinweis Weitere Informationen finden Sie im Administrationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung Sie k nnen eine Umgebung f r die Bereitstellung konfigurieren nachdem Sie den Zugriff auf den Bereitstellungsserver aktiviert haben siehe Seite 174 Erste
444. ungspfads zulassen und klicken Sie dann auf OK um das Dialogfeld ISAPI und CGl Einschr nkungen zu schlie en Erstellen Sie die neue Datei plugin cfg loc im Verzeichnis c plugin Legen Sie den Wert in der Datei plugin cfg loc auf den Speicherort der Konfigurationsdatei fest Der Standardspeicherort ist C plugin plugin cfg xml Starten Sie IIS Version 7 0 und Ihr WebSphere Anwendungsserverprofil neu Installieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf IIS Nachdem Sie den IBM HTTP Server und das Proxy Plug in konfiguriert haben vergewissern Sie sich dass plugin cfg xml des Proxys am richtigen Speicherort ist und f hren Sie die Schritte aus um eine zus tzliche Plug in Datei zu konfigurieren Gehen Sie wie folgt vor 1 Kopieren Sie plugin cfg xml folgenderma en a Melden Sie sich beim System an wo der Web Agent installiert wird b Erstellen Sie einen Ordner ohne Leerzeichen auf dem Laufwerk C Beispiel C plugin c Kopieren Sie die Datei plugin cfg xml in den Ordner C plugin Erstellen Sie eine Datei namens plugin cfg loc im Ordner C plugin und f gen Sie die folgende Zeile in die Datei ein C plugin plugin cfg xml Laden Sie das Websphere Plug in Installationsprogramm von www ibm com auf das System herunter wo WebSphere installiert ist Wechseln Sie zum Speicherort des WebSphere Plug in Installationsprogramms Generieren Sie die Datei iisWASPlugin
445. unkte falls vom Endpunkt unterst tzt m Connector Xpress falls vom Endpunkt unterst tzt m Vindows Kennwortsynchronisierungs Agenten m Java Identit ts und Zugriffsmanagement JIAM Mithilfe des Identity Manager Installationsprogramms k nnen Sie CA IdentityMinder so konfigurieren dass die Anforderungen gem FIPS 140 2 erf llt werden Alle Komponenten in einer Identity Manager Umgebung m ssen f r FIPS 140 2 aktiviert sein damit Identity Manager FIPS 140 2 unterst tzt Um FIPS 140 2 w hrend der Installation zu aktivieren ist ein FIPS Verschl sselungscode erforderlich Ein Kennwort Tool pwdtools bat pwdtools sh f r das Generieren eines FIPS Schl ssels befindet sich im folgenden Verzeichnis lt Installationspfad gt PasswordTool pwdtools bat Wichtig Verwenden Sie in allen Installationen den gleichen FIPS 140 2 Verschl sselungscode und stellen sicher dass die mit dem Kennwort Tool generierte Schl sseldatei gesichert ist 370 Konfigurationshandbuch Herstellen einer Verbindung mit SiteMinder Herstellen einer Verbindung mit SiteMinder Identity Manager r12 Modus Nur FIPS Modus Nur FIPS Nicht FIPS Modus Nicht FIPS Modus Wenn Sie w hrend der Identity Manager Installation eine Verbindung mit CA SiteMinder herstellen ist zu beachten dass der FIPS Modus und Produktversionskonfigurationen nur in dem in der folgenden Tabelle aufgef hrten Umfang unterst tzt werden SiteMinder SiteMinder Version Modus
446. unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigurationsschritte damit sie Paging unterst tzen Weitere Informationen k nnen Sie dem Abschnitt So_ verbessern Sie die Suchleistung siehe Seite 97 entnehmen Wenn der Benutzerspeicher kein Paging unterst tzt und auch ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder ausschlie lich den maxrows Wert um die Suchgr e zu steuern 3 Stellen Sie optional die Container Informationen bereit 62 Konfigurationshandbuch Container Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Um die Verwaltung zu vereinfachen k nnen Sie Objekte eines bestimmten Typs in einem Container gruppieren Wenn Sie einen Container in der Verzeichniskonfigurationsdatei angeben verwaltet CA IdentityMinder ausschlie lich Eingaben in dem Container Wenn Sie zum Beispiel einen Benutzer Container namens People angeben verwaltet CA IdentityMinder die Benutzer im People Container wie in den folgenden Abbildungen dargestellt Hierarchisches Verzeichnis NeteAuto un un nl nn un m al nn I l 1 Personen Personen steht f r Container Flaches Verzeichnis NeteAuto steht f r Container In diesen Beispielen liegen alle Benutzer in den People Containern vor Wenn Sie einen Container angeben m ssen Sie die folgenden Punkte beachten Wenn kein Container in einer Organisation vor
447. ur Auflistungsseite der Verzeichnisse wo das neue Verzeichnis aufgelistet wird Um das neue Verzeichnis zu bearbeiten oder zu exportieren w hlen Sie es aus der Verzeichnisliste aus Kapitel 5 CA IdentityMinder Verzeichnisse 171 Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Sie k nnen ein CA IdentityMinder Verzeichnis durch das Importieren einer vollst ndigen directory xml Datei in der Management Konsole erstellen oder aktualisieren Hinweis Wenn Sie ein Verzeichnis unter Verwendung einer directory xml Datei anstelle des Assistenten f r Verzeichniskonfiguration erstellen vergewissern Sie sich dass Sie die Standardkonfigurationsvorlage ge ndert haben Weitere Informationen finden Sie im Konfigurationshandbuch Gehen Sie wie folgt vor 1 172 Konfigurationshandbuch ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http hostname port iam immanage Hostname Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers Klicken Sie auf Directories Verzeichnisse Das CA IdentityMinder Verzeichnisfenster wird ge ffnet Klicken Sie auf Create or Update from XML Aus XML erstellen oder aktualisieren Geben Sie den Pfad und Dateinamen der Verzeichniskonfigurations XML Datei f r das Erstellen des CA Iden
448. urationsdatei directory xml ndern Weitere Informationen hierzu finden Sie unter So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Importieren Sie in der Management Konsole die Verzeichniskonfigurationsdatei und erstellen Sie das Verzeichnis So erstellen Sie eine JDBC Datenquelle CA IdentityMinder erfordert eine JDBC Datenquelle auf dem Anwendungsserver auf dem CA IdentityMinder installiert ist um eine Verbindung zum Benutzerspeicher herstellen zu k nnen Die Anweisungen zum Erstellen einer Datenquelle unterscheiden sich je nach Anwendungsserver Kapitel 4 Verwaltung relationaler Datenbanken 107 So erstellen Sie eine JDBC Datenquelle Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver Gehen Sie wie folgt vor 1 Erstellen Sie eine Kopie der folgenden Datei jboss_home server default deploy objectstore ds xml jboss home Das Installationsverzeichnis des JBoss Anwendungsservers auf dem CA IdentityMinder installiert ist Die neue Datei muss sich im gleichen Verzeichnis befinden 2 Benennen Sie die Datei in userstore ds xml um 3 Bearbeiten Sie die Datei userstore ds xml wie folgt a Suchen Sie das lt jndi name gt Element b ndern Sie wie folgt den Wert des lt jndi name gt Elements von idbe objectstore in userstore lt jndi name gt userstore lt jndi name gt c ndern Sie wie folgt im lt connection url gt Element den Parameter DatabaseName in den Namen der Dat
449. urationshandbuch Verwalten von Konfigurationen Verschieben von Komponenten aus einer Umgebung in eine andere Ohne Config Xpress ist das Verschieben von Komponenten zwischen Staging Bereichen eine komplexe Aufgabe die mit hoher Wahrscheinlichkeit fehlschl gt Wenn Config Xpress f r das Verschieben der Komponenten verwendet wird werden mit dem Tool auch alle erforderlichen Objekte verschoben Wenn Sie zum Beispiel eine Aufgabe verschieben die ein Fenster erfordert werden Sie in Config Xpress gefragt ob Sie auch die erforderlichen Komponenten ausw hlen m chten Config Xpress wei dass die Aufgabe dieses Fenster verwendet und auch zur Zielumgebung verschoben werden sollte Wenn Sie eine Komponente in eine Live Umgebung verschieben m chten wird sie von Config Xpress sofort hochgeladen Wenn Sie die Komponente in eine Umgebungsdatei verschieben m chten speichern Sie die Komponente als XML Datei und importieren Sie diese Datei dann in die Umgebung Gehen Sie wie folgt vor 1 Laden Sie die Umgebung die die Komponente enth lt die Sie verschieben m chten 2 Vergleichen Sie diese Umgebung mit einer zweiten a Klicken Sie auf Compare Vergleichen b Laden Sie die Zielumgebung Config Xpress zeigt eine Liste der Unterschiede zwischen den beiden Umgebungen an 3 Suchen Sie in der Liste mit den Unterschieden nach einer Komponente die Sie verschieben m chten Zum Sortieren der Liste k nnen Sie auf die Spalte Name kl
450. utzerverzeichnis Verbindungsobjekt in SiteMinder erstellen wollen geben Sie einen aussagekr ftigen Namen an CA IdentityMinder erstellt dieses Objekt in SiteMinder mit dem Namen den Sie angeben Wenn Sie mit einem vorhandenen SiteMinder Benutzerverzeichnis Verbindung aufnehmen wollen geben Sie den Namen des SiteMinder Benutzerverzeichnis Verbindungsobjekts genau an wie er in der Richtlinienserver Benutzeroberfl che angezeigt wird Beschreibung Optional Beschreibt das CA IdentityMinder Verzeichnis Host Gibt den Hostnamen oder die IP Adresse des Servers an auf dem das Benutzerverzeichnis installiert ist Port Gibt die Portnummer des Benutzerverzeichnisses an Kapitel 5 CA IdentityMinder Verzeichnisse 175 Aktivieren von Bereitstellungsserver Zugriff 176 Konfigurationshandbuch Dom ne Gibt den Namen der Bereitstellungsdom ne an die CA IdentityMinder verwaltet Wichtig Wenn Sie ein Bereitstellungsverzeichnis ber die Management Konsole mit fremdsprachigen Zeichen als Dom nenname erstellen schl gt die Bereitstellungsverzeichnis Erstellung fehl Der Name muss mit dem Namen der Bereitstellungsdom ne bereinstimmen den Sie w hrend Installation angaben Hinweis Der Dom nenname ber cksichtigt Gro und Kleinschreibung Benutzername Gibt einen Benutzer an der sich beim Bereitstellungsmanager anmelden kann Der Benutzer muss das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen f
451. w hlte CA IdentityMinder Verzeichnis angezeigt Das Fenster Directory Properties ist in die folgenden Abschnitte auf geteilt Directory Properties Zeigt grundlegende Eigenschaften f r das CA IdentityMinder Verzeichnis einschlie lich der zugeordneten Bereitstellungsdom ne an wenn Bereitstellung f r die Umgebung aktiviert ist Managed Objects Verwaltete Objekte siehe Seite 181 Gibt Beschreibungen des Typs von Benutzerspeicherobjekten an die CA IdentityMinder verwaltet Validation Rule Sets Validierungsregels tze siehe Seite 185 Listet Validierungsregels tze auf die sich auf das CA IdentityMinder Verzeichnis beziehen Kapitel 5 CA IdentityMinder Verzeichnisse 179 CA IdentityMinder Verzeichniseigenschaften Environments Umgebungen Listet die Umgebungen auf die dem CA IdentityMinder Verzeichnis zugeordnet werden Ein Verzeichnis kann mehreren CA IdentityMinder Umgebungen zugeordnet werden Um weitere Informationen zu einer CA IdentityMinder Umgebung anzuzeigen klicken Sie auf den Namen der Umgebung Um Eigenschaften in einem CA IdentityMinder Verzeichnis zu ndern importieren Sie eine Verzeichniskonfigurationsdatei wie in Aktualisieren von CA IdentityMinder Verzeichnissen siehe Seite 188 beschrieben Zus tzlich zum Anzeigen der Eigenschaften k nnen Sie auch die folgenden Aktionen ausf hren Update Authentication Authentifizierung aktualisieren Erlaubt Administratoren das Verzeichnis zu
452. waltung relationaler Datenbanken 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Gruppenobjekt siehe Seite 118 Beschreibt wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Organisationsobjekt siehe Seite 118 Beschreibt wie Organisationen gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Selbstabonnierende Gruppen Konfiguriert die Unterst tzung f r Gruppen denen Self Service Benutzer beitreten k nnen Das Verzeichnis in dem Sie die Verwaltungstools f r CA IdentityMinder installiert haben enth lt die folgende Vorlage einer Verzeichniskonfigurationsdatei f r relationale Datenbanken admin_tools directoryTemplates RelationalDatabase directory xml admin_tools Definiert das Installationsverzeichnis der CA IdentityMinder Verwaltungstools wie in den folgenden Beispielen dargestellt m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Hinweis Die Vorlage der Verzeichniskonfigurationsdatei in directoryTemplates RelationalDatabase ist f r Umgebungen konfiguriert die Organisationen unterst tzen Um eine Verzeichniskonfigurationsdatei f r eine Umgebung anzuzeigen die keine Organisationen einschlie t suchen Sie in der Datei directory xml nach dem NeteAuto Beispiel im Verzeichnis admin_tools samples NeteAutoRDB NoOrga
453. warten Wenn Sie den Workflow f r Ihre Umgebung aktiviert haben sehen Sie etwa folgenden Fehler Exception during page display java lang IllegalArgumentException at com netegrity webapp bean WorkList WorkList java 84 at com netegrity webapp bean WorkList WorkList java 70 at com netegrity webapp bean WorkList getConsoleWorkListFromRequest WorkList java 109 at com netegrity taglib skin TagUtilLocal getWorkltems TagUtilLocal java 660 at com netegrity taglib skin TagUtilLocal hasWorkltems TagUtilLocal java 846 at com netegrity taglib skin IWorkltemsTag doStartTag IfWorkltemsTag java 73 at idm_jsp app ca12 home_jsp _jspService Unknown Source at org apache jasper runtime HttpJspBase serice HttpJspBase java 70 at javax senlet http HttpSenlet service HttpSenvet java 803 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 290 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at org apache catalina core ApplicationDispatcher invoke ApplicationDispatcher java 654 at org apache catalina core ApplicationDispatcher dolnclude ApplicationDispatcher java 557 at org apache catalina core ApplicationDispatcher include ApplicationDispatcher java 481 at org apache jasper runtime JspRuntimeLibrary include JspRuntimeLibrary java 968 at idm_jsp app ca12 index_jsp _jspx_meth_skin_ifhomepage_0 Unknown Source at idm_jsp app ca12 index_jsp _jspService Unknown Source
454. weils eine andere CA IdentityMinder Umgebung f r jedes Set von Benutzern einsetzen m Verwalten Sie Objekte mit unterschiedlichen LDAP Objektklassen Ziehen Sie dabei in Betracht dass CA IdentityMinder ein LDAP Verzeichnis verwaltet Innerhalb des gleichen Verzeichnisses k nnen Sie Objekte des gleichen Typs mit verschiedenen Objektklassen und attributen verwalten Beispiel Die folgende Abbildung zeigt ein Verzeichnis das zwei Typen von Benutzern enth lt Mitarbeiter die eine Mitarbeiter ID Nummer haben Zulieferer die mit einer Zuliefererzahl identifiziert werden Equation 1 Das Diagramm zeigt ein Beispiel f r zwei Identity Manager Umgebungen mit Verzeichnissen die Mitarbeiter und Zulieferer enthalten Identity Manager Umgebung X Unbegrenzte Rollen und Aufgabendefinitionen Workflow Self System Definitionen Service manager ern e Y T Benutzer Identity Vordefinierte definierte Minder Aufgaben und Rollen Funktionen Verzeichnis definitionen SRLS Mitarbeiter Gruppen Organisation Identity Manager Umgebung Y Unbegrenzte Rollen und Aufgabendefinitionen Workflow Self System Definitionen Service manager a her Vordefinierte Benutzer Identity definierte Minder Aufgaben und Rollen Funktionen Verzeichnis definitionen Zulieferer Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 15 CA IdentityMinder Management Konsole CA IdentityMinder Management Konsole
455. wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In Umgebungen die SiteMinder nicht einschlie en wird dieser Parameter ignoriert Wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsbole erstellen generiert CA IdentityMinder einen Satz von Abfrageschemen die auf den erforderlichen Abfrageschemen in SiteMinder basieren Ausf hrliche Informationen ber SiteMinder Abfrageschemen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Die Tabellen und Spaltennamen in den SiteMinder Abfrageschemen werden durch die Daten ersetzt die Sie in der Verzeichniskonfigurationsdatei angeben So definieren Sie benutzerdefinierte Abfrageschemen Abfrageschemen werden in SiteMinderQuery Elementen in der Verzeichniskonfigurationsdatei definiert Ein SiteMinderQuery Element entspricht dem folgenden Beispiel lt SiteMinderQuery name SetUserProperty query update tblUsers set amp apos s amp apos where loginid amp apos s amp apos gt Hinweis In der Beispielabfrage ist amp apos die XML Syntax f r das einzelne Anf hrungszeichen Das SiteMinderQuery Element gilt nur wenn CA IdentityMinder und SiteMinder integriert sind 142 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Die Parameter f r Abfrageschemen lauten wie folgt name Gibt den neudefinierten Namen eines SiteMinder Abfrageschemas an ndern Sie diesen Wert nicht Abfrage Gib
456. wortfeldern beim Zur cksetzen des Benutzerkennworts eenn 229 EreigmISliS tE eean e a A a EEE a E O A ee a E A 229 E Mail Ben chrichtigungen a u 0 uee arena RE A aiea 230 Ereignis LisStenet sssrinin oinean raos S une Eto Ea EE EET Ea eE S aN EEO EEP EN aE ro EESAN aN T LOTEEN er iori 230 Identit tsrichtlinien s nsessenensesee ee esse eisen AEEA EEPE 231 Logical Attribute Handler 202cssnensesssnnnsenonnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnennnnnsnsnsnnnnnnnnnsnsnnesnnnennnsnsnsnnnn 231 SOMSTIBE SC He ren a E E E DIE SBEEEUTHRERER DEE DER TER REES E E EiS 232 Benachrichtigungsregeln uuu 0000 ein a E aan nun E EE Ea a REENER 233 Ofganisationsausw ahlasazse rarnana a EA EA EEE EE A E N aai 233 Bereitstell mg soiien ninaiona ar E Ea aai EEA A bannen EA EE E A a a n hans dee E AR EA PENEN 234 Bereitstellungsverzeichnis ns hn a ag en a a nina ae 235 Erm glichen der Erstellung von Sitzungspools uuussesenessnsnsnseenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnonnnnnsnnnnnannnnnnnenn 235 Erm glichen der Kennwortsynchronisierung uusussesensssnsnnnsenonnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnsnsnnnannnnnnennn 236 Zuordn ngen Vvon Attribute Me onerare rrean ne rennen erenen anne ran denn here EA E EErEE AA aaa 236 Eingehende Zuordnung euesan riara eaa iar tan iiaea EEEa E aE E iA eaea ES ee are 236 Ausgehende Zuordnungen ueeesesssensssssnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnsnnnnnann
457. yMinder Verzeichnisses Das Fenster Verzeichniseigenschaften wird mit den CA IdentityMinder Verzeichniseigenschaften angezeigt Kapitel 5 CA IdentityMinder Verzeichnisse 177 CA IdentityMinder Verzeichniseigenschaften CA IdentityMinder Verzeichniseigenschaften Die CA IdentityMinder Verzeichniseigenschaften sind wie folgt Hinweis Die Eigenschaften die angezeigt werden h ngen vom Typ der Datenbank oder des Verzeichnisses ab das dem CA IdentityMinder Verzeichnis zugeordnet ist Name Definiert den eindeutigen Namen des CA IdentityMinder Verzeichnisses Beschreibung Geben Sie eine Beschreibung des CA IdentityMinder Verzeichnisses ein Typ Definiert den Typ des Verzeichnisanbieters Connection Object Name Name des Verbindungsobjekts Zeigt den Namen des Benutzerverzeichnisses an das das CA IdentityMinder Verzeichnis beschreibt Wenn CA IdentityMinder in SiteMinder integriert ist stimmt der Verbindungsobjektname mit dem Namen der SiteMinder Benutzerverzeichnisverbindung berein Root Organization Stammorganisation f r Benutzerspeicher die Organisationen einschlie en Gibt den Eingangspunkt f r den Benutzerspeicher an F r LDAP Verzeichnisse wird die Stammorganisation als DN angegeben F r relationale Datenbanken wird die eindeutige Kennung f r die Stammorganisation angezeigt JDBC Data Source JDBC Datenquelle Gibt den Namen der JDBC Datenquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbin
458. yee ou NeteAuto dc security descom ORG_MEMBERSHIP_NAME Identifiziert das Attribut das den benutzerfreundlichen Namen des Attributs speichert So lautet zum Beispiel der benutzerfreundliche Name des Containers im vorigen Beispiel People Diese bekannten Attribute werden folgenderma en in den Attributbeschreibungen in den Benutzerobjekt und Gruppenobjekt Abschnitten der directory xmI Datei angezeigt lt ImsManagedObjectAttr physicalname someattribute description Organization displayname Organization valuetype String required true wellknown ORG MEMBERSHIP maxlength 0 permission WRITEONCE searchable false gt F r hierarchische Benutzerspeicher Strukturen werden die physicalname Parameter und die bekannten Parameter wie folgt zum bekannten Attribut zugeordnet lt ImsManagedObjectAttr physicalname ORG MEMBERSHIP amp description Organization displayname Organization valuetype String required true wellknown ORG MEMBERSHIP maxlength 0 permission WRITEONCE searchable false gt Das Beispiel zeigt an dass CA IdentityMinder automatisch den Container DN und den benutzerfreundlichen Namen aus anderen Informationen in der directory xml Datei ableitet Stellen Sie f r flache Benutzerspeicher Strukturen die physischen Attributnamen bereit Hinweis Entsprechende Anweisungen finden Sie im Abschnitt So beschreiben Sie eine flache Benutzerverzeichnis Struktur siehe Seite 87 64 Konfigu
459. zeichnis L schen von CA IdentityMinder Verzeichnissen Bevor Sie ein CA IdentityMinder Verzeichnis l schen l schen Sie CA IdentityMinder Umgebungen die ihm zugeordnet sind Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 2 Aktivieren Sie das Kontrollk stchen links von dem zu l schenden Verzeichnis oder den Verzeichnissen 3 Klicken Sie auf L schen Eine Best tigungsmeldung wird angezeigt 4 Klicken Sie auf OK um den L schvorgang zu best tigen Kapitel 5 CA IdentityMinder Verzeichnisse 189 Kapitel 6 CA IdentityMinder Umgebundgen Dieses Kapitel enth lt folgende Themen CA IdentityMinder Umgebungen siehe Seite 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen siehe Seite 192 Erstellen einer CA IdentityMinder Umgebung siehe Seite 193 Zugreifen auf eine CA IdentityMinder Umgebung siehe Seite 198 Konfigurieren einer Umgebung f r die Bereitstellung siehe Seite 199 Verwalten von Umgebungen siehe Seite 203 Verwalten von Konfigurationen siehe Seite 211 Optimieren der Auswertung von Richtlinienregeln siehe Seite 218 Role and Task Settings Rollen und Aufgabeneinstellungen siehe Seite 219 ndern des Systemmanager Kontos siehe Seite 221 Aufrufen des Status einer CA IdentityMinder Umgebung siehe Seite 223 CA IdentityMinder Um
460. zugeordnet ist Validation Rule Sets Validierungsregels tze Eine Validierungsregel erzwingt Anforderungen f r Daten die ein Benutzer in ein Aufgabenfensterfeld eingibt Die Anforderungen k nnen einen Datentyp oder ein Format erzwingen oder k nnen sicherstellen dass die Daten im Kontext von anderen Daten im Aufgabenfenster g ltig sind Kapitel 5 CA IdentityMinder Verzeichnisse 185 CA IdentityMinder Verzeichniseigenschaften Eine oder mehrere Validierungsregeln werden in einem Validierungsregelsatz gruppiert Ein Validierungsregelsatz wird dann einem Profilattribut zugeordnet Zum Beispiel k nnen Sie einen Validierungsregelsatz erstellen der eine Format Datum Validierungsregel enth lt die ein Datumsformat von mm tt jjjj erzwingt Sie k nnen dann den Validierungsregelsatz dem Attribut zuordnen das das Startdatum eines Mitarbeiters speichert Hinweis Sie erstellen Validierungsregeln und Regels tze in der Verzeichniskonfigurationsdatei oder in der Benutzerkonsole Das Fenster Managed Object Properties Eigenschaften von verwalteten Objekten zeigt eine Liste von Validierungsregels tzen an die sich auf das CA IdentityMinder Verzeichnis beziehen Um die Details eines Validierungsregelsatzes anzuzeigen klicken Sie auf den Namen des Regelsatzes um das Fenster Validation Rule Set Properties Validierungsregelsatz Eigenschaften zu ffnen Validierungsregel Eigenschaften Die folgenden Informationen werden im Fenster Valida
Download Pdf Manuals
Related Search