PDF herunterladen
Contents
1. CA IAM FW Startup Sequence Initiated 2010 12 13 10 35 52 965 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 35 53 137 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 35 53 153 WARN ims tmt CreateDatabaseSchema Schema for Archive is up to date 2010 12 13 10 35 53 184 WARN ims tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 35 53 231 WARN ims tmt CreateDatabase Schema Schema for Report Snapshot is up to date 2010 12 13 10 35 WARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 35 54 934 ERROR com netegrity crypto PBESHAIRC2CBCPKCS12PBES128Handler com rsa jsafe JSAFE_InputException Unexpected padding chars 2010 12 13 10 35 54 965 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server Invalid credentials at com netegrity ra policyserver impl P3ManagedConnectionFfactory createManagedConnection Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AdminSecret in ra xml da av ao u mayiuvivn drum vedy Val Lienaie Wiss vvii muvo van puwowuau uuuriwuuvu wi gt lt config property gt lt config property name gt AdminSecret lt config property name gt lt config property type gt java lang2. Klicken Sie auf Create from Wizard ber Assistenten erstellen um den CA IdentityMinder Verzeichnisassistenten zu starten Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 25 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert 26 Konfigurationshandbuch Suchen Sie nach der entsprechenden xmi Datei der Verzeichniskonfiguration und klicken Sie auf Weiter Hinweis Die Verzeichniskonfigurationsdatei befindet sich in den folgenden Ordnern m F r Benutzerverzeichnisse des Sun Java System Verzeichnisservers admin_tools samples NeteAuto Organization directory xml m F r relationale Datenbanken admin_tools samples NeteAutoRDB Organization db_type directory xml admin_tools Definiert den Installationsspeicherort der Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager IAM_Suite Identity_Manager tools db_type Gibt den Typ der Datenbank an die Sie konfigurieren Microsoft SQL oder Oracle Statusinformationen werden auf dem Ausgabebildschirm der Verzeichniskonfiguration angezeigt Stellen Sie auf der zweiten Seite des Assistenten die folgenden Werte bereit m Sun Java System Verzeichnisserver Name NeteAuto Directory NeteAuto Verzeichnis Description Beschreibung Sample NeteAuto directory NeteAuto Beispielverzeichnis Connection Object Name Name
3. lt Credentials user SMirUser cleartext true gt MyPassword lt Credentials gt Sofern Sie kein Kennwort in den Anmeldeinformationen angeben verlangt das Unterelement nach dem Kennwort wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen Hinweis Es wird empfohlen das Kennwort in der Management Konsole anzugeben 56 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Wenn Sie das Kennwort in der Management Konsole angeben wird es von CA IdentityMinder verschl sselt Andernfalls sollten Sie das Kennwort mit dem Kennwort Tool das zusammen mit CA IdentityMinder installiert wird verschl sseln sodass dieses nicht als unverschl sselter Text angezeigt wird Hinweis Sie k nnen nur einen Satz von Anmeldeinformationen angeben Wenn Sie mehrere Verzeichnisse definieren wie im Verbindungs Unterelement beschrieben m ssen die von Ihnen angegebenen Anmeldeinformationen f r alle Verzeichnisse gelten Das Anmeldeinformationen Unterelement enth lt die folgenden Parameter user Gibt die Anmelde ID f r ein Konto an das auf das Verzeichnis zugreifen kann Bei Provisioning Benutzern muss das Benutzerkonto das Sie angeben das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen im Provisioning Server besitzen Hinweis Geben Sie keinen Wert f r den Benutzerparameter in der directory xml Datei an CA IdentityMinder fordert Sie beim Erstellen des CA IdentityMinde
4. A ffnen Sie ra xml unter JBoss_home server default deploy iam_im ear policyserver_rar META INF B F gen Sie das verschl sselte Kennwort als Wert von config property Password hinzu m Wenn CA IdentityMinder auf einem WebSphere Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor A ffnen Sie in der WebSphere Konsole ra xml B F gen Sie das verschl sselte Kennwort als Wert von config property Password hinzu 3 Starten Sie den Anwendungsserver neu 372 Konfigurationshandbuch SiteMinder Vorg nge Konfigurieren einer CA IdentityMinder Umgebung zur Verwendung von unterschiedlichen Verzeichnissen f r Authentifizierung und Autorisierung Unter Umst nden muss ein Administrator Benutzer verwalten deren Profile in einem anderen Benutzerspeicher als dem vorhanden sind der f r die Authentifizierung des Administrators verwendet wird Mit anderen Worten beim Anmelden ind der CA IdentityMinder Umgebung muss der Administrator anhand eines Verzeichnisses authentifiziert werden und in einem zweiten Verzeichnis f r die Benutzerverwaltung autorisiert werden wie in der folgenden Abbildung gezeigt Authentifizierungs Authentifizierungs verzeichnis verzeichnis Identity Manager Umgebung Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust
5. F hrt Zuordnungen zur Liste der Gruppen durch bei denen der Benutzer ein Mitglied ist Das physische Attribut das zu MEMBER_OF zuordnet muss mehrwertig sein um mehrere Gruppen aufzunehmen Die Verwendung dieses Attributs verbessert die Antwortzeit wenn die Gruppen eines Benutzers gesucht werden Sie k nnen dieses Attribut mit Active Directory oder einem Verzeichnisschema verwenden das die Gruppenmitgliedschaft eines Benutzers im Benutzerobjekt verwaltet ORG_MEMBERSHIP Erforderlich F hrt Zuordnungen zu dem DN jener Organisation durch zu der der Benutzer geh rt CA IdentityMinder verwendet dieses bekannte Attribut um die Struktur eines Verzeichnisses siehe Seite 87 zu bestimmen Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t ORG_MEMBERSHIP_NAME Erforderlich F hrt Zuordnungen zum benutzerfreundlichen Namen der Organisation durch in der das Profil des Benutzers vorhanden ist Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t PASSWORD 82 Konfigurationshandbuch F hrt Zuordnungen zum Kennwort eines Benutzers durch Dieses Attribut muss mit dem Kennwortattribut in der SiteMinder Benutzerverzeichnisverbindung bereinstimmen Hinweis Der Wert des Attributs PASSWORD wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribu
6. Sie k nnen die vordefinierten Business Logic Task Handler verwenden oder benutzerdefinierte Handler mithilfe der Business Logic Task Handler APl erstellen Hinweis Weitere Informationen zum Erstellen benutzerdefinierter Business Logic finden Sie im Programmierhandbuch f r Java Das Fenster Business Logic Task Handler enth lt eine Liste der vorhandenen globalen Business Logic Task Handler Die Liste umfasst vordefinierte Handler die im Lieferumfang von CA IdentityMinder enthalten sind sowie alle an Ihrem Standort definierte angepassten Handler CA IdentityMinder f hrt die Handler in der Reihenfolge aus in der sie in dieser Liste angezeigt werden Globale Business Logic Task Handler k nnen nur in Java implementiert werden 236 Konfigurationshandbuch Ereignisliste Automatisches L schen von Kennwortfeldern beim Zur cksetzen des Benutzerkennworts Ereignisliste Sie k nnen CA IdentityMinder so konfigurieren dass Kennwortfeldern automatisch gel scht werden wenn ein zuvor eingegebener Wert eine Kennwortrichtlinie verletzt oder wenn die Werte in den Feldern Kennwort und Kennwort best tigen nicht bereinstimmen Gehen Sie wie folgt vor 1 2 Rufen Sie die Management Konsole auf W hlen Sie die Umgebung aus die Sie verwalten m chten und klicken Sie dann auf Advanced Settings Die Seite f r erweiterte Einstellungen wird angezeigt Klicken Sie auf Business Logic Task Handlers und BlthPasswordService
7. Verwenden Sie das Kontrollk stchen um den Workflow f r die CA IdentityMinder Umgebung zu aktivieren oder zu deaktivieren Work Item Delegation Arbeitselement delegieren Bei Aktivierung kann ein Teilnehmer der Delegierer angeben dass einem anderen Benutzer der Delegierte die Berechtigung erteilt wird Aufgaben in der Arbeitsliste des Delegierers zu genehmigen W hrend der Abwesenheit des Delegierers kann der Teilnehmer einem anderen Genehmiger Arbeitselemente zuweisen Der Delegierer beh lt w hrend des Delegationszeitraums vollen Zugriff auf seine Arbeitselemente Zur Delegation wird das folgende bekannte Attribut verwendet DELEGATORS Dieses bekannte Attribut speichert die Namen der Benutzer die Arbeitselemente an den Benutzer mit dem Attribut delegieren sowie den Zeitpunkt zu dem die Delegation erstellt wird Hinweis Weitere Informationen zum Delegieren von Arbeitselementen finden Sie im Administrationshandbuch 248 Konfigurationshandbuch Workflow Participant Resolvers Workflow Teilnehmer Resolver Workflow Participant Resolvers Workflow Teilnehmer Resolver Die Aktivit ten in einem Workflow Vorgang wie das Genehmigen oder Zur ckweisen einer Aufgabe werden von Teilnehmern ausgef hrt Im Fenster Workflow Participant Resolvers k nnen Sie einer benutzerdefinierten Teilnehmeraufl sung einer Java Klasse f r eine vollst ndig qualifizierte Teilnehmeraufl sung zuordnen Eine benutzerdefinierte Teil
8. bersicht ber die Integration von SiteMinder und CA IdentityMinder Das folgende Diagramm veranschaulicht den gesamten Prozess zur Integration von SiteMinder und CA IdentityMinder 296 Konfigurationshandbuch bersicht ber die Integration von SiteMinder und CA IdentityMinder ri Richtlinienadministrator Identit tsadministrator 1 SiteMinder Richtlinienspeicher f r Identity Minder konfigurieren 2 IdentityMinder Schema In Richtlinienspeicher importieren 3 SiteMinder 4 X Agent Objekt erstellen 13 SiteMinder Agent zu IdentityMinder Dom ne zuordnen Kapitel 12 Integration von CA SiteMinder 297 bersicht ber die Integration von SiteMinder und CA IdentityMinder Gehen Sie wie folgt vor 1 10 11 12 13 14 15 298 Konfigurationshandbuch Konfigurieren Sie den SiteMinder Richtlinienspeicher f r CA IdentityMinder siehe Seite 299 Importieren Sie das CA IdentityMinder Schema in den Richtlinienspeicher siehe Seite 306 Erstellen Sie ein SiteMinder 4 X Agentenobjekt siehe Seite 306 Exportieren Sie die CA IdentityMinder Verzeichnisse und Umgebungen siehe Seite 308 L schen Sie alle Verzeichnis und Umgebungsdefinitionen siehe Seite 309 Aktivieren Sie den Ressourcenadapter des SiteMinder Richtlinienservers siehe Seite 310 Deaktivieren Sie den systemeigenen CA IdentityMinder Framework Authentication Filter siehe Seite 311 Starten Sie
9. Anzeigename Gibt den eindeutigen Namen f r das verwaltete Objektattribut an Dies ist der Name der in der Benutzerkonsole angezeigt wird Kennungen Gibt die Kennungen der Datenklassifizierung f r den Wert des verwalteten Objektattributs an Die Kennungen sind alle optional und standardgem auf falsch eingestellt au er die f r die Suche vorgesehenen Die folgenden Kennungen k nnen ausgew hlt werden erforderlich Zeigt an dass das Attribut beim Erstellen von Objekten obligatorisch ist Mehrere Werte Zeigt an dass das Attribut mit mehreren Werten angezeigt wird Ausgeblendet Zeigt an dass das Attribut ausgeblendet wird System Zeigt an dass das Attribut ein Systemattribut ist und den Aufgabenfenstern nicht hinzugef gt wird Durchsuchbar Zeigt an dass das Attribut zu Suchfiltern hinzugef gt wird Standardgem wahr Sensible Verschl sselung Zeigt an dass das Attribut empfindlich ist Es wird als eine Reihe von Sternchen angezeigt Ausgeblendet in VST Zeigt an dass das Attribut im Fenster der Ereignisdetails zur Anzeige der gesendeten Aufgaben ausgeblendet wird Nicht kopieren Zeigt an dass das Attribut ignoriert werden muss wenn ein Administrator die Kopie eines Objekts erstellt Kapitel 5 CA IdentityMinder Verzeichnisse 169 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Vormals verschl sselt Zeigt an dass das Attribut auf das im Benutzerspe
10. Definiert das Zeichen durch das die Werte getrennt werden wenn mehrere Werte in einer Spalte gespeichert werden Wichtig Stellen Sie sicher dass der Parameter multivalued auf true festgelegt ist damit der Parameter delimiter angewandt wird Hinweis Um zu verhindern dass in der Benutzerkonsole vertrauliche Informationen angezeigt werden wie Kennw rter oder Geh lter k nnen Sie den Parameter DataClassification siehe Seite 74 angeben Kapitel 4 Verwaltung relationaler Datenbanken 127 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Verwalten vertraulicher Attribute CA IdentityMinder bietet die folgenden Methoden f r die Verwaltung vertraulicher Attribute 128 Konfigurationshandbuch Datenklassifizierungen f r Attribute Mithilfe von Datenklassifizierungen k nnen Sie Anzeige und Verschl sselungseigenschaften f r Attribute in der Verzeichniskonfigurationsdatei directory xm festlegen Sie k nnen Datenklassifizierungen die vertrauliche Attribute verwalten wie folgt definieren Zeigen Sie in den CA IdentityMinder Aufgabenfenstern den Wert eines Attributs als Reihe von Sternchen an Zum Beispiel k nnen Sie Kennw rter als Sternchen anstelle von Klartext anzeigen Blenden Sie den Attributwert in den Fenstern Gesendete Aufgaben anzeigen aus Mithilfe dieser Option k nnen Sie Attribute ausblenden damit Administratoren sie nicht sehen Zum Beispiel k nnen Gehaltsde
11. Gehen Sie wie folgt vor 1 260 Konfigurationshandbuch Melden Sie sich bei der Benutzerkonsole mit Benutzerberechtigungen f r Berichtsaufgaben an W hlen Sie Berichte Berichtsaufgaben Bericht anfordern Eine Liste der Berichte wird angezeigt W hlen Sie einen Audit basierten Bericht aus Ein Parameterfenster wird angezeigt Klicken Sie auf Bericht planen und w hlen Sie einen Ablaufplan f r Ihren Bericht aus Jetzt Gibt an dass der Bericht sofort ausgef hrt wird Einmal Gibt an dass der Bericht einmal w hrend eines bestimmten Zeitraums ausgef hrt wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Nur Audit Bericht St ndlich Gibt an dass der Bericht zur Startzeit und dann alle x Stunden generiert wird x gibt das Intervall zwischen den aufeinanderfolgenden Berichten an W hlen Sie die Start und Endzeit das Start und Enddatum und das Intervall zwischen aufeinanderfolgenden Berichten aus So konfigurieren und generieren Sie Audit Datenberichte Nur Audit Bericht T glich Gibt an dass der Bericht zur Startzeit und dann alle x Tage generiert wird x gibt das Intervall zwischen den aufeinanderfolgenden Berichten an W hlen Sie die Start und Endzeit das Start und Enddatum und das Intervall zwischen aufeinanderfolgenden Berichten aus Nur Audit Bericht W chentlich Gibt an dass der Bericht ab dem ausgew hlten Startdatum jede
12. Gibt den Namen der Datei an die die JavaScript Implementierung der Validierungsregel enth lt Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel in einer Datei definiert ist Regul rer Ausdruck Gibt den regul ren Ausdruck an der die Validierungsregel implementiert Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel als regul rer Ausdruck definiert ist 186 Konfigurationshandbuch Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis Validierungsregelsatz Eigenschaften Die folgenden Informationen werden im Fenster Validation Rule Set Properties Validierungsregelsatz Eigenschaften angezeigt Name Gibt den Namen des Validierungsregelsatzes an Beschreibung Gibt eine Beschreibung f r den Validierungsregelsatz an Die Validierungsregelsatz Eigenschaftsseite schlie t auch eine Liste von Validierungsregeln im Set ein Sie k nnen auf den Namen der Validierungsregel klicken um das Fenster Validation Rule Properties Validierungsregel Eigenschaften zu ffnen Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis Um die aktuellen Einstellungen von einem CA IdentityMinder Verzeichnis anzuzeigen exportieren Sie die Verzeichniseinstellungen und speichern sie als eine XML Datei Nachdem Sie die Verzeichniseinstellungen exportiert haben k nnen Sie die XML Datei ndern und erneut importieren um das Verzeichnis zu aktualisieren Sie k nnen auch die XML D
13. So migrieren Sie eine CA IdentityMinder Umgebung Eine CA IdentityMinder Umgebung wird in der Management Konsole erstellt Eine CA IdentityMinder Umgebung beinhaltet eine Reihe von Rollen und Aufgabendefinitionen Workflow Definitionen mit den CA IdentityMinder APis erstellte benutzerdefinierte Funktionen und ein CA IdentityMinder Verzeichnis Gehen Sie wie folgt vor 1 268 Konfigurationshandbuch Wenn CA IdentityMinder mit SiteMinder integriert ist und Sie ein Richtlinienserver Cluster verwenden m ssen Sie sicherstellen dass nur ein Richtlinienserver ausgef hrt wird Halten Sie bis auf einen alle CA IdentityMinder Knoten an Exportieren Sie CA IdentityMinder Umgebungen ber die Management Konsole aus der Entwicklungsumgebung Importieren Sie die exportierten Umgebungen ber die Management Konsole in die Produktionsumgebung Wenn CA IdentityMinder mit SiteMinder integriert ist m ssen Sie die CA IdentityMinder Bereiche in der Benutzeroberfl che des Richtlinienservers erneut sch tzen Die Richtliniendom ne wird beim Exportieren einer CA IdentityMinder Umgebung nicht aus dem Richtlinienspeicher exportiert Starten Sie den Richtlinienserver und die CA IdentityMinder Knoten neu die Sie angehalten hatten Aktualisieren von CA IdentityMinder in einer Produktionsumgebung Bei der Migration einer CA IdentityMinder Umgebung werden die folgenden Aktivit ten ausgef hrt m Wenn das gleiche Objekt an beiden Positionen
14. zuusseseesssssnnnnnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn Kapitel 7 Erweiterte Einstellungen 235 Uber UIE ans ETA 235 Business Logic Task Handler 22220s000022sssnnnnennnnssnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnsnsssnnnnnsnnssnssnennnnnsnsnnnn 236 Automatisches L schen von Kennwortfeldern beim Zur cksetzen des Benutzerkennworts uueneee 237 Ereignisliste n n nsa nen eher anni ehde benannt aha nd E E eGen aeaaaee a ehren een E Mail Benachrichtigungen Ereignis Listener iscaserscenarssasanagarseanneanasanarensrananara naar een rHR ea ora TE raa A ea EENE AVA TATAEE AKNE aV ANAE ae Tee Eee ee ldentitatsrichthMe Meinaan eiaeaen e inaapi aa a aea aiae aa Saai daas aidaa a adani kogical Attribute H ndlen a aneceeene ee E a E E EA EEE EET E EAEE SONSTIZE Saoi a E a E Ea E E E Eaa a Ea a Eaa E EE Benachrichtigungsregeln Organisationsauswahl unseren ae m nennen ne denne Bereitstellung hen ensure nern een ah a aaae Bereitstellungsverzeichnis S yine akrein iniae aE EE L E EA ETa EEEE TEE AEE ENRE t 243 Erm glichen der Erstellung von Sitzungspools eeseeesessessssnssennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnennnn 243 Erm glichen der Kennwortsynchronisierung Zuordnungen von Attrib ten aaa nn anne in ern Eingehende Zuordnungen uusssssnsssssnnnnnonnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnensnnnnnnnnnnnsnnnnnnnnnnnnnsssnnnsnnnnnsnsssnsssnennnnnnssnnnn
15. 44442 1444 3 Eonfig property values lt config property gt lt ceonfig property gt lt eanfin nranertv name gt iserName lt ennfis nranertv name gt 2 Geben Sie in der Eigenschaft ConnectionURL Ihren SiteMinder Richtlinienserver Hostnamen an Verwenden Sie einen voll qualifizierten Namen FON Falscher Admin Name Symptom Falscher Admin Name L sung Wird ein falscher Admin angegeben wird in ra xml der Fehler Unknown administrator wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 31 23 653 WARN ims default HHHHHREHHREHHHHHRHHHRRHHRHHRERBEHRHHHRHEHBRHRRER 2010 12 13 1 23 653 WARN ims default IAM Framework 12 5 4 0 461 2010 12 13 10 31 23 653 VARN ims default HHRHRHRRHHHHRHRRRRRHHHRHRRRHHHREHRRRRHHHRRRRRRER 2010 12 13 10 31 23 653 WARN ims default HHRRHHRHHRERRRRRRRERHHHRHHRRRRRRRRRIHRHHHHETHRRRR 2010 12 13 10 31 23 653 VARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 10 31 23 653 WARN ims default HAHHHHHHHHHHHHHHHRHHHHHHHHHHRHREHHHHHHHHHRHHEHHH 2010 12 13 10 31 23 653 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 10 31 23 653 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 31 23 809 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 31 23 840 WARN ims tmt CreateDatabaseSchema Schema for Archive is up to date 2010 12 13 10 31 23 887 WARN ims
16. Admin oder Eigent merrichtlinie bzw einer Identit tsrichtlinie hinzugef gt wird CA IdentityMinder kann die Richtlinie nicht richtig aufl sen weil eine Suche nach dem Attribut nicht m glich ist Ziehen Sie in Erw gung das Attribut in der directory xml Datei auf searchable false festzulegen zum Beispiel lt ImsManagedObjectAttr physicalname title description Title displayname Title valuetype String maxlength 0 searchable false gt lt Datallassification name AttributeLevelEncrypt gt lt ImsManagedObjectAttr gt m Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und ein gemeinsames Bereitstellungsverzeichnis verwendet verschl sseln Sie nicht die Bereitstellungsserver Attribute m Aktivieren Sie AttributeLevelEncrypt nicht f r Benutzerkennw rter in Umgebungen die den folgenden Kriterien entsprechen Umfassen eine CA SiteMinder Integration und Speichern Benutzer in einer relationalen Datenbank Wenn CA IdentityMinder mit CA SiteMinder integriert wird f hren verschl sselte Kennw rter zu Problemen wenn neue Benutzer versuchen sich anzumelden und Kennw rter als Klartext eingeben m Wenn Sie die Verschl sselung auf Attributebene f r einen Benutzerspeicher aktivieren der von anderen Anwendungen als CA IdentityMinder verwendet wird k nnen die anderen Anwendungen das verschl sselte Attribut nicht verwenden Hinzuf gen von Verschl sselung auf Attributebene Nehmen Sie an dass S
17. CN 39BC711D 7F27 4311 B6C0 68FDEE2917B8 ist dann ersetzen Sie jeden Verweis auf en guid durch CN 39BC711D 7F27 4311 B6C0 68FDEE2917B8 Speichern Sie die Datei F gen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu Konfigurieren von CA Directory Server Um CA Directory Server zu konfigurieren erstellen Sie eine benutzerdefinierte Schemadatei In den nachfolgenden Schritten ist dxserver_home das Verzeichnis in dem CA Directory installiert ist Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas eTrustDirectory Gehen Sie wie folgt vor 1 302 Konfigurationshandbuch Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Kopieren Sie die Datei etrust_ims8d dxc in das Verzeichnis dxserver_home config schema Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Erstellen Sie wie folgt eine benutzerdefinierte Schemakonfigurationsdatei a Kopieren Sie die Datei dxserver_home config schema default dxg nach dxserver_home config schema company_name schema dxg b Bearbeiten Sie die Datei dxserver_home config schema company_name schema dxg indem Sie am Ende der Datei die folgenden Zeilen einf
18. Definiert die SQL Anweisung oder gespeicherte Prozedur die ausgef hrt werden soll Die folgenden Werte sind g ltig m INSERT m SELECT m UPDATE m DELETE m CALL f r gespeicherte Prozeduren Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Das Operation Element kann ein oder mehrere Parameter Elemente enthalten Ein Parameter Element gibt Werte an die an die Abfrage bergeben werden Wenn mehrere Parameter Elemente definiert werden werden die Werte in der angegebenen Reihenfolge an die Abfrage bergeben Ein Parameter Element erfordert den Parameter name Der Wert des Parameters name kann ein physisches Attribut oder ein bekanntes Attribut siehe Seite 79 sein Hinweis CA IdentityMinder muss die Werte erkennen die im Parameter Element an eine Abfrage bergeben werden Der Wert kann zum Beispiel ein physischer Name oder ein bekanntes Attribut sein das in den ImsManagedObjectAttr Attributen definiert ist Wenn Sie ein physisches Attribut angeben beachten Sie die folgenden Punkte m Verwenden Sie die folgende Syntax um ein physisches Attribut anzugeben tablename columnname tablename Gibt den Namen der Tabelle an in der sich das Attribut befindet Die angegebene Tabelle muss die prim re Tabelle sein columnname Gibt den Namen der Spalte an in der das Attribut gespeichert ist m Das angegebene Attribut muss in der Datenbank vorhanden und in der Verzeichniskonfigurationsdatei definiert
19. Definition f r verwaltete Objekte Um die maximale Zeilenanzahl und Seitengr e f r einen einzelnen Objekttyp anstatt f r ein ganzes Verzeichnis festzulegen konfigurieren Sie die Definition f r verwaltete Objekte siehe Seite 61 in der Datei directory xml die Sie zum Erstellen des CA IdentityMinder Verzeichnisses verwenden Das Festlegen von Beschr nkungen f r einen verwalteten Objekttyp erm glicht es Ihnen Anpassungen basierend auf den Gesch ftsanforderungen vorzunehmen Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen Diese Unternehmen k nnen Beschr nkungen nur f r Benutzerobjektsuchen festlegen Aufgabensuchfenster Sie k nnen die Anzahl der Suchergebnisse steuern die Benutzern in den Such und Listenfenstern der Benutzerkonsole angezeigt werden Wenn die Ergebnisanzahl die maximale Anzahl von Ergebnissen pro Seite berschreitet die f r die Aufgabe definiert ist werden den Benutzer Links zu weiteren Ergebnisseiten angezeigt Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus die von einer Suche zur ckgegeben werden Hinweis Weitere Informationen zum Festlegen der Seitengr e in Such und Listenfenstern finden Sie im Administrationshandbuch Wenn die maximale Zeilenanzahl und Seitengr e an mehreren Positionen definiert werden gilt die jeweils spezifischste Einstellung Zum Beispiel haben Einstellungen f r verwaltete Objekte Vorrang vor Einstellungen auf Verzeichniseb
20. Enth lt die eindeutige Kennung der Organisation der die Gruppe angeh rt Kapitel 4 Verwaltung relationaler Datenbanken 147 Bekannte Attribute f r eine relationale Datenbank ORG_MEMBERSHIP_NAME Bei Unterst tzung von Organisationen erforderlich Enth lt den benutzerfreundlichen Namen der Organisation der die Gruppe angeh rt SELF_SUBSCRIBING Bestimmt ob Benutzer eine Gruppe abonnieren k nnen Attribut Admin_Role_Constraint Wenn Sie eine Admin Rolle erstellen geben Sie eine oder mehrere Regeln f r die Rollenmitgliedschaft an Die Rolle wird allen Benutzern erteilt die die Mitgliedschaftsregeln erf llen Wenn zum Beispiel die Mitgliedschaftsregel f r die Rolle des Benutzer Managers title User Manager lautet wird Benutzern mit dem Titel User Manager die Rolle User Manager erteilt Hinweis Weitere Informationen zu Regeln finden Sie im Administrationshandbuch ADMIN_ROLE_CONSTRAINT erm glicht es Ihnen ein Profilattribut anzugeben in dem alle Admin Rollen eines Administrators gespeichert werden So verwenden Sie das Attribut ADMIN_ROLE_CONSTRAINT Um ADMIN_ROLE_CONSTRAINT als Einschr nkung f r alle Admin Rollen zu verwenden f hren Sie die folgenden Schritte aus m Ordnen Sie das bekannte Attribut ADMIN_ROLE_CONSTRAINT einem mehrwertigen Profilattribut zu um mehrere Rollen zu ber cksichtigen m Wenn Sie eine Admin Rolle in der CA IdentityMinder Benutzeroberfl che konfigurieren kann
21. Kapitel 12 Integration von CA SiteMinder 291 SiteMinder und CA IdentityMinder SiteMinder und CA IdentityMinder Bei Integration von CA IdentityMinder und CA SiteMinder kann CA SiteMinder die CA IdentityMinder Umgebung um die folgenden Funktionen erg nzen Erweiterte Authentifizierung CA IdentityMinder beinhaltet standardm ig eine systemeigene Authentifizierung f r CA IdentityMinder Umgebungen CA IdentityMinder Administratoren m ssen einen g ltigen Benutzernamen und ein Kennwort eingeben um sich an einer CA IdentityMinder Umgebung anzumelden CA IdentityMinder authentifiziert den Namen und das Kennwort mithilfe des Benutzerspeichers den CA IdentityMinder verwaltet Wenn CA IdentityMinder mit CA SiteMinder integriert ist verwendet CA IdentityMinder die grundlegende CA SiteMinder Authentifizierung um die Umgebung zu sch tzen Beim Erstellen einer CA IdentityMinder Umgebung werden in CA SiteMinder eine Richtliniendom ne und ein Authentifizierungsschema erstellt um diese Umgebung zu sch tzen Ist CA IdentityMinder mit CA SiteMinder integriert k nnen Sie auch die SiteMinder Authentifizierung verwenden um die Management Konsole zu sch tzen Zugriffsrollen und aufgaben Zugriffsrollen erm glichen CA IdentityMinder Administratoren Berechtigungen in Anwendungen zuzuweisen die von CA SiteMinder gesch tzt werden Diese Zugriffsrollen stellen eine einzelne Aktion dar die ein Benutzer in einer Gesch ftsanwendung ausf h
22. muss der Anwendungsserver neu gestartet werden damit die nderungen wirksam werden Konfigurieren des Inbound Administrators Administrator f r Eingehendes Damit die eingehende Synchronisierung funktioniert erstellen Sie einen besonderen CA IdentityMinder Benutzer der als Inbound Administrator bezeichnet wird In fr heren Versionen von CA IdentityMinder wurde der Inbound Administrator als Corporate User bezeichnet Bei diesem Benutzerkonto meldet sich kein Benutzer an stattdessen wird es von CA IdentityMinder intern verwendet Erstellen Sie dieses Benutzerkonto dennoch und ordnen Sie ihm die entsprechenden Aufgaben zu Gehen Sie wie folgt vor 1 Melden Sie sich bei der CA IdentityMinder Umgebung als Benutzer mit der Rolle des Systemmanagers an 2 Erstellen Sie einen Benutzer Sie k nnen den Benutzer zur Erinnerung an seinen Zweck inbound nennen Kapitel 6 CA IdentityMinder Umgebungen 199 Konfigurieren einer Umgebung f r die Bereitstellung 200 Konfigurationshandbuch W hlen Sie Admin Rollen Admin Rolle ndern und anschlie end eine Rolle aus die die Aufgaben enth lt die Sie f r die Synchronisierung verwenden m Bereitstellung Benutzer erstellen m Provisioning Enable Disable User Bereitstellung Benutzer aktivieren deaktivieren m Bereitstellung Benutzer ndern Hinweis Wenn Sie die Standardsynchronisierungsaufgaben nicht ge ndert haben verwenden Sie die Rolle Manager f r Bereitstellungssynchro
23. siehe Seite 149 generiert Hinweis Um die verf gbaren Attribute f r das Gruppenobjekt zu erweitern damit die NESTED_GROUP_MEMBERSHIP und DYNAMIC_GROUP_MEMBERSHIP Attribute eingebunden werden k nnen k nnen Sie Hilfsobjektklassen verwenden Bekannte Attribute zur Organisation Die folgenden bekannten Attribute gelten ausschlie lich f r Umgebungen die Organisationen unterst tzen ORG_DESCR Zeigt an welches Attribut die Beschreibung einer Organisation enth lt ORG_MEMBERSHIP Erforderlich Zeigt an welches Attribut das DN der bergeordneten Organisation einer Organisation enth lt ORG_MEMBERSHIP_NAME Gibt an welches Attribut den benutzerfreundlichen Namen der bergeordneten Organisation einer Organisation enth lt ORG_NAME Erforderlich Gibt an welches Attribut den Namen der Organisation enth lt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 85 Bekannte Attribute f r einen LDAP Benutzerspeicher Attribut ADMIN_ROLE_CONSTRAINT Wenn Sie eine Admin Rolle erstellen geben Sie eine oder mehrere Regeln f r die Rollenmitgliedschaft an Die Rolle wird dann allen Benutzern erteilt die die Mitgliedschaftsregeln erf llen Wenn zum Beispiel die Mitgliedschaftsregel f r die Rolle User Manager title User Manager lautet wird Benutzern mit dem Titel User Manager die Rolle User Manager erteilt Hinweis Weitere Informationen zu Regeln finden Sie im Administrationshandbuch ADMIN_ROLE_CON
24. um aus einer Dropdown Liste auszuw hlen Zur ckgehen oder eine fr here Auswahl r ckg ngig machen Ein Element einf gen z B eine Aufgabe oder Regel Die aktuelle Aufgabe oder bei Regeln den folgenden Ausdruck l schen Aktuelles Element in der Liste nach oben verschieben Aktuelles Element in der Liste nach unten verschieben 2 Fahren Sie mit dem n chsten Abschnitt Definieren von Admin Richtlinien f r Zugriffsrollen fort 358 Konfigurationshandbuch SiteMinder Vorg nge Definieren von Mitgliederrichtlinien f r Zugriffsrollen Eine Mitgliederrichtlinie definiert eine Mitgliederregel und Bereichsregeln f r eine Rolle Sie k nnen verschiedene Mitgliederrichtlinien f r eine Rolle definieren F r jede Richtlinie haben Benutzer die der Bedingung in der Mitgliederregel entsprechen den entsprechenden Bereichsumfang bei der Verwendung der Rolle der in der Richtlinie definiert ist Gehen Sie wie folgt vor 1 2 3 W hlen Sie die Registerkarte Mitglieder aus Klicken Sie auf Hinzuf gen um Mitgliederrichtlinien zu definieren Optional Definieren Sie auf der Seite Mitgliederrichtlinie optional eine Mitgliederregel f r denjenigen der diese Rolle verwenden k nnen muss Beim Definieren einer Mitgliederregel wird diese Rolle automatisch Benutzern zugeordnet die mit den Kriterien in der Mitgliederrichtlinie bereinstimmen Hinweis Definieren Sie Mitgliederrichtlinien die nur Verzeichnisattribu
25. 1 78 Konfigurationshandbuch Machen Sie im Abschnitt Gruppenobjekt der Verzeichniskonfigurationsdatei die folgenden Elemente ausfindig lt PropertyDict name DUMMY USER gt lt Property name DUMMY_USER_DN gt DUMMY_USER_DN lt Property gt lt PropertyDict gt Hinweis Wenn diese Elemente in der Verzeichniskonfigurationsdatei nicht vorhanden sind f gen Sie sie genau so hinzu wie sie hier angezeigt werden Bekannte Attribute f r einen LDAP Benutzerspeicher 2 Ersetzen Sie DUMMY_USER_DN durch ein Benutzer DN CA IdentityMinder f gt dieses DN als Mitglied aller neuen Gruppen hinzu Hinweis Wenn Sie das DN eines vorhandenen Benutzers angeben wird dieser Benutzer als Mitglied aller Gruppen von CA IdentityMinder angezeigt Um zu verhindern dass der Dummy Benutzer als ein Gruppenmitglied angezeigt wird geben Sie ein DN an das nicht im Verzeichnis vorhanden ist 3 Speichern Sie die Verzeichniskonfigurationsdatei Die Objektklasse Top in der Organisationsobjekt Beschreibung Wichtig Schlie en Sie in der Beschreibung des Organisationsobjekts in der Verzeichniskonfigurationsdatei die Objektklasse Top nicht ein Wenn zum Beispiel die Objektklasse des Organisationsobjekts Top organizationalUnit lautet geben Sie die Objektklasse folgenderma en an lt ImsManagedObject name Organization description My Organizations objectclass organizationallnit objecttype ORG gt Das Einbinden von Top kann zu unvo
26. 568 Modified 0 New 0 Admin Roles 86 Modified O New Access Roles 0 Provsioning Roles 0 Identity Policies 0 PolicyXpress 19 Kapitel 6 CA IdentityMinder Umgebungen 223 Verwalten von Konfigurationen Verschieben von Komponenten aus einer Umgebung in eine andere Ohne Config Xpress ist das Verschieben von Komponenten zwischen Staging Bereichen eine komplexe Aufgabe die mit hoher Wahrscheinlichkeit fehlschl gt Wenn Config Xpress f r das Verschieben der Komponenten verwendet wird werden mit dem Tool auch alle erforderlichen Objekte verschoben Wenn Sie zum Beispiel eine Aufgabe verschieben die ein Fenster erfordert werden Sie in Config Xpress gefragt ob Sie auch die erforderlichen Komponenten ausw hlen m chten Config Xpress wei dass die Aufgabe dieses Fenster verwendet und auch zur Zielumgebung verschoben werden sollte Wenn Sie eine Komponente in eine Live Umgebung verschieben m chten wird sie von Config Xpress sofort hochgeladen Wenn Sie die Komponente in eine Umgebungsdatei verschieben m chten speichern Sie die Komponente als XML Datei und importieren Sie diese Datei dann in die Umgebung Gehen Sie wie folgt vor 1 Laden Sie die Umgebung die die Komponente enth lt die Sie verschieben m chten 2 Vergleichen Sie diese Umgebung mit einer zweiten a Klicken Sie auf Compare Vergleichen b Laden Sie die Zielumgebung Config Xpress zeigt eine Liste der Untersc
27. Attributs ORG_MEMBERSHIP basierend auf dem DN einer Eingabe jene Organisation zu der die Eingabe geh rt Beschreibung Enth lt die Beschreibung des Attributs 66 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte displayName Gibt einen eindeutigen Namen f r das Attribut an In der Benutzerkonsole wird der Anzeigename in der Liste der verf gbaren Attribute angezeigt die einem Aufgabenfenster hinzugef gt werden k nnen Dieser Parameter ist erforderlich Hinweis Sie d rfen den Anzeigenamen eines Attributs in der Verzeichniskonfigurationsdatei directory xml nicht ndern Um den Namen des Attributs in einem Aufgabenfenster zu ndern geben Sie in der Aufgabenfensterdefinition eine Bezeichnung f r das Attribut an Weitere Informationen finden Sie im Administrationshandbuch valuetype Gibt den Datentyp des Attributs an Die folgenden Werte sind g ltig Zeichenfolge Der Wert kann eine beliebige Zeichenfolge sein Dies ist der Standardwert Integer Der Wert muss eine Ganzzahl sein Hinweis Der Parameter Integer unterst tzt keine Dezimalzahlen Number Der Wert muss eine Ganzzahl sein Der Parameter Number unterst tzt Dezimalzahlen Datum Der Wert muss sich in ein g ltiges Datum nach folgendem Muster aufl sen lassen MM TT ISODate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJ MM TT aufl sen lassen UnicenterDate Der Wert muss
28. Name und Beschreibung anzeigen Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Tabelle der verwalteten Objekte Gibt den Anzeigenamen physischen Namen bekannten Namen und die Beschreibung des verwalteten Objekts an Verwenden Sie das Drop down Men um die Beschreibung bei Bedarf zu ndern Sobald Sie die nderungen vorgenommen haben klicken Sie auf Weiter um fortzufahren Schaltfl che Zur ck Klicken Sie hier um zum Fenster der bekannten Zuordnungen zur ckzukehren und um die Details der Zuordnungen zu ndern Schaltfl che Weiter Klicken Sie hier um im Fenster Detailed Object Attribute Definition Screen Detaillierte Objektattribut Definition fortzufahren wo Sie zus tzliche Attributdefinitionen angeben k nnen 168 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster Detailed Object Attribute Definition Screen Detaillierte Objektattribut Definition Verwenden Sie dieses Fenster um weitere Attributdefinitionen anzugeben Ein Administrator kann die Metadaten f r jedes ausgew hlte Attribut definieren indem er den Anzeigenamen ndert und indem er das Attribut in den Benutzerkonsolen Fenstern den Datentyp des Wertes die maximale L nge und den Validierungsregelsatz verwaltet Sobald Sie die Attributdefinitionen angegeben haben klicken Sie auf Weiter um fortzufahren Dieses Fenster enth lt folgende Felder
29. REN INSBESONDERE STILLSCHWEIGENDE GEW HRLEISTUNGEN DER MARKTTAUGLICHKEIT DER EIGNUNG F R EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN IN KEINEM FALL HAFTET CA GEGEN BER IHNEN ODER DRITTEN GEGEN BER F R VERLUSTE ODER UNMITTELBARE ODER MITTELBARE SCH DEN DIE AUS DER NUTZUNG DIESER DOKUMENTATION ENTSTEHEN DAZU GEH REN INSBESONDERE ENTGANGENE GEWINNE VERLORENGEGANGENE INVESTITIONEN BETRIEBSUNTERBRECHUNG VERLUST VON GOODWILL ODER DATENVERLUST SELBST WENN CA BER DIE M GLICHKEIT DIESES VERLUSTES ODER SCHADENS INFORMIERT WURDE Die Verwendung aller in der Dokumentation aufgef hrten Software Produkte unterliegt den entsprechenden Lizenzvereinbarungen und diese werden durch die Bedingungen dieser rechtlichen Hinweise in keiner Weise ver ndert Diese Dokumentation wurde von CA hergestellt Zur Verf gung gestellt mit Restricted Rights eingeschr nkten Rechten geliefert Die Verwendung Duplizierung oder Ver ffentlichung durch die US Regierung unterliegt den in FAR Abs tze 12 212 52 227 14 und 52 227 19 c 1 bis 2 und DFARS Absatz 252 227 7014 b 3 festgelegten Einschr nkungen soweit anwendbar oder deren Nachfolgebestimmungen Copyright 2013 CA Alle Rechte vorbehalten Alle Markenzeichen Markennamen Dienstleistungsmarken und Logos auf die hier verwiesen wird sind Eigentum der jeweiligen Unternehmen CA Technologdies Produktreferenzen Dieses Dokument bezieht sich auf die folgenden CA Produkte m C
30. So konfigurieren Sie CA IdentityMinder Agent Einstellungen Benutzer kann sich nicht anmelden Symptom Ein neuer Benutzer kann sich nicht in einer Umgebung mit einem Klartextkennwort anmelden L sung berpr fen Sie dass die folgende Datenklassifizierung nicht in die Kennwortattributdefinition in der Verzeichniskonfigurationsdatei directory xml eingeschlossen ist lt DataClassification name AttributeLevelEncrypt gt In Umgebungen die die folgenden Komponenten einschlie en werden bei Verschl sselung der Kennw rter auf Attributebene Benutzer daran gehindert sich anzumelden m CA SiteMinder und m Eine relationale Datenbank So konfigurieren Sie CA IdentityMinder Agent Einstellungen Wenn CA IdentityMinder in SiteMinder integriert wird verwendet CA IdentityMinder einen integrierten CA IdentityMinder Agenten um mit dem SiteMinder Richtlinienserver zu kommunizieren Um die Leistung zu optimieren konfigurieren Sie die folgenden Verbindungseinstellungen f r den CA IdentityMinder Agenten 1 F hren Sie einen der folgenden Schritte durch m Wenn CA IdentityMinder auf einem WebLogic oder WebSphere Anwendungsserver ausgef hrt wird bearbeiten Sie den Ressourcenadapter im Connector Deskriptor policyserver_rar in der Konsole des Anwendungsservers m Wenn CA IdentityMinder auf einem JBoss Anwendungsserver ausgef hrt wird ffnen Sie policyserver service xml in lt JBoss_home gt server default deploy iam_im e
31. dass bei unzureichendem Speicher eine Warnung angezeigt wird Hinweis Weitere Informationen zum Festlegen von JVM Debugoptionen finden Sie im Abschnitt zu Debugoptionen unter Java HotSpot VM Options auf http www oracle com 250 Konfigurationshandbuch Kapitel 8 berpr fung Dieses Kapitel enth lt folgende Themen So konfigurieren und generieren Sie Audit Datenberichte siehe Seite 251 Bereinigen der Audit Datenbank siehe Seite 264 So konfigurieren und generieren Sie Audit Datenberichte Audit Daten stellen einen Verlaufsdatensatz der Vorg nge bereit die in einer Umgebung stattfinden Wenn Sie berwachung konfigurieren und aktivieren zeichnet das System Informationen zu den Aufgaben in einer berwachungsdatenbank auf Die berpr fungsinformationen k nnen zum Generieren von Berichten verwendet werden Audit Daten k nnen beispielsweise Folgendes enthalten m Systemaktivit t f r einen angegebenen Zeitraum m Benutzeranmeldungen und abmeldungen beim Zugriff auf eine bestimmte Umgebung m Die Aufgaben die ein bestimmter Benutzer ausf hrt m Eine Liste von Objekten die w hrend eines bestimmten Zeitraums ge ndert wurden m Die einem Benutzer zugewiesenen Rollen m Die Vorg nge die f r ein bestimmtes Benutzerkonto durchgef hrt werden Kapitel 8 berpr fung 251 So konfigurieren und generieren Sie Audit Datenberichte Audit Daten werden f r Ereignisse in CA IdentityMinder generiert Ein
32. den Sie w hrend Schritt 3 der SiteMinder Konfiguration erstellt haben 340 Konfigurationshandbuch Fehlerbehebung Falscher geheimer Agentenschl ssel Symptom Falscher geheimer Agentenschl ssel L sung Wird ein falscher geheimer Agentenschl ssel angegeben wird in ra xml der Initialisierungsfehler Cannot connect to policy server Failed to init Agent API 1 mit einem vorangestellten Fehler des Verschl sselungshandlers wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 42 54 622 WARN ims default Copyright 2000 2010 CA All Rights Reserved 2010 12 13 10 42 54 653 WARN ims default HHHHHHHRHHHHRHHRHHHHHRHHHHHRHHHHHHHRHHRBRHHHHRHR 2010 12 13 10 42 54 653 WARN ims default IAM Framework 12 5 4 0 461 2010 12 13 10 42 54 653 WARN ims default HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHEHBHRHHHRHHHRRHR 2010 12 13 10 42 54 653 WARN ims default HHHRRHHHRREHRHRHHHRHHHRRHHRRREHRREHRHRHHRBHHRBRHR 2010 12 13 10 42 54 653 WARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 10 42 54 653 WARN ims default HHHHHHHHHHHHHHHHHHHHHHHRHHHHRHHHHHHHHHHHHHHHHHHR 2010 12 13 10 42 54 653 WARN ims default CA IAM FW Startup Sequence Initiated 2010 12 13 10 42 54 653 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 42 54 809 WARN ims tmt CreateDatabaseSchema Schema for Task Persistence is up to date 2010 12 13 10 42 54 840 WARN ims tmt CreateDatabaseSchema
33. die die Rolle verwenden k nnen m administrators Die Benutzer die Rollenmitglieder oder Administratoren zuweisen k nnen m owners Die Benutzer die die Rolle ndern k nnen m enabled Gibt an ob die Rolle aktiviert ist oder nicht m assignable Gibt an ob die Rolle von einem Administrator zugewiesen werden kann oder nicht m tasks Die Zugriffsaufgaben die der Rolle zugeordnet sind Kapitel 8 berpr fung 255 So konfigurieren und generieren Sie Audit Datenberichte G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ACCESS TASK ADMINISTRATIVE ROLE 256 Konfigurationshandbuch G ltige Attribute name F r Benutzer sichtbarer Name der Aufgabe description Ein optionaler Kommentar ber den Zweck der Aufgabe application Die Anwendung die der Aufgabe zugeordnet ist tag Die eindeutige Kennung der Aufgabe reservedl reserved2 reserved3 reserved4 Die Werte f r die reservierten Felder der Aufgabe name F r Benutzer sichtbarer Name der Rolle description Ein optionaler Kommentar ber den Zweck der Rolle members Die Benutzer die die Rolle verwenden k nnen administrators Die Benutzer die Rollenmitglieder oder Administratoren zuweisen k nnen owners Die Benutzer die die Rolle ndern k nnen enabled Gibt an ob die Rolle aktiviert ist oder nicht assignable Gibt an ob die Rolle von einem Administrator zugewiesen werden kann oder nicht tasks Die A
34. eingehende Synchronisierung auftritt Wenn zum Beispiel ein Benutzer im Bereitstellungsverzeichnis hinzugef gt wird f gt CA IdentityMinder den Benutzer zu dieser Organisation hinzu Kapitel 6 CA IdentityMinder Umgebungen 209 Konfigurieren einer Umgebung f r die Bereitstellung Geben Sie in das Feld Administrator f r Eingehendes die Benutzer ID des Benutzers ein den Sie in Schritt 2 erstellt haben Klicken Sie auf Validieren um zu best tigen dass die Benutzer ID akzeptiert wurde wie im folgenden Beispiel zu sehen ist in dem die vollst ndige Benutzer ID unter der eingegebenen Benutzer ID angezeigt wird Organization for Creating su NeteAuto de securit Validate Inbound Unique Name ou NeteAuto de security de com Users Inbound uid 5uperAdmin ou Pec Validate Administrator unique Name uid SuperAdmin ou People ou Employee ou NeteAuto de security de scom ndern Sie andere Felder in diesem Fenster Keine nderungen sind erforderlich ndern Sie nur etwas wenn Sie verstehen wie die Felder interagieren Um Details zu jedem Feld zu erhalten klicken Sie auf die Hilfeverkn pfung in dem Fenster Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste der vorhandenen Umgebungen wird angezeigt Klicken Sie auf den Namen der Umgebung die Sie dem Bereitstellungsserver zuordnen m ch
35. hrliche Informationen ber SiteMinder Abfrageschemen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Die Tabellen und Spaltennamen in den SiteMinder Abfrageschemen werden durch die Daten ersetzt die Sie in der Verzeichniskonfigurationsdatei angeben So definieren Sie benutzerdefinierte Abfrageschemen Abfrageschemen werden in SiteMinderQuery Elementen in der Verzeichniskonfigurationsdatei definiert Ein SiteMinderQuery Element entspricht dem folgenden Beispiel lt SiteMinderQuery name SetUserProperty query update tblUsers set amp apos s amp apos where loginid amp apos s amp apos gt Hinweis In der Beispielabfrage ist amp apos die XML Syntax f r das einzelne Anf hrungszeichen Das SiteMinderQuery Element gilt nur wenn CA IdentityMinder und SiteMinder integriert sind 142 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Die Parameter f r Abfrageschemen lauten wie folgt name Gibt den neudefinierten Namen eines SiteMinder Abfrageschemas an ndern Sie diesen Wert nicht Abfrage Gibt die SQL Anweisung oder gespeicherte Prozedur an die ausgef hrt werden soll Die folgenden Werte sind g ltig m INSERT m SELECT m UPDATE m DELETE m CALL f r gespeicherte Prozeduren Hinweis Diese Parameter sind f r das SiteMinderQuery Element erforderlich Bevor Sie Abfrageschemen anpassen f hren Sie die folgenden Schritte aus Machen Sie sich
36. lich einer Organisationstabelle tblGroupMembers _Tgroupsd userid tblusers 1 tblGroupAdmins tblUserExtraAttrs a userid Jattmame Tattewake tblOrganizations tblUserAddress userid ECE id6 Foo Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 21 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Erforderliche Software f r NeteAuto F r die NeteAuto CA IdentityMinder Umgebung gelten die folgenden Voraussetzungen Installieren Sie CA IdentityMinder wie im Installationshandbuch beschrieben Stellen Sie sicher dass Sie die CA IdentityMinder Admin Tools installieren Sie m ssen Zugriff auf den Verzeichnisserver eines Sun Java Systems Sun ONE oder iPlanet oder auf eine Microsoft SQL Server Datenbank haben Installationsdateien f r die NeteAuto Umgebung CA IdentityMinder enth lt ein Set von Dateien die Sie verwenden k nnen um eine CA IdentityMinder Beispielumgebung einzurichten Die CA IdentityMinder Umgebung stellt die Ansicht eines Verwaltungs Namespace dar der es CA IdentityMinder Administratoren erm glicht Objekte wie Benutzer Gruppen oder Organisationen zu verwalten Diese Objekte werden zusammen mit einem Set von verkn pften Rollen und Aufgaben verwaltet Die CA IdentityMinder Umgebung steuert die Verwaltungs und Grafikpr sentation eines Verzeichnisses Die CA IdentityMinder Beispielumgebung umfasst Folgendes Beispielobjekte wie Benutzer und
37. r SiteMinder Importieren der Verzeichnisdefinitionen euuuussssssssseseennnsssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnsnnnnnnnnnnennnn Aktualisieren und Importieren von Umgebungsdefinitionen 2220000022222200nnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnensnnnnnnnn Installieren des Web Proxyserver Plug ins eeeeeseesesssnnnnnennnnsnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnsnnnsnnnnnnnnnnnnennnn Installieren des Proxy Plug ins auf WebSphere uueesensesssssssennnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnn Installieren Sie das Proxy Plug in f r JBOSS 22csssssennsessnnnnsnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnennnn 323 Installieren des Proxy Plug ins auf WebLogic uussseensessssnnnennnnnsnennnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnennnn Ordnen Sie den SiteMinder Agenten einer CA IdentityMinder Dom ne zu uuueeesesssensnenenennnnnennnnnennnnnnnnnnnnnennnnnnn Konfigurieren des SiteMinder Parameters LogOffUrl uuuneecsesseennessesnnnnsnennnensnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn SS 21 Ta 0T J 11 1 010 21 sis nta aeieea aea a na ee URLREE DPERFREERETEUARSERTERCERUEIEE a A e Fehlende Windows Dlls Hanse een en an en baren OE Falscher SiteMinder Richtlinienserver Speicherort 22222220s0snssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnennnn Falscher Admin Name 0 se ueein
38. sselspeicher importiert werden Extrahieren Sie zum Importieren die jar Datei importieren Sie das Zertifikat in admincacerts jks und verpacken Sie dann den jar Inhalt erneut Das Schl sselspeicherkennwort von admincacerts jks ist changeit berpr fen Sie dass alle Kopien von jiam jar ersetzt werden Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 387 N tzliche Befehle N tzliche Befehle Das OpenSSL Programm ist ein Befehlszeilentool f r die Verwendung der verschiedenen Kryptografiefunktionen aus der Bibliothek von OpenSSL Dieses Tool wird mit IMPS unter Bereitstellungsserver Installationsverzeichnis bin geliefert Die folgende Tabelle enth lt einige n tzliche Befehle von OpenSSL um verschiedene Befehle f r die Verwaltung von Zertifikaten auszuf hren Befehle Beschreibung Druckt den Inhalt des pem Zertifikats openssl x509 in cert pem text noout Druckt den Inhalt der p12 Datei openssl ex e pkcs12 in my pkcs12 info Konvertiert pem Zert Schl sselpaar zu p12 openssl ex e pkcs12 export chain inkey key pem in cert pem CAfile cacert pem out my p12 Druckt den Inhalt eines Java Schl sselspeichers keytool list v keystore my keystor e Druckt den Inhalt eines spezifischen Alias in einem Java Schl sselspeicher keytool list v alias myalias keystore my keystor e 388 Konfigurationshandbuch N tzliche B
39. von der CA IdentityMinder ausgeht Um VLV verwenden zu k nnen m ssen Sie Berechtigungen festlegen und Indizes erstellen CA IdentityMinder beinhaltet die folgenden Dateien die Sie f r die Paging Unterst tzung konfigurieren m ssen m vlventrl ldif m vlvindex ldif m runvlvindex cmd runvlvindex sh Diese Dateien sind Teil des NeteAuto Beispiels unter samples NeteAuto in den Verwaltungstools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager UNIX opt CA IdentityManager lAM_Suite Identity_Manager Gehen Sie wie folgt vor 1 F gen Sie dem DirectorySearch Element siehe Seite 58 in der Datei directory xml f r das CA IdentityMinder Verzeichnis den folgenden Parameter hinzu minsortrules 1 Hinweis Weitere Informationen zum ndern eines vorhandenen CA IdentityMinder Verzeichnisses finden Sie unter Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 2 Legen Sie die folgenden Berechtigungen f r die Datei vlventrl ldif fest ldapmodify D cn Directory Manager w password p port f vlvcntrl ldif 3 Importieren Sie wie folgt VLV Suchdefinitionen und Indexdefinitionen ldapmodify D cn Directory Manager w password p port f vlvindex ldif 4 Halten Sie das Verzeichnis wie folgt an stop slapd 5 Erstellen Sie die Indizes mithilfe von runvlvindex 6 Starten Sie das Ver
40. zeigt CA IdentityMinder die folgende Meldung an Aufgabe abgeschlossen Wenn die Ausf hrung der Aufgabe l nger dauert oder sich die Aufgabe unter Workflow Steuerung befindet zeigt CA IdentityMinder die folgende Meldung an Task has been submitted for processing on the current date Hinweis nderungen sind m glicherweise nicht sofort wirksam Theme Properties Themeneigenschaften 246 Konfigurationshandbuch Erm glicht Ihnen das Symbol und den Titel der Benutzerkonsole in einer Umgebung anzupassen Sie k nnen zum Beispiel den Fenstern der Benutzerkonsole ein Unternehmenslogo und den Unternehmensnamen hinzuf gen Themeneigenschaften umfassen die folgenden Einstellungen Icon URI Symbol URI Definiert das Symbol mithilfe eines URI zu einem Bild auf dem Anwendungsserver Beispiel http myserver mycompany com images front logo gif Icon Link URI Symbol Link URI Definiert die Navigationsverkn pfung zu dem Bild mithilfe eines URI Icon Title Symboltitel Definiert die QuickInfo die beim Bewegen der Maus ber das Symbol als Text angezeigt wird Titel Gibt benutzerdefinierten Text an der neben dem Symbol oben in der Benutzerkonsole angezeigt wird Hinweis Wenn Sie ein benutzerdefiniertes Design definierten haben k nnen Sie ein Symbol oder einen Titel angeben indem Sie auf eine Eigenschaftsdatei f r das Design verweisen Wenn zum Beispiel der Eintrag f r das Symbolbild in der Eigenschaftsdatei
41. Attributbeschreibung hinzu lt DataClassification name parameter gt parameter Stellt einen der folgenden Parameter dar sensitive vst_hide ignore_on_copy AttributeLevelEncrypt PreviouslyEncrypted Eine Attributbeschreibung die das Datenklassifizierungs Attribut vst_hide enth lt entspricht zum Beispiel in etwa dem folgenden Code lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 gt lt DataClassification name vst_hide gt Verschl sselung auf Attributebene Sie k nnen ein Attribut im Benutzerspeicher verschl sseln indem Sie eine AttributeLevelEncypt Datenklassifizierung f r dieses Attribut in der Verzeichniskonfigurationsdatei directory xml angeben Wenn die Verschl sselung auf Attributebene aktiviert ist verschl sselt CA IdentityMinder den Wert dieses Attributs bevor es im Benutzerspeicher gespeichert wird Das Attribut wird in der Benutzerkonsole als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 Wenn die FIPS 140 2 Unterst tzung aktiviert ist wird das Attribut mithilfe der RC2 Verschl sselung oder FIPS 140 2 Verschl sselun
42. Attributen die an einem Ereignis beteiligt sind Sie k nnen zum Beispiel Attribute protokollieren die sich w hrend eines ModifyUserEvent Ereignisses ndern m Legen Sie die Auditebene f r die Attributprotokollierung fest Die Auditeinstellungsdatei ist eine XML Datei die Sie durch das Exportieren von Auditeinstellungen erstellen Die Datei hat das folgende Schema lt Audit enabled auditlevel datasource gt lt AuditEvent name enabled auditlevel gt lt AuditProfile objecttype auditlevel gt lt AuditProfileAttribute name auditlevel gt lt AuditProfile gt lt EventState name severity gt lt AuditEvent gt lt Audit gt Weitere Informationen zu Audit Elementen und Audit Schema finden Sie in den Kommentaren in der Auditeinstellungsdatei Die AuditProfileAttribute Elemente geben die Attribute an die CA IdentityMinder berpr ft Die Attribute beziehen sich auf das im AuditProfile Element angegebene Objekt Hinweis Wenn keine Auditprofilattribute angegeben wurden werden alle Attribute f r das im AuditProfile Element angegebene Objekt protokolliert Die folgende Tabelle enth lt die g ltigen Attribute f r CA IdentityMinder Objekttypen G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ACCESS ROLE G ltige Attribute m name F r Benutzer sichtbarer Name der Rolle m description Ein optionaler Kommentar ber den Zweck der Rolle m members Die Benutzer
43. Ausgehende Zuordnungen 2020022222000000000000nnnnunnnnnnnnnnnnnnnunnnnnnnnnnnennnnnnnnnnsnnsnnnnennnnnnnnsnnnnnnnnnssnnnnnnnennnnssnnnnnnnn Benutzerkonsole Webservices Workflow Properties Workflow Eigenschaften Work Item Delegation Arbeitselement delegieren 22200022220000220snunnnensennnnnnennnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnn 248 Workflow Participant Resolvers Workflow Teilnehmer Resolver 220000022200002200sunnnnnnennnnnnnnnnnennnnnnnnnnnennnn 249 Importieren Exportieren von benutzerdefinierten Einstellungen Fehler wegen unzureichendem Speicher in Java Virtual Machine Kapitel 8 berpr fung 251 So konfigurieren und generieren Sie Audit Datenberichte 22222000000snsssnnnnnnenunnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnn 251 berpr fen der Voraussetzungen uneeenenesssnsnnenssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnnnsnnsnnensnnnnnennnnnnnnnnnn 254 ndern der Auditeinstellungsdatei uunuenenesensnnennennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 254 Aktivieren der berwachung f r eine Aufgabe unneneanenesennnnennennnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnennnnnnnennnnnnnennnnn 259 Bericht nfordern ee0eeun nennen se nee eisen 260 Anzeigen des Berichts ne a RAEE A EA TEE AA E EANAN Ea 263 Bereinigen der Audit Datenbank 022222222sssennnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnene
44. Benutzer und Gruppen ndern Sie bekannte Attribute Bekannte Attribute kennzeichnen besondere Attribute wie das Kennwortattribut in CA IdentityMinder Konfigurieren Sie die Unterst tzung f r selbstabonnierende Gruppen Wenn Ihre Umgebung Organisationen einschlie t konfigurieren Sie die Unterst tzung f r Organisationen Weitere Informationen Beschreibung von verwalteten Objekten siehe Seite 118 Organisationsverwaltung siehe Seite 151 So konfigurieren Sie selbstabonnierende Gruppen siehe Seite 149 Bekannte Attribute f r eine relationale Datenbank siehe Seite 144 Kapitel 4 Verwaltung relationaler Datenbanken 117 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beschreibung von verwalteten Objekten In CA IdentityMinder verwalten Sie die folgenden Objekttypen die Eintr gen in einem Benutzerspeicher entsprechen m Benutzer Stellt Benutzer in einem Unternehmen dar m Gruppen Stellt Gruppen von Benutzern dar die etwas gemein haben m Optional Organisationen Stellt Gesch ftsbereiche dar Organisationen k nnen Benutzer Gruppen und andere Organisationen enthalten Hinweis Weitere Informationen zur Konfiguration von Organisationen finden Sie unter Organisationsverwaltung siehe Seite 151 Eine Objektbeschreibung enth lt die folgenden Informationen m Informationen zu dem Objekt siehe Seite 118 wie die Tabellen in denen das Objekt gespeichert ist m Die Attribute
45. CA IdentityMinder installiert ist Sie geben mindestens ein Alias an wenn Sie eine CA IdentityMinder Umgebung in der Management Konsole erstellen Sie k nnen auch ein ffentliches Alias angeben SiteMinder verwendet den Umgebungsnamen um die Objekte zu benennen die die Umgebung sch tzen Wenn Sie den Namen employees angeben erstellt SiteMinder zum Beispiel Objekte mit dem Namen employeesobject_type object_type Definiert das SiteMinder Objekt wie employees_ims_realm Die folgende Abbildung zeigt zwei der Objekte die SiteMinder erstellt System Domains Domains employeesDomain E 4 Realms J employees_ims_realm Responses amp Policies Aktualisieren eines Alias in SiteMinder Bereichen Wenn Sie das gesch tzte oder ffentliche Alias in der Management Konsole ndern versucht CA IdentityMinder die Aliasnamen im Richtlinienserver zu aktualisieren Wenn CA IdentityMinder die Namen nicht aktualisieren kann k nnen Sie sie manuell in einer der folgenden Schnittstellen aktualisieren m F r CA SiteMinder Web Access Manager r12 oder h her verwenden Sie die Verwaltungsoberfl che m F r CA eTrust SiteMinder 6 0 SP5 verwenden Sie die Richtlinienserver Benutzeroberfl che 370 Konfigurationshandbuch SiteMinder Vorg nge Gehen Sie wie folgt vor 1 Suchen Sie die Bereiche f r die CA IdentityMinder Umgebung Diese Bereiche werden automatisch erstellt mit anderen erforderlichen SiteMinder Objekten
46. Containers an Attribute Tabelle Gibt den physischen Namen und die Objektklasse dahingehend an ob das Attribut mit mehreren Werten ausgestattet ist Au erdem gibt es den Datentyp der ausgew hlten Attribute an Attribute in dieser Tabelle k nnen nach Ausgew hlt Objektklasse Mehrfachwerten oder Datentyp sortiert werden Schaltfl che Zur ck Klicken Sie hier um zum Bildschirm der konfigurierten verwalteten Objekte zur ckzukehren Weiter Klicken Sie hier um mit dem Fenster der bekannten Zuordnungen fortzufahren und die erforderlichen und optionalen bekannten Aliase zuzuordnen 166 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster der bekannten Zuordnungen Verwenden Sie dieses Fenster um CA IdentityMinder bekannte Attribute zu ausgew hlten LDAP Attributen zuzuordnen Ein Administrator kann in der Liste von bekannten Attributen wenn sie f r benutzerdefinierten Code erforderlich sind Elemente hinzuf gen indem er ein neues bekanntes Attribut ins Textfeld eingibt und auf die Schaltfl che Hinzuf gen klickt Das Fenster wird aktualisiert sodass Sie mit dem Hinzuf gen beliebig vieler bekannter Attribute fortfahren k nnen Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Erforderliche bekannte Attribute Well Knowns Gibt die bekannten Attribute f r Benutzer Gruppen oder Organisationen an wenn anwendbar d
47. Dateisystem entspricht wo Sie iPlanet installiert haben ndern Sie in einem Texteditor die iPlanet Datei magnus conf Um iPlanet anzuweisen die Datei libproxy so als ein iPlanet Modul zu laden f gen Sie die folgenden Zeilen am Anfang der magnus conf Datei hinzu Init fn load modules funcs wl_proxy wl_init shlib Pfad in Dateisystem aus Schritt 1 libproxy so Init fn wl_init Beispiel Init fn load modules funcs wl_proxy wl_init shlib usr local netscape plugins libproxy so Init fn wl_init Das Funktionslademodul kennzeichnet die gemeinsam genutzte Bibliothek zum Laden wenn iPlanet startet Die Werte wI_proxy und wI_init identifizieren die Funktionen die das Plug in ausf hrt Installieren des Web Proxyserver Plug ins 3 ndern Sie in einem Texteditor die iPlanet Datei obj conf wie folgt a Nach der letzten Zeile die mit dem folgenden Text anf ngt NamerTrans fn F gen Sie die folgende Service Direktive zum Abschnitt f r Object name default hinzu Service method GET HEAD POST PUT type text jsp fn wl proxy Hinweis Sie k nnen diese Direktive in einer Zeile nach den vorhanden Service Direktiven hinzuf gen F gen Sie den folgenden Code am Ende der Datei hinzu lt Object name idm ppath iam gt gt Service fn wl proxy WebLogicHost hostname WebLogicPort portnumber PathTrim weblogic lt Object gt lt Object name weblogic1 ppath console gt Servi
48. Die iPlanet Konfigurationsdateien haben strikte Regeln ber die Textposition Um Probleme zu vermeiden beachten Sie die folgenden Punkte Entfernen Sie zus tzliche f hrende und nachgestellte Leerzeichen Zus tzliche Leerzeichen k nnen dazu f hren dass Ihr iPlanet Server fehlschl gt Wenn Sie mehr Zeichen eingeben m ssen als auf eine Zeile passen geben Sie einen umgekehrten Schr gstrich am Ende dieser Zeile ein und fahren auf der folgenden Zeile mit der Eingabe fort Der umgekehrte Schr gstrich wird direkt zwischen dem Ende der ersten Zeile und dem Anfang der folgenden Zeile eingef gt Wenn ein Leerzeichen zwischen den W rtern am Ende der ersten Zeile und dem Beginn der zweiten Zeile notwendig ist geben Sie entweder am Ende der ersten Zeile vor dem umgekehrten Schr gstrich oder am Anfang der zweiten Zeile ein Leerzeichen ein Teilen Sie keine Attribute ber mehreren Zeilen Kapitel 12 Integration von CA SiteMinder 331 Installieren des Web Proxyserver Plug ins Die iPlanet Konfigurationsdateien f r Ihre iPlanet Instanz befinden sich an folgendem Speicherort iplanet_homef https instance_name config wobei iplanet_home das Stammverzeichnis der iPlanet Installation und instance_name Ihre jeweilige Serverkonfiguration ist Gehen Sie wie folgt vor 1 332 Konfigurationshandbuch Kopieren Sie aus dem Verzeichnis weblogic_home server lib die Datei libproxy so die Ihrer Version des iPlanet Webservers auf dem
49. EENEN RAEE EAER NELER EEEE N 378 Installationen eeaeee arte ee ne een AEA A 378 Herstellen einer Verbindung mit SiteMinder uu 224044020000nssnnnennnnnnnonsnnnnnnnsnnnnnnnennnonsnnnnannsnnsnnnsnsnensnnssnnnsnsnnnn 379 Schl sseldatei Speicherung nns ee enden S Taea eaae E EEE aana EEEE an OANE e 379 Das KennWoOrt To0 rue a a a iaa a ai anaE a a a Aa a 380 FIPS Modus Erkennung ieii tiaa ea ia EE EE a Ea aE a aa daraa 382 Verschl sselte Textformate sineiessisinimieioisiineaenn rinena na ae NEENA ENEE EE AANE eisen 383 Verschl sseltelnform tionen n aaaaekne airn a EEEE E EAEE EE AEAEE 383 EIPS Mod s Protoko llierung u retienen esnin KE EANN ANEN Aaea Serenade ge ee nee 383 Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 385 N t liche Befehlen nsina a Aa A RRR a aN EEE EE E E ne 388 12 Konfigurationshandbuch Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen Dieses Kapitel enth lt folgende Themen Komponenten der CA IdentityMinder Umgebung siehe Seite 13 Mehrere CA IdentityMinder Umgebungen siehe Seite 15 CA IdentityMinder Management Konsole siehe Seite 16 Zugreifen auf die CA IdentityMinder Management Konsole siehe Seite 16 So wird eine CA IdentityMinder Umgebung erstellt siehe Seite 17 Komponenten der CA IdentityMinder Umgebung Eine CA IdentityMinder Umgebung stellt die Ansicht eines Verwaltungs Namespace dar mit dem CA IdentityMi
50. Ereignis ist ein Vorgang der von einer CA IdentityMinder Aufgabe generiert wird So kann beispielsweise die Aufgabe Benutzer erstellen das Ereignis AssignAccessRoleEvent enthalten Folgendes Diagramm beschreibt wie ein Systemadministrator die berwachung konfiguriert und einen Bericht der Audit Daten generiert 252 Konfigurationshandbuch So konfigurieren und generieren Sie Audit Datenberichte Erstellen eines Connector mithilfe des Plug in Layer 7 Connector Xpress installieren aktualisieren Systemadministrator Bereitstellungsserver hinzuf gen und konfigurieren Projekt erstellen benutzerdef Datenquellen Endpunktdienst in einrichten Richtlinienmanager importieren Projekt erstellen mithilfe des Plug in Layer 7 Neue Attribute hinzuf gen Verwaltenden Cannertor Server vom Knaten des Endpunkttyps aus festlegen Endpunkt erfassen durchsuchen und korrelieren Kapitel 8 berpr fung 253 So konfigurieren und generieren Sie Audit Datenberichte Stellen Sie als Administrator folgende Schritte fertig 1 2 3 4 5 berpr fen der Voraussetzungen siehe Seite 254 ndern der Auditeinstellungsdatei siehe Seite 254 Aktivieren der berwachung f r eine Aufgabe siehe Seite 259 Bericht anfordern siehe Seite 260 Anzeigen des Berichts siehe Seite 263 berpr fen der Voraussetzungen Stellen Sie sicher dass folgende Voraussetzungen erf llt werden bevor
51. Gibt eine Liste von Rollen zur ck die einem Benutzer zugeordnet sind m SM _USER_APPLICATION_TASKS Anwendungs ID Gibt eine Liste von Aufgaben zur ck die ein Benutzer basierend auf ihm zugewiesenen Rollen ausf hren kann Die Anwendungs ID beschr nkt das angeforderte Set von Rollen und Aufgaben auf eine bestimmte Anwendung Wenn Sie beispielsweise das folgende Antwortattribut erstellen SM_USER_APPLICATION_ROLES Finanzanwendung Gibt SiteMinder die Rollen die Aufgaben in der Finanzanwendung haben an den Web Agenten zur ck der dann die Informationen der Finanzanwendung bergibt Hinweis Die Anwendungs ID die Sie liefern sollte mit einer Anwendungs ID bereinstimmen die Sie angegeben haben als Sie Zugriffsaufgabe erstellen in Identity Manager verwendet haben Wenn Sie die Aufgabe noch nicht erstellt haben kann die Anwendungs ID ein von Ihnen gew hlter Name sein aber er darf keine Leerzeichen oder nicht alphanumerische Zeichen enthalten Kapitel 12 Integration von CA SiteMinder 363 SiteMinder Vorg nge Sie k nnen mehrere Anwendungs IDs in einer kommagetrennten Liste angeben um das Set von Rollen und Aufgaben von mehreren Anwendungen in einem einzelnen Antwortattribut zur ckzugeben Um zum Beispiel die Liste von Rollen zur ckzugeben die ein Benutzer in Finanz und Einkaufsanwendungen hat geben Sie Folgendes an SM_USER_APPLICATION_ROLES Finanzen Einkauf Checkliste f r das Aktivieren von Zugriffsrollen in Si
52. ID Attribut dem Wert entspricht W hlen Sie alle Benutzer unter den verf gbaren Mitgliedern aus und f gen Sie diese zu den aktuellen Mitgliedern hinzu Klicken Sie auf OK m Regeln Rules F gen Sie die Regeln hinzu die Sie in Schritt 4 erstellt haben Klicken Sie f r jede Regel auf Vorgegebene Antwort Verkn pfen Sie jede Regel mit der Antwort die Sie in Schritt 5 erstellt haben Hinweis Das neteauto Design beruht auf der imcss Konsole Um das Design anzuzeigen h ngen Sie imcss index jsp an die URL f r die NeteAuto CA IdentityMinder Umgebung folgenderma en an http hostname iam im neteauto imcss index jsp Der Zugriff auf die NeteAuto CA IdentityMinder Umgebung siehe Seite 42 bietet vollst ndige Anweisungen f r den Zugriff auf die NeteAuto Umgebung 40 Konfigurationshandbuch So wird die NeteAuto CA IdentityMinder Umgebung verwendet Verwenden Sie die entsprechende Funktion im Falle eines vergessenen Kennworts F hren Sie den folgenden Vorgang aus um die Funktion f r den Fall eines vergessenen Kennworts zu verwenden Gehen Sie wie folgt vor 1 Benutzerverwaltung Geben Sie die folgende URL in einen Browser ein http hostname iam im neteautopublic index jsp task tag ForgottenPasswordRes et Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Geben Sie die eindeutige Kennung f r den selbst registrierten Benutzer e
53. Identit tsadministrator eines der folgenden Plug ins die der Webserver verwendet um Anfragen an den Anwendungsserver weiterzuleiten 314 Konfigurationshandbuch WebSphere siehe Seite 315 JBoss siehe Seite 323 WebLogic siehe Seite 327 Installieren des Web Proxyserver Plug ins Installieren des Proxy Plug ins auf WebSphere Der Webserver auf dem Sie den Web Agent installiert haben leitet Anfragen an den Anwendunsgsserver weiter der den CA IdentityMinder Server hostet Das vom Anbieter zur Verf gung gestellte Webserver Proxy Plug in stellt diesen Service bereit Verwenden Sie die Verfahren die f r Ihre Bereitstellung zutreffen 1 Konfigurieren Sie den IBM HTTP Server siehe Seite 315 Alle Webserver 2 Konfigurieren Sie das Proxy Plug in siehe Seite 316 Alle Webserver 3 Eine der folgenden m Abschlie en der Konfiguration auf IIS siehe Seite 320 m Abschlie en der Konfiguration auf iPlanet oder Apache siehe Seite 322 Konfigurieren des IBM HTTP Servers F r alle Webserver installieren Sie das Proxy Plug in und verwenden den Befehl configurewebserver Gehen Sie wie folgt vor 1 Installieren Sie das Proxy Plug in von der WebSphere Startseite 2 F gen Sie den Webserver zur WebSphere Zelle hinzu indem Sie den Befehl configurewebserveri bat wie folgt ausf hren a Bearbeiten Sie websphere_home Plugins bin configurewebserver1 bat sh in einem Texteditor b F gen Sie nach wsadmin bat
54. Kapitel 4 Verwaltung relationaler Datenbanken 121 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei 4 Geben Sie die Spalte an die die eindeutige Kennung f r das Objekt siehe Seite 122 enth lt 5 Beschreiben Sie die Attribute die das Profil des Objekts bilden siehe Seite 123 6 Wenn Sie ein Organisationsobjekt konfigurieren wechseln Sie zu Organisationsverwaltung siehe Seite 151 So geben Sie die eindeutige Kennung f r ein verwaltetes Objekt an Jedes Objekt das von CA IdentityMinder verwaltet wird muss eine eindeutige Kennung haben Vergewissern Sie sich dass die eindeutige Kennung in einer einzelnen Spalte in der prim ren Tabelle des verwalteten Objekts gespeichert ist Prim re Tabellen werden unter Datenbanktabellen siehe Seite 119 beschrieben Verwenden Sie die Elemente Uniqueldentifier und UniqueldentifierAttr um die eindeutige Kennung wie folgt zu definieren lt Uniqueldentifier gt lt UniqueldentifierAttr name tablename columnname gt lt Uniqueldentifier gt Das UniqueldentifierAttr Element erfordert den Namensparameter Der Wert des Namensparameters ist das Attribut in dem die eindeutige Kennung gespeichert ist Der Wert kann ein physisches Attribut oder ein bekanntes Attribut siehe Seite 79 sein Wenn Sie ein physisches Attribut angeben beachten Sie die folgenden Punkte m Vergewissern Sie sich dass das angegebene Attribut in der Datenbank vorhanden
55. Klicken Sie auf Fertig stellen Die Umgebung wird in CA IdentityMinder importiert Neustarten einer CA IdentityMinder Umgebung Gehen Sie wie folgt vor 1 218 Konfigurationshandbuch Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Klicken Sie auf den Namen der CA IdentityMinder Umgebung die Sie starten m chten Das Fenster CA IdentityMinder Environment Properties Umgebungseigenschaften wird angezeigt W hlen Sie eine der folgenden Optionen aus Restart Environment Umgebung neu starten Wird verwendet um eine Umgebung anzuhalten und zu starten Beenden H lt eine Umgebung an die gegenw rtig ausgef hrt wird Starten Startet eine Umgebung die gegenw rtig nicht ausgef hrt wird Verwalten von Umgebungen L schen einer CA IdentityMinder Umgebung Verwenden Sie diesen Vorgang um eine CA IdentityMinder Umgebung zu entfernen Hinweis Wenn CA IdentityMinder mit SiteMinder f r die erweiterte Authentifizierung integriert wird l scht CA IdentityMinder auch die SiteMinder Richtliniendom ne die die Umgebung und die Standard Authentifizierungsschemen sch tzt die f r die Umgebung erstellt werden Gehen Sie wie folgt vor 1 Aktivieren Sie im Fenster Environments Umgebungen das Kontrollk stchen f r die zu l schenden CA IdentityMinder Umgebungen 2 Klicken Sie auf L s
56. Klicken Sie auf die Schaltfl che Exportieren Ein Dateidownload Fenster wird angezeigt 4 Speichern Sie die ZIP Datei an einem Speicherort auf den das Produktionssystem zugreifen kann 5 Klicken Sie auf Fertig stellen Die Umgebungsinformationen werden in eine ZIP Datei exportiert die Sie in eine andere Umgebung importieren k nnen Importieren einer CA IdentityMinder Umgebung Sie k nnen CA IdentityMinder Umgebunsgseinstellungen importieren um eine der folgenden Aufgaben auszuf hren m Sie verwalten mehrere Umgebungen mit hnlichen Einstellungen In diesem Fall erstellen Sie eine Umgebung mit den erforderlichen Einstellungen importieren diese Einstellungen in andere Umgebungen und passen dann die Einstellungen in jeder Umgebung nach Bedarf an m Sie migrieren eine Umgebung aus einem Entwicklungssystem in ein Produktionssystem m Sie aktualisieren eine vorhandene Umgebung nachdem Sie ein Upgrade auf eine neue Version von CA IdentityMinder durchgef hrt haben Kapitel 6 CA IdentityMinder Umgebungen 217 Verwalten von Umgebungen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Klicken Sie auf die Schaltfl che Importieren Das Fenster Umgebung importieren wird angezeigt Suchen Sie nach der entsprechenden ZIP Datei um eine Umgebung zu importieren
57. Managed Object Properties Eigenschaften von verwalteten Objekten Das Fenster Managed Object Properties beschreibt die Eigenschaften und Attribute f r einen Typ von verwaltetem Objekt Die Informationen im Fenster Managed Object Properties h ngen vom Typ des Benutzerspeichers ab den Sie verwalten Verwaltete Eigenschaften eines Objekts sind Folgende Beschreibung Gibt eine Beschreibung des verwalteten Objekts an Typ Zeigt den Eintragstyp an den das verwaltete Objekt darstellt Ein Objekttyp kann einer der folgenden Typen sein m User m Gruppe m Organisation Objektklasse nur f r LDAP Verzeichnisse Gibt die Objektklassen f r das verwaltete Objekt an Ein verwaltetes Objekt kann mehrere Objektklassen haben Sort Order Sortierreihenfolge nur f r LDAP Verzeichnisse Gibt die Attribute an die CA IdentityMinder verwendet um Suchergebnisse nach benutzerdefinierter Business Logik zu sortieren Die Reihenfolge wirkt sich nicht auf die Reihenfolge von Suchergebnissen in der Benutzerkonsole aus Wenn Sie zum Beispiel das cn Attribut f r das Benutzerobjekt angeben sortiert CA IdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach dem cn Attribut Primary Table Prim re Tabelle nur f r relationale Datenbanken Gibt die Tabelle an die die eindeutige Kennung f r das verwaltete Objekt enth lt Kapitel 5 CA IdentityMinder Verzeichnisse 181 CA IdentityMinder Verzeichniseigenschaften Maximale
58. Management Konsole zuzugreifen Beispiel Pfade zur Management Konsole F r Geologic Weblogs http myserver mycompany org 7001 iam immanage F r JBoss http myserver mycompany org 8080 iam immanage F r WebSphere http myserver mycompany org 9080 iam immanage So wird eine CA IdentityMinder Umgebung erstellt Um eine CA IdentityMinder Umgebung zu erstellen f hren Sie die folgenden Schritte in der Management Konsole aus 1 3 4 Verwenden Sie den Assistenten f r Verzeichniskonfiguration siehe Seite 158 um ein CA IdentityMinder Verzeichnis zu erstellen Wenn Ihre Umgebung Bereitstellung einschlie t verwenden Sie den Assistenten f r Verzeichniskonfiguration erneut um ein Provisioning Verzeichnis siehe Seite 174 zu erstellen Erstellen Sie eine CA IdentityMinder Umgebung Greifen Sie auf die Umgebung siehe Seite 198 zu um zu berpr fen dass diese ausgef hrt wird Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 17 Kapitel 2 Beispiel einer CA IdentityMinder Umgebung Dieses Kapitel enth lt folgende Themen bersicht des Beispiels einer CA IdentityMinder Umgebung siehe Seite 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert siehe Seite 20 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert siehe Seite 30 So wird die NeteAuto CA IdentityMinder Umgebung verwendet siehe Seite 37 So werden zus tzliche Funktionen konfiguriert siehe Seite
59. ORG_MEMBERSHIP finden Sie unter So definieren Sie die Organisationshierarchie ORG_MEMBERSHIP_NAME Erforderlich Enth lt den benutzerfreundlichen Namen der bergeordneten Organisation siehe Seite 154 einer Organisation Kapitel 4 Verwaltung relationaler Datenbanken 153 So verbessern Sie die Leistung von Verzeichnissuchen ORG_NAME Erforderlich Enth lt den Namen der Organisation So definieren Sie die Organisationshierarchie So verbessern Organisationen haben in CA IdentityMinder eine hierarchische Struktur bestehend aus einer Stammorganisation und Unterorganisationen Dabei k nnen die Unterorganisationen weitere Unterorganisationen haben Jede Organisation mit Ausnahme der Stammorganisation hat eine bergeordnete Organisation In der folgenden Abbildung ist zum Beispiel Dealer die bergeordnete Organisation f r die Organisationen USA und Europe NeteAuto Supplier Employee Die eindeutige Kennung der bergeordneten Organisation wird in einem Attribut im Profil der Organisation gespeichert Mithilfe der Informationen in diesem Attribut kann CA IdentityMinder die Organisationshierarchie erstellen Um das Attribut anzugeben in dem die bergeordnete Organisation gespeichert ist verwenden Sie die bekannten Attribute ORG_MEMBERSHIP und ORG_MEMBERSHIP_NAME wobei das physische Attribut wie folgt den Namen der bergeordneten Organisation in einer Attributbeschreibung enth lt lt Ims
60. Organisationen Rollen Aufgaben und Bildschirmdefinitionen Aufgaben werden in der Benutzerkonsole angezeigt wenn Sie auf eine Registerkarte klicken wie etwa f r Benutzer oder Gruppen Basierend auf den zugewiesenen Rollen werden die verkn pften Aufgaben angezeigt wenn sich der Benutzer anmeldet Hinweis Weitere Informationen zu Rollen und Aufgaben finden Sie im Administrationshandbuch Ein Beispieldesign das die Benutzerkonsole f r NeteAuto Benutzer individuell anpasst Eine Verzeichniskonfigurationsdatei die Sie verwenden um ein CA IdentityMinder Verzeichnis zu erstellen Die Dateien f r das Erstellen der CA IdentityMinder Beispielumgebung werden unter dem folgenden Speicherort installiert admin _tools samples NeteAuto 22 Konfigurationshandbuch So wird das NeteAuto Beispiel mit Organisations Support konfiguriert In diesem Pfad bezieht sich admin_tools auf die Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Installieren Sie die NeteAuto Umgebund F hren Sie den folgenden Prozess aus um die NeteAuto Umgebung zu installieren Gehen Sie wie folgt vor 1 Vergewissern Sie sich dass die erforderliche Software installiert ist siehe Seite 22 2 Konfigurieren Sie den Benutzerspeicher und importieren Sie die Beispieldaten
61. Paging unterst tzt und ein Wert f r die maximalen Such Zeilen angegeben wird verwendet CA IdentityMinder nur den Wert f r die maximalen Such Zeilen um die Suchgr e zu steuern Such Zeitlimit Gibt die H chstzahl an Sekunden an die CA IdentityMinder in einem Verzeichnis sucht bevor es die Suche beendet Failover Host Gibt den Hostnamen des Systems an in dem ein redundanter Benutzerspeicher oder ein alternativer Provisioning Server vorhanden ist falls das Prim rsystem nicht verf gbar ist Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolge herzustellen Failover Port Gibt den Port des Systems an in dem ein redundanter Benutzerspeicher oder ein alternativer Provisioning Server vorhanden ist falls das Prim rsystem nicht verf gbar ist Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der gleichen aufgelisteten Reihenfolge herzustellen Schaltfl che Hinzuf gen Klicken Sie hier um zus tzliche Failover Hostnamen und Portnummern hinzuzuf gen Kapitel 5 CA IdentityMinder Verzeichnisse 163 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Konfigurieren des Fensters der verwalteten Objekte Verwenden Sie dieses Fenster um ein zu konfigurierendes Objekt auszuw hlen Die folgende Liste steht f r die Felder in diesem Fenster Konfigurieren des verw
62. Schritten finden Sie unter CA eTrust SiteMinder Richtliniendesign Aktivieren von Zugriffsrollen zur Verwendung mit SiteMinder Um Zugriffsrollen mit CA SiteMinder zu verwenden spiegelt CA IdentityMinder alle Objekte im CA IdentityMinder Objektspeicher die sich auf diese Zugriffsrollen beziehen im SiteMinder Richtlinienspeicher Um dies zu erm glichen konfigurieren Sie eine Eigenschaft in der CA IdentityMinder Management Konsole So aktivieren Sie Zugriffsrollen f r die Verwendung mit SiteMinder 1 ffnen Sie die Managementkonsole 2 W hlen Sie Umgebung Ihre Umgebung Erweiterte Einstellungen Verschiedenes 3 F gen Sie eine neue Eigenschaft durch das Angeben der folgenden Informationen hinzu m Geben Sie im Feld Eigenschaft Folgendes ein EnableSMRBAC m Geben Sie im Feld Wert Folgendes ein true 354 Konfigurationshandbuch SiteMinder Vorg nge Klicken Sie auf Hinzuf gen Klicken Sie dann auf Speichern Eine Meldung die anzeigt dass die Umgebung neu gestartet werden muss wird angezeigt Starten Sie die Umgebung neu CA IdentityMinder unterst tzt jetzt Zugriffsrollen und Aufgaben f r die Verwendung mit CA SiteMinder Sobald Sie Zugriffsrollen f r die Verwendung mit CA SiteMinder aktivieren beachten Sie Folgendes Wenn Sie Zugriffsrollen in CA Identity Manager r8x verwendet haben m ssen Sie einen zus tzlichen Migrationsschritt ausf hren um diese Zugriffsrollen in der aktuellen Ver
63. Sie auf Create from Wizard ber Assistenten erstellen Geben Sie den Pfad und Dateinamen der Verzeichnis XML Datei f r das Konfigurieren des Bereitstellungsverzeichnisses ein Es wird unter directoryTemplates ProvisioningServer im Ordner Verwaltung gespeichert Der Standardspeicherort dieses Ordners ist m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager IAM_Suite Identity_Manager tools Hinweis Sie k nnen diese Verzeichniskonfigurationsdatei wie installiert ohne nderungen verwenden Klicken Sie auf Weiter Geben Sie Werte f r die Felder in diesem Fenster folgenderma en an Name Ist ein Name f r das Bereitstellungsverzeichnis das dem Bereitstellungsserver zugeordnet wird den Sie konfigurieren m Wenn CA IdentityMinder nicht in SiteMinder integriert ist geben Sie einen aussagekr ftigen Namen f r das Objekt an das CA IdentityMinder verwendet um mit dem Benutzerverzeichnis Verbindung aufzunehmen m Wenn CA IdentityMinder in SiteMinder integriert ist haben Sie zwei Optionen Wenn Sie ein Benutzerverzeichnis Verbindungsobjekt in SiteMinder erstellen wollen geben Sie einen aussagekr ftigen Namen an CA IdentityMinder erstellt dieses Objekt in SiteMinder mit dem Namen den Sie angeben Wenn Sie mit einem vorhandenen SiteMinder Benutzerverzeichnis Verbindung aufnehmen wollen geben Sie den Namen des SiteMinder Benutzerverzeichnis Verbindungsobjekts gen
64. Sie diese W hlen Sie die Gruppen Manager Rolle aus und klicken Sie auf Ausw hlen Das Profil f r die Gruppen Manager Rolle wird angezeigt Klicken Sie auf die Registerkarte Mitglieder und anschlie end auf Hinzuf gen unter den Mitgliederrichtlinien Das Fenster Mitglieder Richtlinie wird angezeigt Klicken Sie unter der Mitgliederregel im Benutzer Feld auf die Pfeil nach unten Taste W hlen Sie in der Drop down Liste den Eintrag lt user filter gt Das Benutzer Feld ndert sich damit Sie einen Filter f r die Regel eingeben k nnen Geben Sie eine Mitgliedschaftsregel wie folgt ein a W hlen Sie im ersten Feld den Titel aus der Drop down Liste aus b Vergewissern Sie sich dass im zweiten Feld das Gleichheitszeichen ausgew hlt wird c Geben Sie Manager im dritten Feld ein Definieren Sie im Abschnitt der Umfangsregeln die Regeln f r die Benutzer Gruppen und Organisationen sofern unterst tzt wie folgt a Klicken Sie im Benutzer Feld auf die Pfeil nach unten Taste um eine Liste von Optionen anzusehen W hlen Sie alle aus der Liste aus b Wiederholen Sie den Schritt a in den Feldern f r die Gruppen und die Organisationen sofern unterst tzt c Lassen Sie das Feld f r den Zugriff auf die Aufgaben leer Klicken Sie auf OK CA IdentityMinder zeigt die Mitgliederrichtlinie an die Sie erstellt haben Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage Kap
65. String lt config property type gt lt config property value gt PBES xEx8 9omiiDOB3RaW9VZIA lt config property valucs lt config property gt lt config property gt lt config property name gt AgentName lt config property name gt 2 Geben Sie in der Eigenschaft AdminSecret das verschl sselte Kennwort f r den in der UserName Eigenschaft verwendeten Benutzernamen an Kapitel 12 Integration von CA SiteMinder 339 Fehlerbehebung Weitere Informationen ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels siehe Seite 371 Falscher Agentenname Symptom Falscher Agentenname L sung Wird ein falscher Agentenname angegeben wird in ra xml der Initialisierungsfehler Cannot connect to policy server Failed to init Agent API 1 wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 2010 12 13 attempting 10 10 10 10 10 10 10 10 10 10 10 10 10 to 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 747 40 08 903 40 08 934 40 08 981 40 09 028 40 09 028 40 10 543 get a new WARN WARN WARN WARN WARN WARN WARN WARN WARN WARN WARN WARN WARN ims ims ims ims ims ims ims ims ims ims ims ims org connection default IAM Framework 12 5 4 0 461 default HERR HEISE default BERRHRHHHHHHHHHHHHHHHRRBRBHHHHHI
66. True Erforderlich m False Optional Standardeinstellung Kapitel 4 Verwaltung relationaler Datenbanken 125 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei multi valued Gibt wie folgt an ob das Attribut mehrere Werte haben kann m True Ein Attribut kann mehrere Werte haben m False Ein Attribut kann nur einen Einzelwert haben Standardeinstellung Das Gruppenmitgliedschaftsattribut in einem Benutzerprofil kann beispielsweise mehrere Werte haben um die Gruppen zu speichern denen ein Benutzer angeh rt Um Attribute mit mehreren Werten in einer begrenzten Liste anstelle in einer mehrzeiligen Tabelle zu speichern m ssen Sie das Trennzeichen im Parameter delimiter definieren Stellen Sie sicher dass die Anzahl der m glichen Werte und die L nge jedes Wertes den die Spalte zul sst ausreichend sind Wichtig Vergewissern Sie sich dass das Gruppenmitgliedschaftsattribut in der Benutzerobjektdefinition mehrere Werte zul sst wellknown Gibt den Namen des bekannten Attributs an Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder Format ATTRIBUTENAME Hinweis Wenn ein benutzerdefinierter Vorgang einem Attribut zugeordnet wird m ssen Sie ein bekanntes Attribut siehe Seite 79 angeben maxlength Bestimmt die maximale Gr e der Spalte permission 126 Konfigurationshandbuch Gibt wie folgt an ob der Wert eines Attributs in einem Aufgabenfenster ge n
67. Weitere Informationen finden Sie im Handbuch zum Benutzerkonsolendesign Gebietsschemavoreinstellungen f r eine lokalisierte Umgebung Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie mithilfe des HTTP Headers Imlanguage Gebietsschemavoreinstellungen f r einen Benutzer definieren Sie legen diesen Header am SiteMinder Richtlinienserver innerhalb einer SiteMinder Antwort fest und geben ein Benutzerattribut als Wert des Headers an Dieser Imlanguage Header dient als Gebietsschemavoreinstellung h chster Priorit t f r einen Benutzer Hinweis Weitere Informationen finden Sie im Handbuch zum Benutzerkonsolendesign Weitere Informationen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas siehe Seite 351 So sch tzen Sie Ressourcen F r die erweiterte Authentifizierung ben tigen Sie einen SiteMinder Richtlinienserver in Ihrer Implementierung Der Anwendungsserver der den CA IdentityMinder Server hostet befindet sich in einer anderen Betriebsumgebung als der Webserver Um den Weiterleitungsdienst bereitzustellen ben tigt der Webserver Folgendes Ein vom Hersteller des Anwendungsservers bereitgestelltes Plug in Einen SiteMinder Agenten um die CA IdentityMinder Ressourcen zu sch tzen z B eine Benutzerkonsole oder Funktionen f r die Selbstregistrierung oder f r vergessene Kennw rter Kapitel 12 Integration von CA SiteMinder 293 bersicht ber di
68. Woche zur Startzeit generiert wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Nur Audit Bericht Monatlich Gibt an dass der Bericht ab dem ausgew hlten Startdatum jeden Monat und dann alle x Monate generiert wird x bezeichnet das Intervall zwischen aufeinanderfolgenden Berichten W hlen Sie die Start und Endzeit das Start und Enddatum und das Intervall zwischen aufeinanderfolgenden Berichten aus Nur Audit Bericht Bericht an einem bestimmten Tag im Monat ausf hren Gibt an dass der Bericht am angegebenen Tag des angegebenen Monats generiert wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Nur Audit Bericht Erster Montag Gibt an dass der Bericht an jedem ersten Montag im Monat erstellt wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Nur Audit Bericht Letzter Tag des Monats Gibt an dass der Bericht am letzten Tag des Monats generiert wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Nur Audit Bericht Tag X der Woche Y jeden Monats Gibt an dass der Bericht an einem bestimmten Tag und in einer bestimmten Woche eines jeden Monats generiert wird W hlen Sie zum Generieren des Berichts die Start und Endzeit sowie das Start und Enddatum aus Sie k nnen beispielsweise einen Bericht am Freitag in
69. Zeilenzahl Gibt die H chstanzahl von Ergebnissen an die CA IdentityMinder zur ckgeben kann wenn man nach Objekten dieses Typs sucht Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen im LDAP Verzeichnis berschreiben die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Der Benutzerspeicher den CA IdentityMinder verwaltet muss Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch Container Eigenschaften nur f r LDAP Verzeichnisse In einem LDAP Verzeichnis enth lt die Container Gruppe Objekte von einem bestimmten Typ Wenn ein Container angegeben wird verarbeitet CA IdentityMinder nur Eintr ge im Container Wenn Sie zum Beispiel den Container ou People angeben verarbeitet CA IdentityMinder nur Benutzer die im People Container vorhanden sind Hinweis Benutzer und Gruppen die im LDAP Verzeichnis aber nicht im definierten Container vorhanden sind k nnen in der Benutzerkonsole angezeigt werden Es kann jedoch
70. an ob CA IdentityMinder eine sichere Verbindung verwendet W hlen Sie diese Option f r Active Directory Benutzerspeicher aus Klicken Sie auf Weiter 6 berpr fen Sie die Einstellungen f r das CA IdentityMinder Verzeichnis Klicken Sie auf Fertig stellen um das CA IdentityMinder Verzeichnis mit den aktuellen Einstellungen zu erstellen oder auf Zur ck um es zu ndern Statusinformationen werden im Verzeichniskonfigurations Ausgabefenster angezeigt 7 Klicken Sie zum Beenden auf Fortfahren CA IdentityMinder erstellt das Verzeichnis Aktivieren von Bereitstellungsserver Zugriff Sie aktivieren den Zugriff auf den Bereitstellungsserver durch die Verwendung des Links Directories Verzeichnisse in der Management Konsole Hinweis Eine Voraussetzung f r diesen Vorgang ist das Bereitstellungsverzeichnis auf CA Directory zu installieren Weitere Informationen dazu finden Sie im Installationshandbuch Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http hostname port iam immanage Hostname Definiert den voll qualifizierten Hostnamen des Systems auf dem der CA IdentityMinder Server installiert ist port Definiert die Portnummer des Anwendungsservers 174 Konfigurationshandbuch Aktivieren von Bereitstellungsserver Zugriff Klicken Sie auf Directories Verzeichnisse Das CA IdentityMinder Verzeichnisfenster wird ge ffnet Klicken
71. angezeigt werden h ngen vom Typ der Datenbank oder des Verzeichnisses ab das dem CA IdentityMinder Verzeichnis zugeordnet ist Name Definiert den eindeutigen Namen des CA IdentityMinder Verzeichnisses Beschreibung Geben Sie eine Beschreibung des CA IdentityMinder Verzeichnisses ein Typ Definiert den Typ des Verzeichnisanbieters Connection Object Name Name des Verbindungsobjekts Zeigt den Namen des Benutzerverzeichnisses an das das CA IdentityMinder Verzeichnis beschreibt Wenn CA IdentityMinder in SiteMinder integriert ist stimmt der Verbindungsobjektname mit dem Namen der SiteMinder Benutzerverzeichnisverbindung berein Root Organization Stammorganisation f r Benutzerspeicher die Organisationen einschlie en Gibt den Eingangspunkt f r den Benutzerspeicher an F r LDAP Verzeichnisse wird die Sstammorganisation als DN angegeben F r relationale Datenbanken wird die eindeutige Kennung f r die Stammorganisation angezeigt JDBC Data Source JDBC Datenquelle Gibt den Namen der JDBC Datenquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbindung aufzunehmen URL Gibt die URL oder IP Adresse des Benutzerspeichers an Benutzername Gibt den Benutzernamen f r ein Konto an das auf den Benutzerspeicher zugreifen kann Search Maximum Rows Maximale Such Zeilen Zeigt die H chstanzahl von zur ckgegebenen Zeilen als Ergebnis einer Suche an 178 Konfigurationshandbuch CA IdentityMinder Verzei
72. das folgende Szenario eine Einschr nkung darstellen Die Admin Rollen stimmen mit dem Rollennamen berein role name Definiert den Namen der Rolle f r die Sie die Einschr nkung angeben Beispiel Admin Rollen User Manager Hinweis Admin Rollen ist der Standardanzeigename f r das Attribut ADMIN_ROLE_CONSTRAINT 148 Konfigurationshandbuch So konfigurieren Sie selbstabonnierende Gruppen Konfigurieren von bekannten Attributen F hren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen H Erforderliche Werte werden durch zwei Rautenzeichen gekennzeichnet Ersetzen Sie den Wert der mit beginnt durch den physischen Namen des gew nschten Attributs so wie es in der Datenbank enthalten ist Geben Sie den Attributnamen im folgenden Format an tablename columnname Wenn zum Beispiel das Kennwortattribut in der Spalte password der Tabelle tblUsers gespeichert ist geben Sie dies wie folgt an tblUsers password Wiederholen Sie die Schritte 1 und 2 bis Sie alle erforderlichen Werte ersetzt und die gew nschten optionalen Werte eingef gt haben Ordnen Sie optional die bekannten Attribute physischen Attributen zu sofern erforderlich Speichern Sie die Verzeichniskonfigurationsdatei So konfigurieren Sie selbstabonnierende Gruppen Um Self Service Benutzern den Beitritt zu Gruppe
73. den ISAPI Filter auf IIS bereit 6 ffnen Sie den Internetinformationsdienste Manager ber die Verwaltung 7 Blenden Sie die Ebenen ein bis die Standardwebsite sichtbar ist Klicken Sie mit der rechten Maustaste und w hlen Sie Neu Virtuelles Verzeichnis aus Kapitel 12 Integration von CA SiteMinder 325 Installieren des Web Proxyserver Plug ins 10 11 12 13 14 15 16 17 Geben Sie jakarta als Alias ein Verweisen Sie auf den Pfad wo Sie das ISAPI Plug in installiert haben Aktivieren Sie Lesen Skripts ausf hren wie ASP und Ausf hren wie ISAPI Anwendungen oder CGI Klicken Sie auf Weiter um fortzufahren und den Assistenten fertig zu stellen Klicken Sie mit der rechten Maustaste auf Standardwebsites und w hlen Sie Eigenschaften aus W hlen Sie die Registerkarte ISAPI Filter aus und klicken Sie auf Hinzuf gen Geben Sie jakarta f r den Filternamen ein und klicken Sie dann auf Durchsuchen um isapi_redirect dll auszuw hlen Klicken Sie anschlie end zweimal auf OK Aktivieren Sie f r IIS 6 0 diesen Filter unter den Webdiensterweiterungen W hlen Sie den Webdiensterweiterungs Ordner aus Klicken Sie auf den blauen Link links f r Neue Webdiensterweiterung hinzuf gen Geben Sie Jakarta Tomcat als Name an Klicken Sie auf Hinzuf gen und suchen Sie die gleiche dll wie oben Klicken Sie auf OK Aktivieren Sie Erweiterungsstatus auf Zugelassen set
74. des CA IdentityMinder Benutzerverzeichnisses stimmen m Die neue CA IdentityMinder Dom ne ist vorhanden m Die richtigen Authentifizierungsschemen sch tzen die CA IdentityMinder Bereiche Pr fen Sie nach der Anmeldung an der Management Konsole au erdem dass die CA IdentityMinder Umgebung angezeigt wird wenn Sie die Umgebungen ausw hlen Migrieren der Datei iam_im ear f r JBoss Sie m ssen die Datei iam_im ear jedes Mal erneut bereitstellen wenn Funktionen von der Entwicklungsumgebung auf die Produktionsumgebung migriert werden Durch die Migration der gesamten EAR Datei stellen Sie sicher dass die Entwicklungsumgebung mit der Produktionsumgebung identisch ist 270 Konfigurationshandbuch Migrieren der Datei iam_im ear f r WebLogic Gehen Sie wie folgt vor 1 Kopieren Sie die Datei iam_im ear von Ihrer Entwicklungsumgebung in ein Verzeichnis auf das Ihre Produktionsumgebung Zugriff hat Bearbeiten Sie in der Kopie der Datei iam_im ear die Verbindungsinformationen f r den Richtlinienserver sodass diese die Produktionsumgebung widerspiegeln Um diese nderung durchzuf hren kopieren Sie die Datei iboss_home server default iam_im ear policyserver_rar META INF ra xml aus der Produktionsumgebung in die Datei iam_im ear Ersetzen Sie wie folgt die installierte Datei iam_im ear durch die Kopie der Datei jam_im ear aus der Entwicklungsumgebung a L schen Sie auf dem Produktionsserver die Datei iam_im
75. des Verbindungsobjekts NeteAuto Users NeteAuto Benutzer Host Bestimmt den Namen oder die IP Adresse des Systems auf dem der Benutzerspeicher installiert ist Port Port Nummer f r den Benutzerspeicher Suchstamm dc security de com 6 7 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Benutzername Benutzername f r ein Konto das auf den Benutzerspeicher zugreifen kann Kennwort und Kennwortbest tigung Kennwort f r das Benutzerkonto m Microsoft SQL Server und Oracle Datenbanken Name NeteAutoRDB Directory Beschreibung Sample NeteAuto directory NeteAuto Beispielverzeichnis Connection Object Name Name des Verbindungsobjekts NeteAutoRDB JDBC Data Source JDBC Datenquelle neteautoDS Benutzername Neteautoadmin Kennwort Test Klicken Sie auf Weiter Klicken Sie auf Fertigstellen um den Assistenten zu beenden Erstellen der NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um die NeteAuto CA IdentityMinder Umgebung zu erstellen Gehen Sie wie folgt vor 1 2 Klicken Sie in der Managementkonsole auf Umgebungen Klicken Sie im CA IdentityMinder Umgebungs Fenster auf Neu Der CA IdentityMinder Umgebungs Assistent wird angezeigt Geben Sie auf der ersten Seite des Assistenten die folgenden Werte ein Umgebungs Name NeteAuto Umgebung Beschreibung Beispiel Umgebung Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 27 So wird das NeteAuto Beispiel
76. die Integration von SiteMinder und CA IdentityMinder siehe Seite 294 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder siehe Seite 299 Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher siehe Seite 306 Erstellen eines SiteMinder 4 X Agentenobjekts siehe Seite 306 Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen siehe Seite 308 L schen aller Verzeichnis und Umgebungsdefinitionen siehe Seite 309 Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters siehe Seite 310 Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter siehe Seite 311 Neustarten des Anwendungsservers siehe Seite 312 Konfigurieren einer Datenquelle f r SiteMinder siehe Seite 312 Importieren der Verzeichnisdefinitionen siehe Seite 313 Aktualisieren und Importieren von Umgebungsdefinitionen siehe Seite 314 Installieren des Web Proxyserver Plug ins siehe Seite 314 Ordnen Sie den SiteMinder Agenten einer CA IdentityMinder Dom ne zu siehe Seite 335 Konfigurieren des SiteMinder Parameters LogOffUrl siehe Seite 336 Fehlerbehebung siehe Seite 336 So konfigurieren Sie CA IdentityMinder Agent Einstellungen siehe Seite 346 Konfigurieren der SiteMinder Hochverf gbarkeit siehe Seite 347 Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung siehe Seite 350 SiteMinder Vorg nge siehe Seite 350
77. die mithilfe des Bereitstellungsmanagers vorgenommen wurden und nderungen in Endpunkten f r die der Bereitstellungsserver einen Connector hat Jeder Bereitstellungsserver unterst tzt eine einzelne Umgebung Sie k nnen jedoch Sicherungsumgebungen auf unterschiedlichen Systemen in einem Cluster konfigurieren falls die aktuelle Umgebung nicht verf gbar ist Kapitel 6 CA IdentityMinder Umgebungen 201 Konfigurieren einer Umgebung f r die Bereitstellung Gehen Sie wie folgt vor 1 2 3 10 11 W hlen Sie Start CA Identity Manager Bereitstellungsmanager Klicken Sie auf System CA IdentityMinder Setup Geben Sie im Feld Hostname den Namen des Systems an auf dem der CA IdentityMinder Server installiert ist Geben Sie im Feld Port die Portnummer des Anwendungsservers ein Geben Sie im Feld Environment name Umgebungsname den Alias f r die Umgebung ein W hlen Sie Gesicherte Verbindung aus wenn Sie das HTTPS Protokoll f r die Kommunikation mit dem CA IdentityMinder Server verwenden m chten statt das HTTP Protokoll zu verwenden und die einzelnen Benachrichtigungen zu verschl sseln Klicken Sie auf Hinzuf gen Wiederholen Sie die Schritte 3 6 f r jede Sicherungsversion der Umgebung Wenn der Anwendungsserver f r die aktuelle Umgebung nicht verf gbar ist wird CA IdentityMinder in einer Sicherungsumgebung ausgef hrt Sie k nnen die aktuelle Umgebung und die Sicherungsumgebungen neu ano
78. ear cluster_node_jboss_home server default deploy iam_im ear b Ersetzen Sie die gel schte Datei durch die bearbeitete Kopie der Datei jam_im ear aus der Entwicklungsumgebung Wiederholen Sie diese Schritte f r jeden Knoten im Cluster Migrieren der Datei iam_im ear f r WebLogic Sie m ssen die Datei iam_im ear jedes Mal erneut bereitstellen wenn Funktionen von der Entwicklungsumgebung auf die Produktionsumgebung migriert werden Durch die Migration der gesamten EAR Datei stellen Sie sicher dass die Entwicklungsumgebung mit der Produktionsumgebung identisch ist Gehen Sie wie folgt vor 1 Behalten Sie die Verbindungsinformationen f r den Richtlinienserver bei Die Verbindungsinformationen f r den Richtlinienserver werden in der Datei ra xml im Verzeichnis policyserver_rar WEB INF gespeichert Kopieren Sie diese Datei in ein anderes Verzeichnis sodass diese in der Datei iam_im ear vor der erneuten Bereitstellung ersetzt werden kann Kopieren Sie die Datei iam_im ear in ein Verzeichnis auf das der Weblogic Admin Server zugreifen kann Kapitel 9 Produktionsumgebungen 271 Migrieren der Datei iam_im ear f r WebSphere Ersetzen Sie die Verbindungsinformationen f r den Richtlinienserver Ersetzen Sie in der Datei iam_im ear die Datei policyserver_rar WEB INF ra xml durch die im Schritt 1 gespeicherte Datei Stellen Sie die Datei iam_im ear erneut bereit a Melden Sie sich an der Weblogic Konso
79. erstellt hat Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter 9 Geben Sie das verschl sselte Kennwort an Verwenden Sie das Kennwort Tool um das Kennwort im Bedarfsfall zu verschl sseln 10 Speichern Sie die nderungen an der ra xml Datei Der SiteMinder Richtlinienserver Ressourcenadapter wird aktiviert Weitere Informationen ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels siehe Seite 371 Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter Mit dem SiteMinder Adapter an Ort und Stelle wird der Framework Authentifizierungsfilter nicht mehr ben tigt Der Identit tsadministrator kann den Filter deaktivieren Gehen Sie wie folgt vor 1 Suchen und bearbeiten Sie die Datei web xml im Ordner user_console war WEB INF unter iam_im ear 2 Suchen Sie FrameworkAuthfFilter und ndern Sie den Wert von Enable init param zu false Wenn Sie CA IdentityMinder r12 5 SP 7 oder h her verwenden berpr fen Sie dass die Java Cryptographic Extension Unlimited Strength Jurisdiction Policy Files JCE in das Verzeichnis lt Java_path gt lt jdk_version gt jre lib security in der CA IdentityMinder Umgebung heruntergeladen wurden Diese Dateien erm glichen CA IdentityMinder mit SiteMinder Verbindung aufzunehmen Wenn die JCE Bibliotheken installiert werden sehen Sie w hrend des CA IdentityMinder Anwendungsstarts die folgend
80. folgenden Abbildung erkennen Unternehmen Stamm tto ai we am aai u Hierarchische Organisations struktur Benutzerprofile in Organisationen der Verzeichnisstruktur Gruppen in Organisationen der gesamten Verzeichnis struktur 48 Konfigurationshandbuch Verzeichnisstruktur Flach Benutzer und Gruppen werden im Suchstamm oder in einem Container eine Ebene unterhalb des Suchstamms gespeichert Organisationen besitzen eine hierarchische Struktur wie in der folgenden Abbildung einer flachen Verzeichnisstruktur angezeigt wird Unternehmen Hierarchische Stamm Organisa tionsstruktur Interner Verkaufsun Verkauf terst tzung Benutzerprofile im Stamm oder Container eine Ebene darunter Gruppen im Stamm eine Ebene darunter Um die Benutzerverwaltung und Delegation in flachen Verzeichnisstrukturen zu erleichtern geh ren Benutzer und Gruppen zu logischen Organisationen Die logische Organisation wird als ein Attribut in Benutzer und Gruppenprofilen gespeichert Flache Benutzer Organisationen und Gruppen werden hierarchisch gespeichert Benutzer werden jedoch im Suchstamm oder in einem Container eine Ebene unterhalb des Suchstamms gespeichert Die Darstellung der Verzeichnisstruktur eines flachen Benutzers wird im folgenden Diagramm angezeigt Unternehmen Stamm Hierarchische Organisations struktur Benutzerprofile im Stamm oder Container eine Ebene dar
81. folgt den Wert des Namensattributs von imobjectstoredb in imuserstoredb lt application policy name imuserstoredb gt b Geben Sie wie folgt den Namen des Benutzers f r die Authentifizierung am Benutzerspeicher an lt module option name userName gt user_store_user lt module option gt c Geben Sie wie folgt das Kennwort f r den im vorherigen Schritt angegebenen Benutzer an So erstellen Sie eine JDBC Datenquelle lt module option name password gt user store user password lt module option gt Hinweis Um das Kennwort f r den Benutzerspeicher zu verschl sseln verwenden Sie das Kennworttool pwdtools das zusammen mit CA IdentityMinder installiert wurde d Geben Sie wie folgt im Element lt module option name managedConnectionFactoryName gt den korrekten jdbc jca name an lt module option name managedConnectionFactoryName gt jboss jca name userstore service NoTxCM lt module option gt 6 Speichern Sie die Datei 7 Starten Sie den Anwendungsserver neu Erstellen einer JDBC Datenquelle f r WebLogic Sie erstellen die Datenquelle in der WebLogic Verwaltungskonsole Hinweis Ausf hrliche Informationen ber Weblogic Verbindungspools finden Sie in der Dokumentation zu Oracle Weblogic 11 Gehen Sie wie folgt vor 1 Erstellen Sie in der WebLogic Verwaltungskonsole eine JDBC Datenquelle mit den folgenden Parametern Name User Store Data Source JNDI Name userstore 2 Erstellen Sie den V
82. gen Identity Manager Schema source etrust_ims8 dxc Bearbeiten Sie die Datei dxserver_home bin schema txt indem Sie den Inhalt der Datei etrust_ims_schema txt am Ende der Datei einf gen Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas eTrustDirectory Erstellen Sie wie folgt eine benutzerdefinierte Beschr nkungskonfigurationsdatei a Kopieren Sie die Datei dxserver_home config limits default dxc nach dxserver_home config limits company_name limits dxc b Erh hen Sie die Standardgr enbeschr nkung in der Datei dxserver_home config limits company_name limits dxc wie folgt auf 5 000 set max op size 5000 Hinweis Beim Upgrade von CA Directory wird die Datei limits dxc berschrieben Stellen Sie daher sicher dass Sie nach Abschluss des Upgrades den Wert von max op size auf 5 000 zur cksetzen Bearbeiten Sie die Datei dxserver_home config servers dsa_name dxi wie folgt schema source company _name schema dxg service limits source company _name limits dxc Dabei steht dsa_name f r den Namen des DSA bei Verwendung der angepassten Konfigurationsdateien F hren Sie das Dienstprogramm dxsyntax aus Halten Sie wie folgt den DSA an und starten Sie ihn als DSA Benutzer neu damit die Schema nderungen wirksam werden dxserver stop dsa_name dxserver start dsa_name Kapitel 12 Int
83. haben w hlen Sie die Anzeige Zusammenfassung und das bereitstellte Verzeichnis um Ihre Verzeichnisinformationen anzuzeigen und das Verzeichnis bereitzustellen Weitere Informationen Verwalten vertraulicher Attribute siehe Seite 71 170 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Best tigungs Fenster Dieses Fenster zeigt eine Zusammenfassung der Verzeichnis Details an Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Verbindungs Details Gibt die Verbindungsdetails f r das Benutzerverzeichnis an Details zu Benutzer Gruppe Organisation Gibt die nderungen an die am directory xml vorgenommen werden Schaltfl che Zur ck Klicken Sie hier um Details im Assistenten zu ndern Schaltfl che Speichern Klicken Sie hier um Ihre Auswahl zu speichern Schaltfl che Fertig stellen Wenn alle Verzeichnisdetails richtig sind klicken Sie hier um den Assistenten zu verlassen Die Konfiguration wird validiert und das Verzeichnis wird erstellt Sie gelangen dann zur ck zur Auflistungsseite der Verzeichnisse wo das neue Verzeichnis aufgelistet wird Um das neue Verzeichnis zu bearbeiten oder zu exportieren w hlen Sie es aus der Verzeichnisliste aus Kapitel 5 CA IdentityMinder Verzeichnisse 171 Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei S
84. in denen Informationen zu einem Eintrag gespeichert sind siehe Seite 123 Zum Beispiel ist im Attribut pager eine Pagernummer gespeichert Wichtig Eine CA IdentityMinder Umgebung unterst tzt nur jeweils einen Typ von Benutzer Gruppen und Organisationsobjekt So beschreiben Sie ein verwaltetes Objekt Ein verwaltetes Objekt wird beschrieben indem Sie Objektinformation in den Abschnitten f r Benutzerobjekt Gruppenobjekt und Organisationsobjekt wenn die Datenbank Organisationen einschlie t der Verzeichniskonfigurationsdatei angeben Jeder dieser Abschnitte enth lt ein ImsManagedObject Element wie zum Beispiel der folgende Code lt ImsManagedObject name User description My Users gt Das ImsManagedObject Element kann die folgenden Elemente enthalten m Table erforderlich m Uniqueldentifier erforderlich m ImsManagedObjectAttr erforderlich m RootOrg nur f r Organisationsobjekte 118 Konfigurationshandbuch Datenbanktabellen So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Verwenden Sie das Element Table in der Verzeichniskonfigurationsdatei um die Tabellen zu definieren in denen Informationen zu einem verwalteten Objekt gespeichert sind Jedes verwaltete Objekt muss eine prim re Tabelle aufweisen die die eindeutige Kennung f r das Objekt enth lt Zusatzinformationen k nnen in sekund ren Tabellen gespeichert werden Die folgende Abbildung zeigt einer Datenbank bei
85. in der Verzeichniskonfigurationsdatei konfigurieren Dynamische Gruppen Erm glicht Ihnen die Definition von Gruppenmitgliedschaften indem Sie in der Benutzerkonsole eine LDAP Filterabfrage dynamisch angeben Bei Verwendung von dynamischen Gruppen m ssen Administratoren nicht einzeln nach Gruppenmitgliedern suchen und diese hinzuf gen Verschachtelte Gruppen Erm glicht es Ihnen Gruppen als Mitglieder anderer Gruppen hinzuzuf gen Sie k nnen dynamische und verschachtelte Gruppen mithilfe der Verzeichniskonfigurationsdatei aktivieren Kapitel 3 Verwaltung des LDAP Benutzerspeichers 89 So konfigurieren Sie Gruppen Gehen Sie wie folgt vor 1 Ordnen Sie nach Bedarf die folgenden bekannten Attribute siehe Seite 83 physischen Attributen f r das verwaltete Objekt Gruppe zu m DYNAMIC_GROUP_MEMBERSHIP m NESTED_GROUP_MEMBERSHIP Hinweis Das ausgew hlte physische Attribut muss mehrere Werte unterst tzen 2 F gen Sie im Abschnitt f r das Verzeichnisgruppenverhalten das folgende GroupTypes Element hinzu lt GroupTypes type group gt 3 Geben Sie einen Wert f r den folgenden Parameter ein group Aktiviert die Unterst tzung f r dynamische und verschachtelte Gruppen Die folgenden Werte sind g ltig m NONE CA IdentityMinder unterst tzt keine dynamischen und verschachtelten Gruppen m ALL CA IdentityMinder unterst tzt dynamische und verschachtelte Gruppen m DYNAMIC CA IdentityMinder unterst tzt nu
86. ist und dass es in der Verzeichniskonfigurationsdatei definiert ist wie in So ndern Sie Attributbeschreibungen siehe Seite 123 beschrieben Geben Sie in der Attributbeschreibung die Berechtigung nur lesen oder einmal schreiben an um zu verhindern dass die eindeutige Kennung w hrend einer Sitzung ge ndert wird m Verwenden Sie die folgende Syntax um ein physisches Attribut anzugeben tablename columnname tablename Definiert den Namen der Tabelle in der sich das Attribut befindet Die angegebene Tabelle muss die prim re Tabelle sein columnname Definiert den Namen der Spalte in der das Attribut gespeichert ist m Wenn die Datenbank die eindeutige Kennung generiert geben Sie einen benutzerdefinierten Vorgang f r das Attribut siehe Seite 134 an Zum Beispiel k nnen Sie einen Vorgang angeben durch den die zuletzt generierte Kennung aus der Datenbank abgerufen wird 122 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei So ndern Sie Attributbeschreibungen In einem Attribut werden Informationen zu einer Benutzer Gruppen oder Organisationsentit t gespeichert wie eine Telefonnummer oder Adresse Die Attribute einer Entit t bestimmen deren Profil In der Verzeichniskonfigurationsdatei werden Attribute in ImsManagedObjectAttr Elementen beschrieben In den Abschnitten f r Benutzer Gruppen und Organisationsobjekte der Verzeichniskonfigurationsdatei ndern Sie di
87. m gliche Fehlermeldungen und der Fehlerbehebungsprozess beschrieben Beschreibung Fehlerbehebung Das CA IdentityMinder Verzeichnis 1 Stellen Sie sicher dass der Benutzerspeicher das der Umgebung zugeordnet ist ausgef hrt wird wurde beim Starten von CA Wenn CA IdentityMinder mit SiteMinder IdentityMinder nicht geladen integriert ist berpr fen Sie ob SiteMinder eine Verbindung mit dem Benutzerspeicher herstellen CA IdentityMinder kann keine kann Verbindung mit dem CA In der Richtlinienserver Benutzeroberfl che IdentityMinder Verzeichnis k nnen Sie die Verbindung berpr fen indem Sie herstellen die Eigenschaftsseite f r die Verbindung mit dem SiteMinder Benutzerverzeichnis ffnen die dem Benutzerspeicher zugeordnet ist und auf die Schaltfl che Inhalt anzeigen klicken Wenn der Inhalt des Benutzerspeichers angezeigt wird kann SiteMinder die Verbindung erfolgreich herstellen Weitere Informationen zum Richtlinienserver finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch 2 Starten Sie CA IdentityMinder und den Richtlinienserver neu Kapitel 6 CA IdentityMinder Umgebungen 233 Aufrufen des Status einer CA IdentityMinder Umgebung Meldung Beschreibung SM connection is not CA IdentityMinder kann keine OK SM Verbindung ist Verbindung mit dem nicht OK SiteMinder Richtlinienserver f r Implementierungen einschlie lich SiteMinder herstellen IMS is not available now
88. m ims_db_type_rdb sql Konfiguriert den Support f r Organisationen db_type Definiert Microsoft SQL oder Oracle je nach Typ der Datenbank die Sie konfigurieren Diese Skriptdateien befinden sich im Ordner admin_tools samples NeteAutoRDB Organization In diesem Beispiel bezieht sich admin_tools auf die Administrations Tools die in den folgenden Standardspeicherorten installiert sind m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools Definieren Sie eine JDBC Datenquelle mit der Bezeichnung neteautoDS die auf die NeteAuto Datenbank verweist Der Verfahren zum Konfigurieren einer Datenquelle h ngt vom Typ des Anwendungsservers ab auf dem CA IdentityMinder installiert ist Der Abschnitt So_ wird eine JDBC Datenquelle erstellt siehe Seite 107 umfasst anwendungsserverspezifische Anweisungen zum Erstellen einer JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis zu erstellen Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http im_server port iam immanage im_server Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers Klicken Sie auf Directories Verzeichnisse
89. nicht dass einige Suchergebnisse fehlen Um dieses Problem zu vermeiden stellen Sie sicher dass der Wert des Attributs maxpagesize f r das Verzeichnis und jedes verwaltete Objekt kleiner ist als der Wert f r MaxPageSize in Active Directory Nehmen Sie an Sie erstellen ein CA IdentityMinder Verzeichnis mithilfe der Vorlagendatei directory xml die zusammen mit CA IdentityMinder 12 5 SP7 oder h her installiert wird In diesem Fall m ssen Sie keine zus tzlichen Schritte f r die Paging Unterst tzung ausf hren Das Attribut maxpagesize in directory xml wird standardm ig festgelegt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 101 So verbessern Sie die Leistung von Verzeichnissuchen Wenn Sie jedoch einem vorhandenen CA IdentityMinder Verzeichnis Paging Unterst tzung hinzuf gen muss das Attribut maxpagesize in directory xml kleiner sein als 1000 Wenn das Active Directory Attribut MaxPageSize den Wert 1000 hat m ssen Sie darauf achten dass Sie das Attribut maxpagesize f r das CA IdentityMinder Verzeichnis und alle verwalteten Objekte entsprechend festlegen 102 Konfigurationshandbuch Kapitel 4 Verwaltung relationaler Datenbanken Dieses Kapitel enth lt folgende Themen CA IdentityMinder Verzeichnisse siehe Seite 103 Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken siehe Seite 105 Erstellen einer Oracle Datenquelle f r WebSphere siehe Se
90. nnen verschiedene Eigent merregeln f r eine Rolle definieren Gehen Sie wie folgt vor 1 2 W hlen Sie die Registerkarte Eigent mer f r die Zugriffsrolle aus Definieren Sie Eigent merregeln die bestimmen welche Benutzer die Rolle ndern k nnen Hinweis Definieren Sie Eigent merregeln die nur Verzeichnisattribute verwenden zum Beispiel title Manager Wenn Sie Eigent merregeln definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen Klicken Sie auf Senden Eine Meldung wird eingeblendet um anzuzeigen dass die Aufgabe gesendet worden ist Es kann eine vor bergehende Verz gerung auftreten bevor ein Benutzer die Rolle verwenden kann Aktivieren von Zugriffsrollen in SiteMinder Ein SiteMinder Administrator bindet Rollen an Sicherheitsrichtlinien die definieren wie Benutzer mit Ressourcen interagieren Richtlinien k nnen die folgenden Objekte verkn pfen Benutzer und Benutzergruppen Identifizieren ein Set von Benutzern die von einer Richtlinie betroffen sind Rollen Identifizieren Benutzer denen ein Set von Berechtigungen in Identity Manager zugewiesen worden ist Regeln Identifizieren eine Ressource und die Aktionen die f r die Ressource erlaubt oder unzul ssig sind Die Ressource ist normalerweise eine URL eine Anwendung oder ein Skript Antworten Bestimmen eine Reaktion auf eine Regel
91. salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 gt lt DataClassification name vst_hide gt Verschl sselung auf Attributebene Sie k nnen ein Attribut im Benutzerspeicher verschl sseln indem Sie eine AttributeLevelEncypt Datenklassifizierung f r dieses Attribut in der Verzeichniskonfigurationsdatei directory xml angeben Wenn die Verschl sselung auf Attributebene aktiviert ist verschl sselt CA IdentityMinder den Wert dieses Attributs bevor es im Benutzerspeicher gespeichert wird Das Attribut wird in der Benutzerkonsole als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 Wenn die FIPS 140 2 Unterst tzung aktiviert ist wird das Attribut mithilfe der RC2 Verschl sselung oder FIPS 140 2 Verschl sselung verschl sselt Kapitel 4 Verwaltung relationaler Datenbanken 131 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beachten Sie Folgendes bevor Sie die Verschl sselung auf Attributebene implementieren m CA ldentityMinder kann bei einer Suche keine verschl sselten Attribute finden Nehmen Sie an dass ein verschl sseltes Attribut einer Mitglieds
92. sein wie in So ndern Sie Attributbeschreibungen siehe Seite 123 beschrieben 136 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beispiel Benutzerdefinierte Vorg nge f r das Attribut Business Number Im folgenden Beispiel wird das Attribut Business Number durch den Aufruf einer gespeicherten Prozedur generiert es ist kein physisches Attribut in der Datenbank lt ImsManagedObjectAttr wellknown BUSINESS NUMBER displayname Business Number description Business Number valuetype String required false multivalued false maxlength 0 gt lt Operation name Get value call sp getbusinessnumber gt lt Parameter name USER_ID gt lt Operation gt lt Operation name Set value call sp setbusinessnumber gt lt Parameter name USER_ID gt lt Parameter name BUSINESS_NUMBER gt lt Operation gt lt Operation name Delete value call sp _deletebusinessnumber gt lt Parameter name USER_ID gt lt Operation gt Beachten Sie Folgendes m sp_getbusinessnumber sp_setbusinessnumber und sp_deletebusinessnumber sind benutzerdefinierte gespeicherte Prozeduren m Der Wert der vom Get Vorgang zur ckgegeben wird wird dem Attribut BUSINESS_NUMBER zugeordnet m Das Fragezeichen kennzeichnet Substitutionen die zur Laufzeit vor Ausf hrung der Abfrage vorgenommen werden Zum Beispiel wird im Get Vorgang das bekannte A
93. sich anzumelden und Kennw rter als Klartext eingeben m Wenn Sie die Verschl sselung auf Attributebene f r einen Benutzerspeicher aktivieren der von anderen Anwendungen als CA IdentityMinder verwendet wird k nnen die anderen Anwendungen das verschl sselte Attribut nicht verwenden Hinzuf gen von Verschl sselung auf Attributebene Nehmen Sie an dass Sie eine Verschl sselung auf Attributebene f r ein CA IdentityMinder Verzeichnis hinzugef gt haben CA IdentityMinder verschl sselt automatisch vorhandene Klartext Attributwerte wenn Sie das Objekt speichern das dem Attribut zugeordnet ist Wenn Sie zum Beispiel das Kennwortattribut verschl sseln wird beim Speichern des Benutzerprofils das Kennwort verschl sselt Hinweis Um den Attributwert zu verschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um das Kennwortattribut im vorherigen Beispiel zu verschl sseln vergewissern Sie sich dass das Kennwortfeld der Aufgabe hinzugef gt wird die Sie zum Speichern des Objekts verwenden zum Beispiel die Aufgabe Benutzer ndern Alle neuen Objekte werden mit verschl sselten Werten im Benutzerspeicher erstellt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 75 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Gehen Sie wie folgt vor 1 F hren Sie eine der folgenden Aufgaben aus m Erstellen Sie ein CA IdentityMinder Verzeichnis m Aktual
94. sich in ein g ltiges Datum nach dem Muster JJJJJJJTTT aufl sen lassen Dabei gilt JJJJJJJ ist eine siebenstellige Darstellung f r ein Jahr bei dem am Anfang vor der eigentlichen Jahreszahl drei Nullen stehen Beispiel 0002008 TTT ist eine dreistellige Darstellung f r einen Tag bei dem am Anfang je nach Bedarf Nullen gesetzt werden Die g ltigen Werte umfassen hierbei den Bereich von 001 bis 366 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 67 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Strukturiert Dieser Typ von Attribut besteht aus strukturierten Daten die es einem einzelnen Attributwert erm glichen mehrere verkn pfte Werte zu speichern Zum Beispiel enth lt ein strukturiertes Attribut etwa Werte zu Vornamen Nachnamen oder E Mail Adressen Bestimmte Endpunkttypen verwenden diese Attribute werden aber durch CA IdentityMinder verwaltet Hinweis CA IdentityMinder kann strukturierte Attribute in einer Tabelle in der Benutzerkonsole anzeigen Wenn Benutzer Werte in der Tabelle bearbeiten werden die Werte im Benutzerspeicher gespeichert und zur ck zum Endpunkt bertragen Weitere Informationen zum Anzeigen von Attributen mit mehreren Werten finden Sie im Administrationshandbuch required Zeigt folgenderma en an ob das Attribut erforderlich ist m True Das Attribut ist erforderlich m False Das Attribut ist optional Standard Hinweis Wenn ein Attribut f r einen LD
95. tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 31 23 981 WARN ims tmt CreateDatabase chema Schema for Report Snapshot is up to date 2010 12 13 1 1 23 9681 VARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 31 25 262 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server Unknown administrator at com netegrity ra policyserver impl P5ManagedConnectionFactory createManagedConnection P5ManagedConnectionfactory java 299 at org jboss resource connectionmanager InternalManagedConnectionPool createConnectionEventListener InternalManagedConnectionPool Jjava 619 at org jboss resource connectionmanager InternalManagedConnectionPool getConnection InternalManagedConnectionPool Jjava 264 at org jboss resource connectionmanager JBossNanagedConnectionPool BasePool getConnection JBossManagedConnectionPool java 575 at org jboss resource connectionmanager BaseConnectionManager2 getManagedConnection BaseConnectionManager2 java 347 at org jboss resource connectionmanager T lt ConnectionManager getManagedConnection TxConnectionManager java 330 at org jboss resource connectionmanager BaseConnectionManager2 allocateConnection BaseConnectionManager2 java 402 at org jboss resource connectionmanager BaseConnecti
96. type gt lt config property value gt true lt config property value gt lt config property gt Kapitel 12 Integration von CA SiteMinder 349 Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung Entfernen von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung Dieser Abschnitt enth lt detaillierte Anweisungen f r das Entfernen von CA SiteMinder aus einer vorhandenen CA IdentityMinder Umgebung Gehen Sie wie folgt vor Wichtig Kennwortverlaufsinformationen sind nach der Migration nicht mehr abrufbar 1 Halten Sie den Anwendungsserver an 2 Deaktivieren Sie den Richtlinienserver in der Datei ra xml die sich in iam_im ear policyserver rar META INF befindet indem Sie den Wert f r config property Enabled auf false festlegen 3 Bearbeiten Sie die Datei web xml unter iam_im ear User_console war WEB INF und legen Sie die Eigenschaft FrameworkAuthfFilter auf Enabled true fest Hinweis F r WebSphere befindet sich die Datei web xml unter WebSphere_home AppServer profiles Profile_name config cells Cell_ name applic ations iam_im ear deployments lIdentityMinder user_console war WEB INF 4 Starten Sie den Anwendungsserver 5 Nur WebSphere Aktualisieren Sie das policyServer Objekt in der Verwaltungskonsole mit den gleichen Werten wie in der Datei ra xml SiteMinder Vorg nge In den folgenden Abschnitte wird erl utert wie Sie SiteMinder Funktionen ei
97. und l schen f r alle Tabellen besitzen die ber by sql Skript erstellt werden Au erdem muss neteautoadmin in der Lage sein gegebenenfalls alle gespeicherten Prozeduren auszuf hren die in diesen Skripten definiert sind Wenn Sie Benutzereigenschaften bearbeiten machen Sie NeteAuto zur Standarddatenbank f r neteautoadmin F hren Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus m db_type rdbuserdirectory sql Konfiguriert die Tabellen f r das NeteAuto Beispiel und erstellt die Benutzereingaben m ims_db_type_rdb sql Konfiguriert den Support f r Organisationen db_type Definiert Microsoft SQL oder Oracle je nach Typ der Datenbank die Sie konfigurieren Diese Skriptdateien befinden sich im Ordner admin_tools samples NeteAutoRDB Organization In diesem Beispiel bezieht sich admin_tools auf die Administrations Tools die in den folgenden Standardspeicherorten installiert sind m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA ldentityManager lAM_Suite ldentity_Manager tools Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 33 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert 5 Definieren Sie eine JDBC Datenquelle mit der Bezeichnung neteautoDS die auf die NeteAuto Datenbank verweist Der Verfahren zum Konfigurieren einer Datenquelle h ngt vom Typ des Anwendungsservers ab auf dem CA IdentityMinder installiert ist Der Abschnitt
98. wenn CA IdentityMinder in SiteMinder integriert ist Die Bereiche verwenden die folgende Namenskonvention m Identity Manager Umgebung_ims_realm Sch tzt die Benutzerkonsole m Identity Manager Umgebung_pub_realm Erm glicht die Unterst tzung von ffentlichen Aufgaben wie Selbstregistrierung und vergessene Kennw rter Dieser Bereich wird nur angezeigt wenn Sie ein ffentliches Alias konfiguriert haben Hinweis Wenn Sie die Richtlinienserver Benutzeroberfl che verwenden um den Bereich zu ndern suchen Sie zuerst die Richtliniendom ne Identity Manager UmgebungDomain f r die CA IdentityMinder Umgebung Diese Bereiche befinden sich unter der Dom ne 2 ndern Sie die Ressource f r den Bereich folgenderma en Jiam im new_alias Entfernen Sie nicht iam im das dem Alias im Ressourcenfilter vorangeht 3 Speichern Sie die nderungen Hinweis Im Abschnitt ber das ndern der CA IdentityMinder Eigenschaften finden Sie Anweisungen wie Sie ein Alias in der Management Konsole ndern ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels Wenn Sie die CA IdentityMinder Erweiterungen des Richtlinienservers installieren liefern Sie das Kennwort f r das SiteMinder Administratorkonto das CA IdentityMinder verwendet um mit dem Richtlinienserver zu kommunizieren Sie k nnen das Kennwort ndern allerdings muss das Kennwort verschl sselt werden Um ein Kennwort zu verschl sseln verwenden Sie das
99. zu reduzieren Hinweis Verwenden Sie den Assistenten f r Verzeichniskonfiguration nur um neue Verzeichnisse f r die LDAP Benutzerspeicher zu erstellen Um ein Verzeichnis f r eine relationale Datenbank zu erstellen oder ein vorhandenes Verzeichnis zu aktualisieren importieren Sie direkt eine directory xmi Datei m Verwenden einer XML Konfigurationsdatei Erlaubt Administratoren eine vollst ndig konfigurierte XML Datei auszuw hlen um den Benutzerspeicher oder Bereitstellungsserver zu erstellen oder zu ndern W hlen Sie diese Methode aus wenn Sie ein Verzeichnis f r eine relationale Datenbank erstellen oder wenn Sie ein vorhandenes Verzeichnis aktualisieren Weitere Informationen Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei siehe Seite 172 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten siehe Seite 158 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Der Verzeichniskonfigurations Assistent leitet Administratoren durch den Prozess zum Erstellen eines Verzeichnisses f r ihren Benutzerspeicher und reduziert Konfigurationsfehler Bevor Sie den Assistenten starten m ssen Sie zun chst die Konfigurationsvorlage f r das CA IdentityMinder LDAP Verzeichnis hochladen Diese Vorlagen sind mit bekannten und erforderlichen Attributen vorkonfiguriert Nach dem Eingeben von Verbindungsdetails f r Ihren LDAP Benutzerspeicher oder das Bereitstellu
100. zwischen CA IdentityMinder und den folgenden Komponenten ab m CA ldentityMinder Server m Bereitstellungsserver m Bereitstellungsmanager und Clients m C Connector Server m C Connector Server Endpunkte falls vom Endpunkt unterst tzt m CA IAM Connector Server CA IAM CS m CAIAM CS Endpunkte falls vom Endpunkt unterst tzt m Connector Xpress falls vom Endpunkt unterst tzt m Vindows Kennwortsynchronisierungs Agenten m Java Identit ts und Zugriffsmanagement JIAM Mithilfe des Identity Manager Installationsprogramms k nnen Sie CA IdentityMinder so konfigurieren dass die Anforderungen gem FIPS 140 2 erf llt werden Alle Komponenten in einer Identity Manager Umgebung m ssen f r FIPS 140 2 aktiviert sein damit Identity Manager FIPS 140 2 unterst tzt Um FIPS 140 2 w hrend der Installation zu aktivieren ist ein FIPS Verschl sselungscode erforderlich Ein Kennwort Tool pwdtools bat pwdtools sh f r das Generieren eines FIPS Schl ssels befindet sich im folgenden Verzeichnis lt Installationspfad gt PasswordTool pwdtools bat Wichtig Verwenden Sie in allen Installationen den gleichen FIPS 140 2 Verschl sselungscode und stellen sicher dass die mit dem Kennwort Tool generierte Schl sseldatei gesichert ist 378 Konfigurationshandbuch Herstellen einer Verbindung mit SiteMinder Herstellen einer Verbindung mit SiteMinder Identity Manager r12 Wenn Sie w hrend der Identity Manager Installation ein
101. 46 Einschr nkung beim SiteMinder Anmeldenamen f r globalen Benutzernamen siehe Seite 46 bersicht des Beispiels einer CA IdentityMinder Umgebung CA IdentityMinder umfasst eine Beispielumgebung die Sie verwenden k nnen um CA IdentityMinder kennenzulernen und zu testen Als Beispielumgebung dient die Autohandelsgesellschaft namens NeteAuto NeteAuto Administratoren verwenden CA IdentityMinder um Mitarbeiter Zulieferer und regionale Verkaufsvertretungen zu verwalten Im Folgenden sind Benutzerspeicher Konfigurationen zur Verwendung von NeteAuto Beispielumgebungen aufgelistet m LDAP Benutzerspeicher die Organisationen unterst tzen m LDAP Benutzerspeicher die keine Organisationen unterst tzen m Benutzerspeicher der relationalen Datenbanken die Organisationen unterst tzen m Benutzerspeicher der relationalen Datenbanken die keine Organisationen unterst tzen Hinweis Provisioning Funktionen sind nicht verf gbar da diese Umgebung kein Provisioning Verzeichnis besitzt Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Das Konfigurieren des NeteAuto Beispiels mit Organisations Support beinhaltet die folgenden Schritte m Installieren der erforderlichen Software m Installieren der CA IdentityMinder Beispielumgebung m Konfigurieren eines LDAP Benutze
102. 5 Speichern Sie die Verzeichniskonfigurationsdatei Beschreiben der Benutzerverzeichnisstruktur CA IdentityMinder verwendet das bekannte Attribut ORG_MEMBERSHIP um die Struktur eines Benutzerverzeichnisses zu bestimmen Das Verfahren zum Beschreiben der Benutzerverzeichnisstruktur h ngt vom Typ der Verzeichnisstruktur ab So beschreiben Sie eine hierarchische Verzeichnisstruktur Die Verzeichniskonfigurationsdatei f r eine hierarchische Verzeichnisstruktur ist bereits konfiguriert Dadurch m ssen Sie die Beschreibung des Attributs ORG_MEMBERSHIP nicht ndern So beschreiben Sie eine flache Benutzerverzeichnisstruktur Gehen Sie wie folgt vor 1 Suchen Sie die Beschreibung des Attributs ORG_MEMBERSHIP im Abschnitt f r Benutzerobjekte der Datei directory xml 2 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch den Namen des Attributs in dem die Organisation des Benutzers gespeichert ist So beschreiben Sie eine flache Verzeichnisstruktur Gehen Sie wie folgt vor 1 Suchen Sie die Beschreibung des Attributs ORG_MEMBERSHIP im Abschnitt f r Benutzerobjekte der Datei directory xml 2 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch den Namen des Attributs in dem die Organisation des Benutzers gespeichert ist 3 Wiederholen Sie Schritt 1 im Abschnitt f r Gruppenobjekte 4 Ersetzen Sie im Parameter physicalname das Attribut ORG_MEMBERSHIP durch
103. 7 Erweiterte Einstellungen 243 Bereitstellung Erm glichen der Kennwortsynchronisierung Der Bereitstellungsserver erm glicht die Kennwortsynchronisierung zwischen CA IdentityMinder Benutzern und zugeordneten Endpunktbenutzerkonten Wenn also ein Benutzer der Bereitstellungsrollen hat in CA IdentityMinder erstellt oder ge ndert wird wird der Bereitstellungsbenutzer so eingerichtet dass er Kennwort nderungen von Endpunktkonten zul sst Hinweis Wenn Sie diese Funktion in der Management Konsole aktivieren lassen alle Benutzer in der Umgebung Kennwort nderungen von Endpunktkonten zu So aktivieren Sie die Kennwortsynchronisierung 1 W hlen Sie in der Management Konsole Advanced Settings Erweiterte Einstellungen und Provisioning Bereitstellung aus 2 Aktivieren Sie Enable Password Changes from Endpoint Accounts Kennwort nderungen auf Endpunktkonten aktivieren 3 Klicken Sie auf Speichern 4 Starten Sie den Anwendungsserver neu Zuordnungen von Attributen Attributzuordnungen ordnen die Benutzerattribute in mit der Bereitstellung verkn pften Admin Aufgaben wie Bereitstellung Benutzer erstellen den entsprechenden Attributen im Bereitstellungsserver zu Ein einzelnes Bereitstellungsattribut kann mehreren Attributen im CA IdentityMinder Benutzerspeicher zugeordnet werden F r die Attribute in den Standardaufgaben sind Standardzuordnungen vorhanden die im Abschnitt f r eingehende Zuordnungen aufgef h
104. A IdentityMinder m CA SiteMinder m CA Directory m CA User Activity Reporting m CA GovernanceMinder Technischer Support Kontaktinformationen Wenn Sie technische Unterst tzung f r dieses Produkt ben tigen wenden Sie sich an den Technischen Support unter http www ca com worldwide Dort finden Sie eine Liste mit Standorten und Telefonnummern sowie Informationen zu den B rozeiten Inhalt Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 13 Komponenten der CA IdentityMinder Umgebung 22004s2400nnennnnensennnnnnnnnnnennnnnnnnnnnnnnnnnnnannnnnnnensensnnnnnnnanenenn 13 Mehrere CA IdentityMinder Umgebungen uueeeeesssssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnssnnnnnnnsnsnsnnnnnnnnnnsnnnnn 15 CA IdentityMinder Management Konsole zuuuu0 02222222snnenonennnnnnnnnnnnnnnnnennnnnsnnnnnnnnnnnnnnnnnnnnnsnnnssnnnnnnnnnsnsnnnennnnnnee 16 Zugreifen auf die CA IdentityMinder Management Konsole uuursssersnnersnnensnnennnonsnnnnnnnensnnnennnonnnnnnnnnensnnnennnannn 16 So wird eine CA IdentityMinder Umgebung erstellt eeesssssseennassesssnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnensnnsennnn 17 Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 19 bersicht des Beispiels einer CA IdentityMinder Umgebung uuueeseeenensnnenanennnannennnnnnnnnnnnnenenennennsennennnennennnnnenn 19 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert e
105. AP Verzeichnisserver erforderlich ist legen Sie den erforderlichen Parameter auf Wahr True fest mehrwertig Zeigt an ob das Attribut mehrere Werte aufweisen kann So ist zum Beispiel das Attribut der Gruppenmitgliedschaft mehrwertig damit das Benutzer DN jedes Gruppenmitglieds gespeichert werden kann Die folgenden Werte sind g ltig m True Das Attribut kann mehrere Werte aufweisen m False Das Attribut kann nur einen Einzelwert Standard aufweisen Wichtig Die Attribute der Gruppenmitgliedschaft und der Admin Rollen m ssen in der Benutzerobjekt Definition mehrwertig sein wellknown Definiert den Namen des bekannten Attributs Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder siehe Seite 79 Sie werden ber die Syntax identifiziert ATTRIBUTENAME maxlength Definiert die maximale L nge die der Wert eines Attributs haben kann Legen Sie den maxlength Parameter auf 0 fest um eine unbegrenzte L nge anzugeben Hinweis Dieser Parameter ist erforderlich 68 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte permission Zeigt an ob der Wert eines Attributs in einem Aufgabenfenster ge ndert werden kann Die folgenden Werte sind g ltig READONLY Der Wert wird angezeigt kann aber nicht ge ndert werden WRITEONCE Der Wert kann nicht mehr ge ndert werden nachdem das Objekt erstellt wurde Zum Beispiel kann eine Benutzer ID nicht g
106. BC Datenquelle angibt So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Um eine Datenbank verwalten zu k nnen muss CA IdentityMinder die Datenbankstruktur und den Datenbankinhalt erkennen Zum Beschreiben der Datenbank in CA IdentityMinder erstellen Sie eine Verzeichniskonfigurationsdatei directory xm Die Verzeichniskonfigurationsdatei enth lt einen oder mehrere der folgenden Abschnitte Informationen zum CA IdentityMinder Verzeichnis Enth lt Information zu dem CA IdentityMinder Verzeichnis das CA IdentityMinder verwendet Attributvalidierung Definiert die Validierungsregeln die auf das CA IdentityMinder Verzeichnis angewandt werden Informationen zum Anbieter Beschreibt den Benutzerspeicher den CA IdentityMinder verwaltet Informationen zur Verzeichnissuche Erm glicht Ihnen anzugeben wie CA IdentityMinder den Benutzerspeicher durchsucht Benutzerobjekt siehe Seite 118 Beschreibt wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Kapitel 4 Verwaltung relationaler Datenbanken 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Gruppenobjekt siehe Seite 118 Beschreibt wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Organisationsobjekt siehe Seite 118 Beschreibt wie Organisationen gespeichert werden und wie sie in CA IdentityMinder darg
107. Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name PreviouslyEncrypted gt 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort entschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Benutzerdefinierte Vorg nge Sie k nnen f r bestimmte verwaltete Objekte benutzerdefinierte Vorg nge definieren um die folgenden Aufgaben auszuf hren m Verwenden von gespeicherten Prozeduren m Optimieren von Abfragen f r die Datenbankstruktur m Abrufen einer von der Datenbank generierten eindeutigen Kennung Benutzerdefinierte Vorg nge werden nur auf Attribute angewandt 134 Konfigurationshandbuch Operation Element So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Beachten Sie beim Angeben benutzerdefinierter Vorg nge die folgenden Punkte m Benutzer die benutzerdefinierte Vorg nge angeben m ssen mit SQL vertraut sein m Benutzerdefinierte Vorg nge werden von CA IdentityMinder nicht validiert Bis zur Laufzeit werden Syntaxfehler und ung ltige Abfragen nicht gemeldet m Wenn Sie einen benutzerdefinierten Vorgang f r ein Attribut angeben k nnen Sie dieses Attribut nicht in Suchfiltern in CA IdentityMinder Aufgaben verwend
108. Bekannte Attribute f r eine relationale Datenbank 20s4224000sssnnnnensennnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnonnnnnsnennnsnnnn 144 Bekannte Attribute f r Benutzer ueeesesssnenenssnnnensennnnnnnnnnnonnnnnnunnnnsnnnnnsnnnonsnnnnnnnsnsnnnnsnsnensnsnsnnnsnssnnssnsnonsnssnen Bekannte Attribute f r Gruppen eueeeeeessssnsnnnenunnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnenssnnnnnnnnnnnnnnsnnsnnnnnsnsssnnssnennnnnsssnnnn Attribut Admin_Role_Constraint Konfigurieren von bekannten Attributen ueneeeessssseenensssssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnennnnnnnennnn So konfigurieren Sie selbstabonnierende Gruppen uueeeeseeenannseeunnnnnnnnnnnnnnnonnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnenssnannnn Validierung sreg elms erreina pees maa araia nern ernennen are aE nennen nenn aai nae aaa eds ee res Organisationsverwaltung zuesseessssssssnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnsnnnnnnnnnnnnnsssnnnnennnnnsssnsnnssnnnnnnsssssssennnnnnne So richten Sie die Unterst tzung von Organisationen ein Konfigurieren der Unterst tzung von Organisationen in der Datenbank Spezifikation der Stammorganisation uuueeeesssssennnnnssnnnnnnnennnennnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnsnnnsnnnsnnnnnnnnsnnsnnnnnn Bekannte Attribute f r Organisationen eeeeeeenesesssnnnennnnnsnsnnnnnennnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnsssnsnnennnnnsnennnn So definieren Sie die
109. Benutzern enth lt Mitarbeiter die eine Mitarbeiter ID Nummer haben Zulieferer die mit einer Zuliefererzahl identifiziert werden Equation 1 Das Diagramm zeigt ein Beispiel f r zwei Identity Manager Umgebungen mit Verzeichnissen die Mitarbeiter und Zulieferer enthalten Identity Manager Umgebung X Unbearenzte Rollen und Aufgabendefinitionen Workflow Self System Definitionen Service manager a Benutzer Identity Vordefinierte definierte Minder Aufgaben und Rollen Funktionen Verzeichnis definitionen Mitarbeiter Gruppen Organisation Identity Manager Umgebung Y Unbegrenzte Rollen und Aufgabendefinitionen Workflow Self System Definitionen Service manager x 5 4 Benutzer Identity Vordefinierte definierte Minder Aufgaben und Rollen Funktionen Verzeichnis definitionen Zulieferer Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 15 CA IdentityMinder Management Konsole CA IdentityMinder Management Konsole Als CA IdentityMinder Systemadministrator umfassen Ihre Zust ndigkeiten Folgendes Erstellen eines CA IdentityMinder Verzeichnisses Konfigurieren eines Provisioning Verzeichnisses Konfigurieren einer CA IdentityMinder Umgebung Zuweisen eines Systemmanagers Aktivieren benutzerdefinierter Funktionen f r die Anfangsverwendung Um eine CA IdentityMinder Umgebung zu konfigurieren verwenden Sie die Management Konsole eine webbasierte Anwendung Die Manag
110. Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei k nnen Sie die folgenden Aktionen durchf hren m ndern Sie die Standardattributbeschreibungen um die Attribute in Ihrem Benutzerspeicher zu beschreiben m Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhandene Beschreibung kopieren und Werte nach Bedarf ndern F r jedes Attribut in Benutzer Gruppen und Organisationsprofilen liegt ein ImsManagedObjectAttr Element vor So wird zum Beispiel ein ImsManagedObjectAttr Element als Benutzer ID bezeichnet Ein ImsManagedObjectAttr Element entspricht dem folgenden Code lt ImsManagedObjectAttr physicalname uid displayname User ID description User ID valuetype String required true multivalued false wellknown USER ID maxlength 0 gt ImsManagedObjectAttr weist die folgenden Parameter auf physicalname Dieser Parameter muss eines der folgenden Elemente enthalten m Der Name des LDAP Attributs in dem der Profilwert gespeichert wird Die Benutzer ID wird zum Beispiel im uid Attribut im Benutzerverzeichnis gespeichert Hinweis Um die Leistung zu verbessern indizieren Sie LDAP Attribute die in Suchanfragen in der Benutzerkonsole verwendet werden m Ein bekanntes Attribut siehe Seite 79 Wenn Sie ein bekanntes Attribut bereitstellen berechnet CA IdentityMinder den Wert automatisch Zum Beispiel bestimmt CA IdentityMinder nach dem Angeben des bekannten
111. CA IdentityMinder Konfigurationshandbuch 12 6 3 technologies Diese Dokumentation die eingebettete Hilfesysteme und elektronisch verteilte Materialien beinhaltet im Folgenden als Dokumentation bezeichnet dient ausschlie lich zu Informationszwecken des Nutzers und kann von CA jederzeit ge ndert oder zur ckgenommen werden Diese Dokumentation ist Eigentum von CA und darf ohne vorherige schriftliche Genehmigung von CA weder vollst ndig noch auszugsweise kopiert bertragen vervielf ltigt ver ffentlicht ge ndert oder dupliziert werden Der Benutzer der ber eine Lizenz f r das bzw die in dieser Dokumentation ber cksichtigten Software Produkt e verf gt ist berechtigt eine angemessene Anzahl an Kopien dieser Dokumentation zum eigenen innerbetrieblichen Gebrauch im Zusammenhang mit der betreffenden Software auszudrucken vorausgesetzt dass jedes Exemplar diesen Urheberrechtsvermerk und sonstige Hinweise von CA enth lt Dieses Recht zum Drucken oder anderweitigen Anfertigen einer Kopie der Dokumentation beschr nkt sich auf den Zeitraum der vollen Wirksamkeit der Produktlizenz Sollte die Lizenz aus irgendeinem Grund enden best tigt der Lizenznehmer gegen ber CA schriftlich dass alle Kopien oder Teilkopien der Dokumentation an CA zur ckgegeben oder vernichtet worden sind SOWEIT NACH ANWENDBAREM RECHT ERLAUBT STELLT CA DIESE DOKUMENTATION IM VORLIEGENDEN ZUSTAND OHNE JEGLICHE GEW HRLEISTUNG ZUR VERF GUNG DAZU GEH
112. CA SiteMinder integriert ist Management Console Logout Help technologies Home gt Directories ar Used For Name Description Type Pe Environment s AuthenticationDirectory This is a bootstrap Relational directory used for Database true authentication Orgless 284 Konfigurationshandbuch Sicherheit an der Management Konsole Hinzuf gen zus tzlicher Administratoren zur Management Konsole Standardm ig hat eine Management Konsole die durch die systemeigene CA IdentityMinder Sicherheit gesch tzt wird ein Administratorkonto das w hrend der Installation in einem neuen CA IdentityMinder Verzeichnis erstellt wird Um zus tzliche Administratoren hinzuzuf gen geben Sie ein CA IdentityMinder Verzeichnis an das die Benutzer enth lt die Zugriff auf die Management Konsole haben sollen Durch die Verwendung eines vorhandenen Verzeichnisses k nnen Sie Benutzern in Ihrer Organisation Zugriff auf die Management Konsole erteilen ohne dass Sie neue Konten erstellen m ssen Sie k nnen nur ein Verzeichnis f r die Authentifizierung angeben Ein Verzeichnis das f r die Authentifizierung konfiguriert ist kann nicht gel scht werden Gehen Sie wie folgt vor 1 Melden Sie sich mit den w hrend der Installation angegebenen Benutzeranmeldeinformationen an der Management Konsole an 2 ffnen Sie Directories und klicken Sie auf das Verzeichnis mit den Benutzern die Zugriff auf die Managem
113. Config Xpress laden oder Sie k nnen sie aus einer Umgebungsdatei laden Wenn Sie eine der Baseline Umgebungsdateien verwenden die mit Config Xpress installiert werden k nnen Sie Ihre Umgebung mit der standardm igen Konfiguration vergleichen Das Laden einer Umgebung kann einige Minuten dauern Gehen Sie wie folgt vor 1 2 ffnen Sie Config Xpress So laden Sie eine Live Umgebung direkt von einem CA IdentityMinder Server a Klicken Sie auf die Registerkarte Server Network Server Netzwerk b Geben Sie den Namen und den Port des CA IdentityMinder Servers ein Beispiel servername ca com 8080 c W hlen Sie HTTPS verwenden aus wenn Ihr Server so eingerichtet ist dass nur HTTPS verwendet werden kann d W hlen Sie 12 5 SP7 aus wenn der Server eine h here Version als r12 5 SP6 hat e Klicken Sie auf Verbinden f W hlen Sie eine Umgebung aus der Liste Choose Environment to load Zu ladende Umgebung ausw hlen aus und klicken Sie dann auf Laden So laden Sie eine Umgebungsdatei die aus Ihrer CA IdentityMinder Umgebung exportiert wurde a Exportieren Sie eine CA IdentityMinder Umgebung b Klicken Sie in Config Xpress auf die Registerkarte File System Dateisystem c W hlen Sie die Version aus suchen Sie die Umgebungsdatei und klicken Sie dann auf Laden So laden Sie eine Baseline Umgebungsdatei die mit Config Xpress installiert wurde a Klicken Sie auf die Registerkarte Base V
114. IEEBERE default CA Identity Manager 12 5 4 0 461 default BHHHRHREHHHRRHHHHHRRHHRRHRHHHRRRRHRHRRRHHRBRRHHR default CA IAM FW Startup Sequence Initiated default Startup Step 1 tmt CreateDatabaseSchema tmt CreateDatabaseSchema tmt CreateDatabaseSchema tmt CreateDatabaseSchema default Startup Step 2 Attempting to start Servicelocator t Schema for Task Persistence is up to date Schema for Archive is up to date ttet Schema for Auditing is up to date Schema for Report Snapshot is up to date Attempting to start PolicyServerService jJboss resource connectionmanager JBossManagedConnectionPool Throwable while null javax resource spi EISSystemException Cannot connect to policy server Failed to init Agent API 1 at com netegrity ra policyserver impl PSManagedConnectionFactory createManagedConnection PSManagedConnectionfactory java 299 at org jboss resource connectionmanager InternalManagedConnectionPool createConnectionEventListener Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AgentName in ra xml lt config property gt lt config property gt lt config property name gt AgentName lt config property name gt lt config property type gt java lang String lt config property type gt idmagent lt config property gt lt config property gt umnfin mennarte nama AuantCnanunt re nannfin nranarte namen 2 Geben Sie den 4 X Agentennamen an
115. In CA IdentityMinder ist ein Fehler IMS ist zu diesem aufgetreten Zeitpunkt nicht verf gbar 500 Fehlermeldung von Die Statusseite wird nicht Windows angezeigt wenn darauf zugegriffen wird w hrend die Konnektivit t mit dem LDAP Benutzerverzeichnis entfernt wird 234 Konfigurationshandbuch Fehlerbehebung 1 berpr fen Sie Folgendes m Der Richtlinienserver wird ausgef hrt m Der Web Agent sch tzt die Ressourcen Sie k nnen berpr fen ob der Web Agent ordnungsgem ausgef hrt wird indem Sie auf die Richtlinienserver Benutzeroberfl che zugreifen Wenn eine Aufforderung angezeigt wird die Anmeldeinformationen einzugeben wird der Web Agent ordnungsgem ausgef hrt 2 Starten Sie CA IdentityMinder und den Richtlinienserver neu berpr fen Sie das Anwendungsserverprotokoll in Bezug auf Fehlerdetails Deaktivieren Sie die Internetbrowser Option Show friendly error message Kurze HTTP Fehlermeldungen anzeigen um die Statusseite anzuzeigen Kapitel 7 Erweiterte Einstellungen berpr fung Im Fenster Advanced Settings Erweiterte Einstellungen der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren m Zugreifen auf Fenster zum Konfigurieren erweiterter Einstellungen m Importieren und Exportieren erweiterter Einstellungen wie in Importieren Exportieren von benutzerdefinierten Einstellungen siehe Seite 249 beschrieben Dieses Kapitel enth lt folgende Themen
116. Kennwort Tool das mit CA IdentityMinder geliefert wird Hinweis Vergewissern Sie sich dass die JAVA_HOME Variable f r Ihre Umgebung definiert ist bevor Sie das SiteMinder Kennwort ndern Kapitel 12 Integration von CA SiteMinder 371 SiteMinder Vorg nge Gehen Sie wie folgt vor 1 Verschl sseln Sie das Kennwort folgenderma en a Navigieren Sie von der Befehlszeile zu admin_tools PasswordTool wobei admin_tools der installierte Speicherort der Verwaltungstools ist wie in den folgenden Beispielen angegeben m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools PasswordTool m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools PasswordT ool b Geben Sie folgenden Befehl ein pwdtools new_password In diesem Befehl ist new_password das zu verschl sselnde Kennwort Hinweis Geben Sie f r Information zu Optionen f r das Hilfsprogramm pwdtools den folgenden Befehl ein pwadtools help c Kopieren Sie das verschl sselte Kennwort 2 F hren Sie die entsprechenden Schritte aus m Wenn CA IdentityMinder auf einem Weblogic Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor a Bearbeiten Sie in der WebLogic Konsole den Weblogic Ressourcenadapter im Connector Deskriptor policyserver_rar b F gen Sie das verschl sselte Kennwort als Wert der Kennworteigenschaft hinzu m Wenn CA IdentityMinder auf einem JBoss Anwendungsserver ausgef hrt wird gehen Sie wie folgt vor
117. ManagedObjectAttr physicalname tblOrganizations parentorg displayname Organization description Parent Organization valuetype Number required false multivalued false wellknown 0ORG MEMBERSHIP maxlength 0 gt Sie die Leistung von Verzeichnissuchen Um die Leistung von Verzeichnissuchen nach Benutzern Organisationen und Gruppen zu verbessern f hren Sie die folgenden Schritte aus m Indizieren Sie die Attribute die Administratoren in Suchanfragen angeben k nnen 154 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen berschreiben Sie die Standardeinstellung f r das Verzeichniszeitlimit indem Sie Werte f r die Zeitlimitsuchparameter in einer Verzeichniskonfigurationsdatei directory xm festlegen Optimieren Sie das Benutzerverzeichnis Weitere Informationen finden Sie in der Dokumentation zur verwendeten Datenbank Konfigurieren Sie datenbankspezifische Optionen in der ODBC Datenquelle Weitere Informationen finden Sie in der Dokumentation zur Datenquelle So verbessern Sie die Leistung von gro en Suchen Wenn CA IdentityMinder einen gro en Benutzerspeicher verwaltet reicht bei Suchen die viele Ergebnisse zur ckgeben der Systemspeicher m glicherweise nicht aus Die beiden folgenden Einstellungen bestimmen wie CA IdentityMinder gro e Suchen verarbeitet Maximale Zeilenanzahl Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutze
118. Manager lAM_Suite ldentity_Manager tools Geben Sie im Fenster Verbindungsdetails die Verbindungsinformationen f r das LDAP Verzeichnis oder den Bereitstellungsserver die Verzeichnissuchparameter und Failover Verbindungsinformationen an und klicken Sie auf Weiter Kapitel 5 CA IdentityMinder Verzeichnisse 159 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten 160 Konfigurationshandbuch Legen Sie im Fenster Configure Managed Object Verwaltetes Objekt konfigurieren die zu konfigurierenden Objekte fest und klicken Sie auf Weiter Zur Auswahl stehen folgende Objekte m Konfigurieren des verwalteten Objekts der Benutzer m Configure Group Managed Object Auf Gruppenebene verwaltetes Objekt konfigurieren m Configure Organization Object Organisationsobjekt konfigurieren m Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen Hinweis W hlen Sie Show summary and deploy directory nur aus wenn Sie die Konfiguration des Verzeichnisses abgeschlossen haben a Zeigen Sie die strukturellen und zus tzlichen Klassen im Fenster Attribut ausw hlen an und ndern Sie sie ggf Klicken Sie anschlie end auf Weiter b Verbinden Sie im Fenster Select Attributes Mapping Well Knowns Attribut ausw hlen bekannte Attribute verbinden die bekannten CA IdentityMinder Aliasnamen mit ausgew hlten LDAP Attributen und klicken Sie auf Weiter c Optional Z
119. N WAIT TIME description time delay in seconds for LDAP provider to allow replication to propagate from master to slave gt lt Property name REPLICATION WAIT TIME gt 800 lt Property gt lt PropertyDict gt Wenn die keine Wartezeit f r Replikationen definiert wird wird der Standardwert 0 verwendet Angeben von LDAP Verbindungseinstellungen Um die Leistung zu verbessern k nnen Sie die folgenden Parameter in der Verzeichniskonfigurationsdatei directory xml angeben Verbindungszeitlimit Gibt die maximale Zeit in Millisekunden an die CA IdentityMinder ein Verzeichnis durchsucht bevor die Suche beendet wird Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi ldap connect timeout Connection Pool Max Size Gibt die maximale Anzahl von Verbindungen an die CA IdentityMinder zum LDAP Verzeichnis herstellen kann Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi ldap connect pool maxsize Kapitel 3 Verwaltung des LDAP Benutzerspeichers 95 So verbessern Sie die Leistung von Verzeichnissuchen Connection Pool Default Size Gibt die Standardanzahl von Verbindungen zwischen CA IdentityMinder und dem LDAP Verzeichnis an Diese Eigenschaft wird in der Verzeichniskonfigurationsdatei wie folgt angegeben com sun jndi ldap connect pool prefsize Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml
120. Option f r Active Directory Benutzerspeicher aus Verzeichnissuchparameter maxrows definiert die H chstanzahl von Ergebnissen die CA IdentityMinder zur ckgeben kann wenn man ein Benutzerverzeichnis durchsucht Dieser Wert berschreibt ein im LDAP Verzeichnis festgelegtes Limit Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der maxrows Parameter beschr nkt nicht die Anzahl von Ergebnissen die im CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign 10 Anzeigen von CA IdentityMinder Verzeichnissen timeout bestimmt die maximale Anzahl von Sekunden die CA IdentityMinder ein Verzeichnis durchsucht bevor es die Suche beendet Failover Verbindungen Hostname und Portnummer von einem oder mehreren optionalen Systemen die alternative Bereitstellungsserver sind Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder mit den Systemen in der Reihenfolge Verbindung aufzunehmen in der sie aufgelistet sind Die alternativen Bereitstellungsserver werden verwendet wenn der prim re Bereitstellungsserver fehlschl gt Wenn der prim re Bereitstellungsserver erneut verf gbar wird wird der alternative Bereitstellungsserver weiterhin verwendet Wenn Sie zur Verwendung des Bereitstellungsserv
121. Option f r die Auswertung im Arbeitsspeicher aktivieren Wenn die Option f r die Auswertung im Arbeitsspeicher aktiviert ist ruft CA IdentityMinder Informationen ber einen zu bewertenden Benutzer aus dem Benutzerspeicher ab und speichert eine Repr sentation dieses Benutzers im Arbeitsspeicher CA IdentityMinder verwendet die Repr sentation im Arbeitsspeicher um die Attributwerte in Bezug auf die Richtlinienregeln zu vergleichen Dadurch wird die Anzahl der Aufrufe beschr nkt die CA IdentityMinder direkt im Benutzerspeicher durchf hrt Sie aktivieren die Option f r die Auswertung im Arbeitsspeicher f r eine Umgebung in der Management Konsole Gehen Sie wie folgt vor 1 ffnen Sie die Managementkonsole 2 W hlen Sie Environments Umgebungen Environment Name Umgebungsname Advanced Settings Erweiterte Einstellungen Miscellaneous Verschiedene aus Die Seite User Defined Properties Benutzerdefinierte Eigenschaften wird ge ffnet 3 Geben Sie den folgenden Text im Feld Property Eigenschaft ein UselnMemoryEvaluation 4 Geben Sie eine der folgenden Zahlen im Feld Value Wert ein 0 Die Auswertung im Arbeitsspeicher ist deaktiviert 1 Die Auswertung im Arbeitsspeicher ist aktiviert Wenn diese Option festgelegt ist wird beim Attributvergleich die Gro Kleinschreibung ber cksichtigt 3 Die Auswertung im Arbeitsspeicher ist aktiviert Wenn diese Option festgelegt ist wird beim Attributvergleic
122. Organisationshierarchie 2222220000nsssnnnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnsnnnnnnnn So verbessern Sie die Leistung von Verzeichnissuchen So verbessern Sie die Leistung von gro en Suchen Kapitel 5 CA IdentityMinder Verzeichnisse 157 Voraussetzungen zum Erstellen eines CA IdentityMinder Verzeichnisses uuss00022222220200onnnnnnnnnnnennnnnnnennnnnnnnnn 157 So erstellen Sie ein Verzeichnis Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten uuuunenesensneeenenenesnnnnenennnnnenennnn 158 Starten des Verzeichniskonfigurations Assistenten uussssssessssnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 159 Bildschirm Select Directory Template Verzeichnisvorlage ausw hlen 222000022220unssnsennsnnseneeennen 161 Fenster Verbind ngsdetails 200 s00a00n0res sea a a aa ana ran ara nen ans da sauren era Konfigurieren des Fensters der verwalteten Objekte Inhalt 7 Best tigungs Fenster 4 02 5 uu 000 000 aaa E A A A a m in Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Aktivieren von Bereitstellungsserver Zugriff essseessessssssnnnnnnnnnensnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnensnnnnnnnn Anzeigen von CA IdentityMinder Verzeichnissen uueeeeneeesssnsseennnnnnssnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnsnennnnnnnensnnnennnn CA IdentityMind
123. Pfad einschlie lich Dateinamen der EAR Datei von IdentityMinder die Sie auf das Bereitstellungsmanagersystem kopiert haben Beispiel wsadmin f imsinstall jacl c Programme CA ldentity Manager WebSphere tools was_im ear im_cluster Kapitel 9 Produktionsumgebungen 273 Migrieren von Workflow Prozessdefinitionen 9 UNIX wsadmin f imsiInstall jacl path to copied ear cluster_Lname Dabei steht path to copied ear f r den vollst ndigen Pfad einschlie lich Dateinamen der EAR Datei von IdentityMinder die Sie auf das Bereitstellungsmanagersystem kopiert haben Beispiel wsadmin f imsInstall jacl opt CA ldentity Manager WebSphere tools was_im ear im_cluster Wenn CA IdentityMinder mit SiteMinder integriert ist pr fen Sie die folgenden Punkte Die SiteMinder Agenten k nnen eine Verbindung mit Ihrem Richtlinienspeicher herstellen Der Richtlinienserver kann eine Verbindung mit dem Benutzerspeicher herstellen Die CA IdentityMinder Dom nen wurden erstellt Migrieren von Workflow Prozessdefinitionen Wenn Sie in der Entwicklungsumgebung einen Workflow verwendet haben exportieren Sie die Workflow Definitionen und importieren Sie sie in die Produktionsumgebung Konfigurieren Sie anschlie end den Workflow in jedem Serverknoten Exportieren von Prozessdefinitionen Exportieren Sie die Workflow Prozessdefinitionen auf dem Entwicklungsumgebungssystem Gehen Sie wie folgt vor 1 2 274 Konfiguration
124. Probleme geben wenn man diese Benutzer und Gruppen verwaltet Container gruppieren nur Benutzer und Gruppen Sie k nnen keinen Container f r Organisationen angeben Zu den Eigenschaften eines Containers geh ren objectclass Gibt die LDAP Objektklasse des Containers an wo Objekte von einem bestimmten Typ erstellt werden Zum Beispiel ist der Standardwert f r den Benutzercontainer top organizationalUnit was anzeigt dass Benutzer in LDAP Organisationseinheiten ou erstellt werden 182 Konfigurationshandbuch CA IdentityMinder Verzeichniseigenschaften ID Gibt das Attribut an das den Containernamen zum Beispiel ou speichert Das Attribut wird mit dem Namenswert paarweise angeordnet um den zugeh rigen DN des Containers zu bilden wie im folgenden Beispiel ou People Name Gibt den Namen des Containers an Eigenschaften von sekund ren Tabellen nur f r relationale Datenbanken Sekund re Tabellen enthalten zus tzliche Attribute f r ein verwaltetes Objekt Zum Beispiel kann eine sekund re Tabelle namens tblUserAddress die Attribute f r Stra e Stadt Land und Postleitzahl f r das verwaltete Objekt Benutzer enthalten Die folgenden Eigenschaften werden f r sekund re Tabellen angezeigt Tabelle Gibt den Namen der Tabelle an Referenz Beschreibt die Zuordnung zwischen der prim ren Tabelle und der sekund ren Tabelle Die Referenz wird mithilfe des folgenden Formats angezeigt primarytable attribute sec
125. RL an die nicht den gesch tzten oder ffentlichen Alias f r die Umgebung enth lt CA IdentityMinder verwendet die Basis URL f r die Bildung der Umleitungs URL die auf die Kennwortdienst Aufgabe in der Standardkennwortrichtlinie f r die Umgebung hinweist Protected Alias Gesch tzter Alias Definiert den Namen der Basis URL f r den Zugriff auf gesch tzte Aufgaben in der Benutzerkonsole f r eine CA IdentityMinder Umgebung Verwalten von Umgebungen ffentliches Alias Definiert den Namen der Basis URL f r den Zugriff auf ffentliche Aufgaben zum Beispiel Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennw rter Public User ffentlicher Benutzer Definiert das Benutzerkonto das CA IdentityMinder anstelle der Anmeldeinformationen des Benutzers f r den Zugriff auf ffentliche Aufgaben verwendet Job Timeout Job Zeitlimit Bestimmt wie lange CA IdentityMinder nach dem bermitteln einer Aufgabe wartet bevor eine Statusmeldung angezeigt wird Dieser Wert wird auf der Seite User Console Benutzerkonsole in Erweiterte Einstellungen festgelegt Status H lt die CA IdentityMinder Umgebung an oder startet sie neu Migrate Task Persistence Data from CA IdentityMinder 8 1 Aufgabenpersistenz Daten aus CA IdentityMinder 8 1 migrieren Migriert Daten aus einer CA IdentityMinder 8 1 Aufgabenpersistenz Datenbank in eine CA IdentityMinder 12 6 3 Aufgabenpersistenz Datenbank Weitere Informa
126. STRAINT erm glicht es Ihnen ein Profilattribut anzugeben in dem die Admin Rollen eines Administrators gespeichert werden So verwenden Sie das Attribut ADMIN_ROLE_CONSTRAINT Um ADMIN_ROLE_CONSTRAINT als Einschr nkung f r alle Admin Rollen zu verwenden f hren Sie die folgenden Aufgaben aus m Ordnen Sie das bekannte Attribut ADMIN_ROLE_CONSTRAINT einem mehrwertigen Profilattribut zu um mehrere Rollen zu ber cksichtigen m Wenn Sie eine Admin Rolle in der Benutzerkonsole konfigurieren vergewissern Sie sich ber die folgende Einschr nkung Die Admin Rollen stimmen mit dem Rollennamen berein role name Definiert den Namen der Rolle f r die Sie die Einschr nkung angeben wie im folgenden Beispiel gezeigt Admin Rollen stimmt mit User Manager berein Hinweis Admin Rollen ist der Standardanzeigename f r das Attribut ADMIN_ROLE_CONSTRAINT Konfigurieren von bekannten Attributen F hren Sie zum Konfigurieren bekannter Attribute die folgenden Schritte aus Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem folgenden Zeichen HH 2 Ersetzen Sie den mit beginnenden Wert durch das entsprechende LDAP Attribut 3 Wiederholen Sie die Schritte 1 und 2 bis Sie alle erforderlichen Werte ersetzt haben 86 Konfigurationshandbuch Beschreiben der Benutzerverzeichnisstruktur 4 Ordnen Sie optional die bekannten Attribute physischen Attributen zu sofern erforderlich
127. Schema for Archive is up to date 2010 12 13 10 42 54 887 WARN ims tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 42 54 918 WARN ims tmt CreateDatabaseSchema Schema for Report Snapshot is up to date 2010 12 13 10 42 54 918 WARN ims default Startup Step 2 Attempting to start PolicyServerService 2010 12 13 10 42 54 934 ERROR com netegrity crypto PBESHAIRC2ZCBCPKCS12PBES128Handler com rsa jsafe JSAFE_InputException Unexpected padding chars 2010 12 13 10 43 04 262 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemException Cannot connect to policy server Failed to init Agent API 1 at com netegrity ra policyserver impl PSManagedConnectionFfactory createManagedConnection P amp Mananenfannert innFartarw is a a0 Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft AgentSecret in ra xml lt config property gt lt config property name gt AgentSecret lt config property name gt lt config property type gt java lang String lt config property type gt GEontig pronerey aluie PDES x x8 9oonHDOB3RavoVzJA ZEME ESPE EEVA lt config property gt lt config property gt 2 Geben Sie das verschl sselte Kennwort an das verwendet wurde als Sie diesen Agenten erstellt haben Weitere Informationen ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl sse
128. Sie Auditeinstellungen konfigurieren Eine separate Datenbankinstanz wird f r Speicherungsdaten erstellt die sich auf berwachung bezieht Standardm ig befindet sich die CA IdentityMinder Datenbankschemadatei im folgenden Speicherort Windows C Programme CA ldentity Manager IAM Suite ldentity Manager ldentity Manager tools db Konfigurieren Sie den Berichtsserververbindung um den Audit Bericht anzufordern und anzuzeigen F gen Sie ein Verbindungsobjekt f r den Audit Bericht hinzu F hren Sie folgende Schritte aus a Melden Sie sich bei der Benutzerkonsole mit Administratorrechten an b Gehen Sie zu Rollen und Aufgaben Admin Aufgaben und suchen Sie nach einem Audit Bericht der ge ndert werden soll c Geben Sie folgenden Verbindungsnamen im Verbindungsobjekt f r das Feld Bericht ein rptParamConn ndern der Auditeinstellungsdatei Konfigurieren Sie Auditeinstellungen in der Auditeinstellungsdatei um den Informationstyp zu definieren den CA IdentityMinder berwachen muss Sie k nnen eine Auditeinstellungsdatei konfigurieren um folgende Aufgaben auszuf hren 254 Konfigurationshandbuch berwachen Sie einige oder alle Ereignisse die von Admin Aufgaben generiert wurden So konfigurieren und generieren Sie Audit Datenberichte m Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf zum Beispiel wenn ein Ereignis abgeschlossen oder abgebrochen wird m Protokollieren Sie Informationen zu
129. Sie eDirectory Server mit der Datei novell_ims8d ldif Anweisungen hierzu finden Sie in der Dokumentation zu Novell eDirectory Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Oracle Internet Directory OID Um Oracle Internet Directory zu konfigurieren aktualisieren Sie die Datei oracleoid ldif Gehen Sie wie folgt vor 1 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Aktualisieren Sie Oracle Internet Directory Server mit der Datei oracleoid_ims ldif Das Standardinstallationsverzeichnis f r diese Datei unter Windows ist install_path policystore schemas OracleOID Anweisungen hierzu finden Sie in der Dokumentation zu Oracle Internet Directory Pr fen des Richtlinienspeichers Um den Richtlinienspeicher zu pr fen best tigen Sie die folgenden Punkte Das Richtlinienserverprotokoll enth lt keinen Abschnitt mit Warnungen der mit dem folgenden Code beginnt IMS NO SCHEMA BEGIN Diese Warnung wird nur angezeigt wenn Sie die Erweiterungen f r den SiteMinder Richtlinienserver installiert aber das Richtlinienspeicherschema nicht erweitert haben Die CA IdentityMinder Objekte sind in der Datenbank oder dem Verzeichnis des Richtlinienspeichers vorhanden Die CA IdentityMinder Objekte fangen mit dem Pr fix ims an K
130. SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden 2 Erstellen Sie zwei Benutzerverzeichnisse Ein Verzeichnis bezieht sich auf die Authentifizierungsdaten Administratorprofile das andere Verzeichnis bezieht sich auf die Autorisierungsdaten Benutzerprofile 3 Erstellen Sie in der Management Konsole eine CA IdentityMinder Umgebung W hlen Sie das Autorisierungsverzeichnis als das CA IdentityMinder Verzeichnis aus Kapitel 12 Integration von CA SiteMinder 373 SiteMinder Vorg nge Feld Attribut Attributtyp Variablenname Attributname F gen Sie in der Schnittstelle f r die verwendete Version von SiteMinder das Authentifizierungsverzeichnis der Dom ne f r die CA IdentityMinder Umgebung hinzu die Sie im vorherigen Schritt erstellt haben Die Dom ne und andere Objekte die f r SiteMinder erforderlich sind werden automatisch erstellt wenn Sie eine Umgebung erstellen und SiteMinder in CA IdentityMinder integriert ist Die Dom ne verwendet die folgende Namenskonvention Identity Manager UmgebungDomain Vergewissern Sie sich dass dieses Verzeichnis zuerst in der Liste von Verzeichnissen angezeigt wird die zur Dom ne zugeordnet sind Suchen Sie Identity Manager Umgebung_ims_realm Ordnen Sie das Autorisierungverzeichnis zum Authentifiz
131. So_ wird eine JDBC Datenquelle erstellt siehe Seite 107 umfasst anwendungsserverspezifische Anweisungen zum Erstellen einer JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses F hren Sie das folgende Verfahren durch um das CA IdentityMinder Verzeichnis zu erstellen Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http im_server port iam immanage im_server Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers 2 Klicken Sie auf Directories Verzeichnisse Das Fenster der CA IdentityMinder Verzeichnisse wird angezeigt 3 Klicken Sie auf Neu um den CA IdentityMinder Verzeichnisassistenten zu starten 34 Konfigurationshandbuch So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Suchen Sie nach einer der folgenden XML Dateien der Verzeichniskonfiguration und klicken Sie auf Weiter m Sun Java Systeme admin_tools samples NeteAuto NoOrganization directory xml m SQL Server Datenbanken admin_tools samples NeteAuto NoOrganization mssal directory xml m Oracle Datenbanken admin_tools samples NeteAuto NoOrganization oracle directory xml admin_tools bezieht sich auf die Administrations Tools die standardm ig unter folgendem Speicherort installiert sind m Windows C Programme CA ldentity Manager lAM Suite
132. Stammorganisation bezeichnet wird Alle anderen Organisationen beziehen sich auf diese Stammorganisation Weitere Informationen zu Organisationsanforderungen finden Sie unter Organisationsverwaltung siehe Seite 151 Erstellen einer Oracle Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 106 Konfigurationshandbuch Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore URL jdbc oracle thin db_systemname 1521 oracle_sid Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a Geben Sie folgende Eigenschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen So erstellen Sie ein CA IdentityMinder Verzeichnis W hlen Sie den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld in den folgenden Feldern aus m Component managed Authentication Alias Komponentenverwalteter Authentifizierungs
133. Tool mit JSAFE verwenden 3 Ersetzen Sie den Klartext mit einem verschl sselten Kennwort in der Tabelle 380 Konfigurationshandbuch Das Kennwort Tool FIPSKEY Erstellt eine FIPS Schl sseldatei f r das Installationsprogramm Sie generieren den Schl ssel bevor Sie CA IdentityMinder installieren Beispiel pwdtools FIPSKEY k C keypath FIPSkey dat Dabei ist keypath der vollst ndige Pfad zu dem Speicherort wo Sie den FIPS Schl ssel speichern wollen Das Kennwort Tool erstellt den FIPS Schl ssel am angegebenen Speicherort W hrend Installation geben Sie den Speicherort der FIPS Schl sseldatei f r das Installationsprogramm an Hinweis Sichern Sie den Schl ssel indem Sie die Verzeichniszugriffsberechtigungen f r bestimmte Gruppen oder Benutzertypen festlegen z B der Benutzer der zum Ausf hren von CA IdentityMinder berechtigt ist FIPS Verschl sseln Sie einen einfachen Textwert unter Verwendung einer FIPS Schl sseldatei FIPS verwendet die vorhandene FIPS Schl sseldatei Beispiel pwdtools FIPS p firewall k C keypath FIPSkey dat Wobei keypath der vollst ndige Pfad zum FIPS Schl sselverzeichnis ist Hinweis Verwenden Sie die gleiche FIPS Schl sseldatei die Sie w hrend Installation angegeben haben RC2 Verschl sselt einen einfachen Textwert unter Verwendung des RC2 Algorithmus Wichtig CA IdentityMinder verwendet die FIPS Schl sseldatei um zu berpr fen ob die Anwendung im FIPS Modu
134. Wenn eine Regel ausgel st wird werden Antworten an einen SiteMinder Agenten zur ckgegeben Identity Manager verwendet SiteMinder Antworten um bestimmte Aufgabe und Rolleninformationen zu einer gesch tzten Ressource zu liefern Sie k nnen SiteMinder Richtlinien an Benutzer an Rollen oder an Benutzer und Rollen binden Wenn ein Benutzer oder Rollenmitglied versucht auf eine gesch tzte Ressource zuzugreifen verwendet SiteMinder Informationen in der Richtlinie um zu entscheiden ob er Zugriff erteilt werden soll und um Antworten auszul sen Kapitel 12 Integration von CA SiteMinder 361 SiteMinder Vorg nge Die folgende Abbildung veranschaulicht die Beziehung von Richtlinienobjekten in einer rollenbasierten Richtlinie 75 Richtlinie Regel Rollen Antwort Erlaubt GET Finanz PO Erstellung und POST administrator Zugriff auf Buchhalter Finanz anwendung SiteMinder Richtlinien werden in Richtliniendom nen erstellt die Benutzerverzeichnisse logisch an gesch tzte Ressourcen binden Die folgende Abbildung veranschaulicht die Beziehung von Richtlinienobjekten in einer rollenbasierten Richtlinie Benutzer verzeichnis Richtlinien dom ne Ei Richtlinie CE IdentityMinder Umgebung Regel Rollen Antwort Erlaubt GET und Finanzwesen PO Task POST Zugriff auf eine Verwaltung erstellen Finanzanwendung Buchf hrung 362 Konfigurationshandbuch SiteMinder Vorg nge Um einer gesch tzten Anwendung Benutzerbere
135. _Suite Identity_Manager tools PasswordTool PasswordTool F hren Sie das Kennwort Tool mithilfe des folgenden Befehls aus pwdtools JSAFE p anypassword Die JSAFE Option verschl sselt einen einfachen Textwert unter Verwendung des PBE Algorithmus F gen Sie die Bootstrap Benutzerinformationen in die Tabelle IM_AUTH_USER ein Geben Sie Werte f r alle Spalten in der Tabelle IM_AUTH_USER an Beispiel USER_NAME admini PASSWORD anypassword DISABLED O ID 1 Starten Sie den CA IdentityMinder Server neu Die Management Konsole ist durch die systemeigene Sicherheit gesch tzt Schutz vor CSRF Angriffen CA IdentityMinder wurde erweitert um den Schutz vor CSRF Angriffen Cross Site Request Forgery website bergreifende Anforderungsf lschung zu verbessern Standardm ig ist diese Erweiterung in CA IdentityMinder deaktiviert So aktivieren Sie die Erweiterung 1 ffnen Sie die Datei web xml in folgendem Verzeichnis application server iam im ear user console war WEB INF Suchen Sie das lt context param gt Element mit der Angabe lt param name gt csrf prevention on Legen Sie f r lt param value gt den Wert true fest Starten Sie den Anwendungsserver neu Kapitel 11 CA IdentityMinder Schutz 289 Kapitel 12 Integration von CA SiteMinder Dieses Kapitel enth lt folgende Themen SiteMinder und CA IdentityMinder siehe Seite 292 So sch tzen Sie Ressourcen siehe Seite 293 bersicht ber
136. aben anstelle von Kategorien auf Klicken Sie auf Gruppe ndern Klicken Sie auf Suchen CA IdentityMinder zeigt eine Liste von Gruppen an Markieren Sie die H ndler Administratoren und klicken Sie auf Ausw hlen Klicken Sie auf die Registerkarte Mitgliedschaft und anschlie end auf die Option zum Hinzuf gen eines Benutzers Das Fenster Benutzer ausw hlen wird angezeigt Klicken Sie auf Suchen W hlen Sie im Benutzer Suchfenster den Benutzer den Sie unter Als neuen Benutzer registrieren siehe Seite 38 eingegeben haben Klicken Sie auf Ausw hlen Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 45 So werden zus tzliche Funktionen konfiguriert 8 Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage 9 Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren Um zu best tigen dass der Benutzer ein Mitglied der erstellten Gruppe ist verwenden Sie die Aufgabe zum Anzeigen von Gruppen So werden zus tzliche Funktionen konfiguriert Sobald Sie das NeteAuto Beispiel installiert und den Umgang mit der grundlegenden CA IdentityMinder Funktionalit t ge bt haben verwenden Sie die NeteAuto Umgebung um den Umgang mit zus tzlichen CA IdentityMinder Funktionen einschlie lich E Mail Benachrichtigungen und Workflow zu ben und diese zu testen Hinweis Weitere Informationen zu diesen Funktionen finden Sie im Administrationshandbuch Einschr nkung beim SiteMinder Anmelden
137. alias m Container managed Authentication Alias Containerverwalteter Authentifizierungsalias Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut So erstellen Sie ein CA IdentityMinder Verzeichnis Gehen Sie wie folgt vor 1 Wenn Sie SiteMinder verwenden wenden Sie das Richtlinienspeicherschema an bevor Sie ein CA IdentityMinder Verzeichnis erstellen Hinweis Weitere Informationen zu bestimmten Richtlinienspeicherschemen und deren Anwendung finden Sie im Installationshandbuch Wenn Sie SiteMinder verwenden erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder siehe Seite 115 Erstellen Sie eine Datenquelle f r die von CA IdentityMinder verwaltete Benutzerdatenbank Beschreiben Sie die Datenbank in CA IdentityMinder indem Sie die Verzeichniskonfigurationsdatei directory xml ndern Weitere Informationen hierzu finden Sie unter So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Importieren Sie in der Management Konsole die Verzeichniskonfigurationsdatei und erstellen Sie das Verzeichnis So erstellen Sie eine JDBC Datenquelle CA IdentityMinder erfordert eine JDBC Datenquelle auf dem Anwendungsserver
138. allieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf IIS 7 x Bevor Sie diesen Vorgang starten berpr fen Sie dass Sie eine Version 6 1 0 9 oder h her des Webserver Plug ins verwenden ltere Plug in Versionen unterst tzen das Windows Server 2008 Betriebssystem nicht Gehen Sie wie folgt vor 1 Installieren Sie IIS Version 7 x mit den Verwaltungskompatibilit tskomponenten von IIS Version 6 0 Die Verwaltungskompatibilit tskomponenten von IIS Version 6 0 werden nicht standardm ig installiert F hren Sie die folgenden Schritte aus um das Server Manager Fenster auf Windows Server 2008 aufzurufen 1 Klicken Sie auf Start Verwaltung Server Manager 2 Klicken Sie auf Aktion Rollen hinzuf gen und klicken Sie dann auf Weiter 3 W hlen Sie die Rolle f r Webserver IIS auf der Seite Serverrollen ausw hlen aus und klicken Sie dann auf Weiter 4 Klicken Sie auf Feature hinzuf gen Weiter wenn eine Aufforderung f r den Windows Prozessaktivierungsdienst angezeigt wird 5 Klicken Sie auf der IIS Einf hrungsseite auf Weiter Wenn das Fenster Rollendienste angezeigt wird stellen Sie sicher dass die folgenden Optionen zus tzlich zu den Standardoptionen die bereits ausgew hlt sind aktiviert werden m Internet Informationsdienste Verwaltungstools m IIS Version 6 0 Management Kompatibilit t IIS Version 6 0 Management Konsole IIS Version 6 0 Skriptingtool
139. alteten Objekts der Benutzer Beschreibt wie Benutzer im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Configure Group Managed Object Auf Gruppenebene verwaltetes Objekt konfigurieren Beschreibt wie Gruppen im Benutzerspeicher gespeichert werden und wie sie in CA IdentityMinder dargestellt werden Configure Organization Managed Object Auf Organisationsebene verwaltetes Objekt konfigurieren Wenn der Benutzerspeicher Organisationen einschlie t wird hier beschrieben wie Organisationen gespeichert und in CA IdentityMinder dargestellt werden Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen Gibt an dass alle verwalteten Objekte definiert wurden und Sie das Verzeichnis bereitstellen m chten Nachdem Sie Zusammenfassung anzeigen ausgew hlt haben und das Verzeichnis bereitstellen klicken Sie Weiter Sie gelangen dann zu einer bersichtsseite Schaltfl che Speichern Klicken Sie hier um Ihre xml Datei zu speichern Schaltfl che Zur ck Klicken Sie hier um zum Modifizieren zum Bildschirm Verbindungsdetails zur ckzukehren Schaltfl che Weiter Klicken Sie hier um mit dem Bildschirm Attribute ausw hlen fortzufahren W hlen Sie zum Konfigurieren den Benutzer die Gruppe oder die Organisationsattribute 164 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Bildschir
140. altung des LDAP Benutzerspeichers 69 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Nehmen Sie zum Beispiel an dass die prim re Objektklasse f r Benutzer top person und organizationalperson ist wodurch die folgenden Benutzerattribute definiert werden m allgemeiner Name cn m Zuname sn m Benutzer ID uid m Kennwort userPassword Um das Attribut employeelD einzuschlie en das in der Mitarbeiter Hilfsklasse definiert wird f gen Sie die folgende Attributbeschreibung hinzu lt ImsManagedObjectAttr physicalname employeeID displayname Employee ID description Employee ID valuetype String required true multivalued false maxlength 0 objectclass Employee gt Geben Sie Attributbeschreibungen an Das Beschreiben von Attributen beinhaltet die folgenden Schritte 1 Lesen Sie die zugeh rigen Abschnitte zu den folgenden Themen m CA Directory berlegungen siehe Seite 77 m Microsoft Active Directory berlegungen siehe Seite 78 m BM Verzeichnisserver berlegungen siehe Seite 78 m Oracle Internet Directory berlegungen siehe Seite 79 2 F hren Sie in den Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei die folgenden Aktionen durch m ndern Sie die Standardattributbeschreibungen um Ihre Verzeichnisattribute zu beschreiben m Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhan
141. amen f r globalen Benutzernamen Folgende Zeichen oder Zeichenfolgen darf ein globaler Benutzername nicht enthalten wenn der Benutzer sich auf dem SiteMinder Richtlinienserver anmelden k nnen soll amp 0 Behelfsl sung Vermeiden Sie die Verwendung dieser Zeichen im globalen Benutzernamen 46 Konfigurationshandbuch Kapitel 3 Verwaltung des LDAP Benutzerspeichers Dieses Kapitel enth lt folgende Themen CA IdentityMinder Verzeichnisse siehe Seite 47 So erstellen Sie ein CA IdentityMinder Verzeichnis siehe Seite 48 Verzeichnisstruktur siehe Seite 48 Verzeichniskonfigurationsdatei siehe Seite 50 So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus siehe Seite 51 So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben siehe Seite 53 Verbindung zum Benutzerverzeichnis siehe Seite 54 Verzeichnissuchparameter siehe Seite 58 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte siehe Seite 60 Bekannte Attribute f r einen LDAP Benutzerspeicher siehe Seite 79 Beschreiben der Benutzerverzeichnisstruktur siehe Seite 87 So konfigurieren Sie Gruppen siehe Seite 88 Validierungsregeln siehe Seite 91 Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses siehe Seite 92 So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 96 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis beschreibt wie Obj
142. anmelden Um den ordnungsgem en Schutz zu validieren berpr fen Sie Ihre SiteMinder Agentenprotokolle Kapitel 12 Integration von CA SiteMinder 343 Fehlerbehebung Fehler beim Laden der Umgebungen Symptom Wenn man eine Umgebung nach der Integration mit SiteMinder zur ck in CA IdentityMinder importiert wird ein Fehler bez glich des Attributs requireadminpassword und des Elements WebService angezeigt Hinweis Dieses Problem kann auch auftreten wenn SiteMinder nicht Teil der Bereitstellung ist CA Management Console Home gt Environments gt Import Environment Environment Import Output Deploying environment configuration Error 187 128 cvc complex type 3 2 2 Attribute requireadminpassword is not allowed to appear in element WebService null ee 1 error s 0 warning s L sung Dieser Fehler erlaubt eine teilweise Bereitstellung der Umgebung Die teilweise Bereitstellung kann leere Elemente im CA IdentityMinder Objektspeicher erstellen Korrigieren Sie eine der Umgebungs XMLs und importieren Sie erneut Gehen Sie wie folgt vor 1 Suchen Sie die archivierte ZIP Datei und berpr fen Sie sie 2 Erstellen Sie eine Kopie von XXX_environment_settings xml 3 Bearbeiten Sie diese Datei und suchen Sie das WebService Element 4 L schen Sie den Tag requireadminpassword false Hinweis Entfernen Sie den Tag und den Wert Entfernen Sie nicht nur den Wert 5 Speichern Sie Ihre nderun
143. ann die Einstellungen in jeder Umgebung nach Bedarf an m Sie migrieren eine Umgebung aus einem Entwicklungssystem in ein Produktionssystem m Sie aktualisieren eine vorhandene Umgebung nachdem Sie ein Upgrade auf eine neue Version von CA IdentityMinder durchgef hrt haben 216 Konfigurationshandbuch Verwalten von Umgebungen Exportieren einer CA IdentityMinder Umgebung Um eine CA IdentityMinder Umgebung auf einem Produktionssystem bereitzustellen exportieren Sie die Umgebung aus einem Entwicklungs oder Staging System und importieren Sie sie in das Produktionssystem Hinweis Wenn Sie eine zuvor exportierte Umgebung importieren zeigt CA IdentityMinder ein Protokoll in einem Statusfenster in der Management Konsole an Um Validierungs und Bereitstellungsinformationen f r jedes verwaltete Objekt und seine Attribute in diesem Protokoll anzuzeigen w hlen Sie das Feld Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren auf der Seite Environment Properties Umgebungseigenschaften aus bevor Sie die Umgebung exportieren Die Auswahl des Felds Enable Verbose Log Output kann betr chtliche Leistungsprobleme beim Importieren verursachen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 W hlen Sie die Umgebung aus die Sie exportieren m chten 3
144. apitel 12 Integration von CA SiteMinder 305 Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Der Richtlinienadministrator importiert das CA IdentityMinder Schema in den Richtlinienspeicher Durch diese Aufgabe kann CA IdentityMinder Richtlinienobjekte erstellen aktualisieren und l schen Beispiele hierf r sind Verzeichnisobjekte Dom nen Bereiche Regeln Richtlinien und die Richtlinienobjekte die Zugriffsrollen und aufgaben aktivieren Gehen Sie wie folgt vor 1 2 Beenden Sie auf dem SiteMinder Richtlinienserver den Richtlinienserverdienst F hren Sie das CA IdentityMinder Installationsprogramm f r die Version aus die Sie verwenden Wenn Sie gefragt werden welche Komponenten Sie installieren m chten w hlen Sie die Erweiterungen f r SiteMinder aus wenn SiteMinder lokal installiert ist Stellen Sie sicher dass der Richtlinienserverdienst neu gestartet wurde bevor Sie fortfahren Erstellen eines SiteMinder 4 X Agentenobjekts Der Richtlinienadministrator erstellt einen SiteMinder 4 x Web Agenten Diese Aufgabe erm glicht die Kommunikation zwischen SiteMinder und CA IdentityMinder Der Identit tsadministrator bezieht sich w hrend der CA IdentityMinder Konfiguration auf diesen Agenten Gehen Sie wie folgt vor 1 306 Konfigurationshandbuch Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Die entspr
145. ar policyserver_rar META INF 2 Konfigurieren Sie die Einstellungen wie folgt ConnectionMax Legt die H chstanzahl von Verbindungen zum Richtlinienserver fest zum Beispiel 20 346 Konfigurationshandbuch Konfigurieren der SiteMinder Hochverf gbarkeit ConnectionMin Legt die Mindestanzahl von Verbindungen zum Richtlinienserver fest zum Beispiel 2 ConnectionStep Legt die Anzahl von zus tzlichen Verbindungen fest die ge ffnet werden wenn alle Agent Verbindungen verwendet werden ConnectionTimeout Gibt den Zeitbetrag in Sekunden an die der Agent auf die Verbindung mit SiteMinder warten muss bevor eine Zeit berschreitung eintritt 3 Starten Sie den Anwendungsserver neu Konfigurieren der SiteMinder Hochverf gbarkeit Wenn Sie einen SiteMinder Richtlinienserver Cluster erstellt haben k nnen Sie einen Anwendungsserver Cluster konfigurieren um ihn f r Lastenausgleich und Failover zu verwenden Gehen Sie wie folgt vor 1 Bearbeiten Sie die Datei ra xml an diesem Speicherort WebSphere WAS_PROFILE config cells CELL NAME applications iam im ear deployments Identi tyMinder policyserver _rar META INF Jboss jboss_home server all deploy iam im ear policyserver_rar META INF WebLogic wl_domain applications iam im ear policyserver_rar META INF 2 ndern Sie diese Elemente die in den nachfolgenden Abschnitten erkl rt werden m Verbindungseinstellungen f r den Richtlinienserver m Die Anzahl von Richtlinienser
146. asterverzeichnis erstellt und zus tzlich im Slaveverzeichnis repliziert W hrend des Replikationsprozesses kann es zu Verz gerungen kommen durch die der Erstellungsvorgang in CA IdentityMinder fehlschl gt Um dieses Problem zu vermeiden k nnen Sie in der Eigenschaft REPLICATION_WAIT_TIME die Wartezeit in Sekunden angeben bevor CA IdentityMinder das Zeitlimit berschreitet 94 Konfigurationshandbuch Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml das ImsManagedObject Element das das Benutzerobjekt beschreibt 2 F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name REPLICATION WAIT TIME description time delay in seconds for LDAP provider to allow replication to propagate from master to slave gt lt Property name REPLICATION WAIT_TIME gt lt time in seconds gt lt Property gt lt PropertyDict gt Hinweis Das PropertyDict Element muss das letzte Element im ImsManagedObject Element sein wie im folgenden Beispiel dargestellt lt ImsManagedObject name User description My Users objectclass top person organizationalperson inetorgperson customClass objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name REPLICATIO
147. atei directory xml im entsprechenden Vorlagenverzeichnis Die Verzeichniskonfigurationsdatei weist die folgenden wichtigen Konventionen auf m Kennzeichnet erforderliche Werte Um s mtliche erforderlichen Information anzugeben m ssen Sie alle doppelten Rautenzeichen ausfindig machen und diese durch entsprechende Werte ersetzen Beispiel DISABLED_STATE zeigt an dass Sie ein Attribut bereitstellen m ssen um den Kontostatus eines Benutzers zu speichern m Kennzeichnet Werte die von CA IdentityMinder ausgef llt werden Diese Werte d rfen in der Verzeichniskonfigurationsdatei nicht ge ndert werden CA IdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf diese Werte anzugeben Bevor Sie die Verzeichniskonfigurationsdatei ndern ben tigen Sie die folgenden Informationen m LDAP Objektklassen f r die Benutzer Gruppen und Organisationsobjekte m Liste von Attributen in Benutzer Gruppen und Organisationsprofilen So wird die Verzeichniskonfigurationsdatei ge ndert F hren Sie die folgenden Schritte aus um die Verzeichniskonfigurationsdatei zu ndern Hinweis Schritte die erforderlich sind werden entsprechend aufgef hrt 1 Begrenzen Sie den Umfang der Suchergebnisse siehe Seite 58 2 ndern Sie die durch Standardbenutzer Organisation oder Gruppe verwalteten Objekte Kapitel 3 Verwaltung des LDAP Benutzerspeichers 53 Verbindung zum Benutzerverzeichnis 3 ndern Si
148. atei in ein anderes Verzeichnis importieren um die gleichen Einstellungen f r dieses Verzeichnis zu konfigurieren Exportieren von CA IdentityMinder Verzeichnissen F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis zu exportieren Gehen Sie wie folgt vor 1 Klicken Sie auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 2 Klicken Sie auf den Namen des zu exportierenden Verzeichnisses Die Eigenschaften f r das CA IdentityMinder Verzeichnisfenster werden angezeigt 3 Klicken Sie unten im Eigenschaftsfenster auf Export 4 Wenn Sie aufgefordert werden speichern Sie die XML Datei Kapitel 5 CA IdentityMinder Verzeichnisse 187 Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis Aktualisieren von CA IdentityMinder Verzeichnissen Der Zweck der Aktualisierung eines CA IdentityMinder Verzeichnisses ist m Hinzuf gen oder ndern von verwalteten Objektdefinitionen einschlie lich der Attribute eines Objekts m Festlegen von Suchparametern m ndern der Verzeichniseigenschaften Hinweis CA IdentityMinder l scht keine Objekt oder Attributdefinitionen Die Verzeichniskonfigurationsdatei darf nur die nderungen enthalten die Sie vornehmen wollen Sie sollten keine Eigenschaften oder Attribute einschlie en die bereits definiert sind Hinweis Wenn Sie einen Cluster von CA IdentityMinder Knoten haben kann nur ein CA IdentityMinder Kn
149. atesmneauerswitne gt lt CONIIg property name gt lt config property type gt java lang String lt config property type gt lt config property value gt true lt config property value gt lt config property gt lt config property gt lt config property name gt Enabled lt config property name gt lt config property type gt java lang String lt config property type gt true lt config property value gt lt config property gt lt Set FIPS Mode to true if SiteMinder is in FIPS Only Mode gt lt config property gt lt config property name gt FIPSMode lt config property name gt Suchen Sie die ConnectionURL Eigenschaft und geben Sie den Hostnamen des SiteMinder Richtlinienservers an Verwenden Sie einen vollqualifizierten Dom nennamen FQDN Suchen Sie die UserName Eigenschaft und geben Sie das f r die Kommunikation mit SiteMinder zu verwendende Konto an SiteMinder ist der Standardwert f r dieses Konto Suchen Sie die AdminSecret Eigenschaft Geben Sie das verschl sselte Kennwort an Kopieren Sie das Kennwort aus der Datei directory xml die Sie exportiert haben und f gen Sie es in ra xml ein Wenn Sie nicht sicher sind ob Sie ein gebr uchliches Kennwort haben verschl sseln Sie Ihr Kennwort mithilfe des CA IdentityMinder Kennwort Tools F gen Sie das verschl sselte Kennwort in die Datei ra xml ein Geben Sie den A x Agentennamen an den der Richtlinienadministrator w hrend der SiteMinder Konfiguration
150. ation im Parameter org an org Definiert die eindeutige Kennung der Organisation in der CA IdentityMinder nach selbstabonnierenden Gruppen sucht Hinweis Stellen Sie sicher dass Sie den Parameter org angeben wenn type SPECIFICORG festgelegt ist 3 Starten Sie den SiteMinder Richtlinienserver neu wenn Sie eines der folgenden Elemente ge ndert haben m Den Parameter type in oder von SPECIFICORG m Den Wert des Parameters org Nachdem Sie die Unterst tzung f r selbstabonnierende Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche Gruppen in der Benutzerkonsole selbstabonnierend sind Wenn sich ein Benutzer anmeldet sucht CA IdentityMinder nach Gruppen in den angegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppen an 150 Konfigurationshandbuch Validierungsregeln Validierundsregeln Eine Validierungsregel setzt Anforderungen an Daten durch die ein Benutzer in ein Feld des Aufgabenfensters eingibt Die Anforderungen k nnen einen Datentyp oder ein Format durchsetzen oder sicherstellen dass die Daten im Kontext der anderen Daten im Aufgabenfenster g ltig sind Validierungsregeln sind Profilattributen zugeordnet Bevor eine Aufgabe verarbeitet wird stellt CA IdentityMinder sicher dass die f r ein Profilattribut eingegebenen Daten alle zugeordneten Validierungsregeln erf llen Sie k nnen Validierungsregeln defini
151. ator die Verzeichnis und Umgebungsdefinitionen mithilfe der CA IdentityMinder Management Konsole Gehen Sie wie folgt vor 1 ffnen Sie die CA IdentityMinder Management Konsole 2 Klicken Sie auf Umgebungen 3 W hlen Sie die erste Umgebung aus 4 Klicken Sie auf L schen 5 Wiederholen Sie diesen Prozess f r jede Ihrer verbleibenden Umgebungen Hinweis L schen Sie die Umgebungen bevor Sie Ihre Verzeichnisse l schen weil die Umgebungen sich auf die Verzeichnisse beziehen 6 Navigieren Sie zur ck zum Abschnitt der Verzeichnisse 7 W hlen Sie alle aufgelisteten Verzeichnisse aus 8 Klicken Sie auf L schen Kapitel 12 Integration von CA SiteMinder 309 Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters Der Identit tsadministrator aktiviert den SiteMinder Richtlinienserver Ressourcenadapter Der Zweck des Adapters ist den SMSESSION Cookie zu validieren Nach der Validierung erstellt SiteMinder den Benutzerkontext Gehen Sie wie folgt vor 1 310 Konfigurationshandbuch Navigieren Sie zum Ordner policysever rar META INF in iam_im ear auf dem Anwendungsserver der CA IdentityMinder ausf hrt ffnen Sie die Datei ra xml in einem Editor Suchen Sie nach config property Enabled und ndern Sie dann den Wert von config property zu true wie im folgenden Beispiel gezeigt lt SCONIIG PLOperty name gt vaL ga
152. au an wie er in der Richtlinienserver Benutzeroberfl che angezeigt wird Beschreibung Optional Beschreibt das CA IdentityMinder Verzeichnis Host Gibt den Hostnamen oder die IP Adresse des Servers an auf dem das Benutzerverzeichnis installiert ist Port Gibt die Portnummer des Benutzerverzeichnisses an Kapitel 5 CA IdentityMinder Verzeichnisse 175 Aktivieren von Bereitstellungsserver Zugriff 176 Konfigurationshandbuch Dom ne Gibt den Namen der Bereitstellungsdom ne an die CA IdentityMinder verwaltet Wichtig Wenn Sie ein Bereitstellungsverzeichnis ber die Management Konsole mit fremdsprachigen Zeichen als Dom nenname erstellen schl gt die Bereitstellungsverzeichnis Erstellung fehl Der Name muss mit dem Namen der Bereitstellungsdom ne bereinstimmen den Sie w hrend Installation angaben Hinweis Der Dom nenname ber cksichtigt Gro und Kleinschreibung Benutzername Gibt einen Benutzer an der sich beim Bereitstellungsmanager anmelden kann Der Benutzer muss das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen f r die Bereitstellungsdom ne haben Kennwort Gibt das Kennwort f r den globalen Benutzer an den Sie im Feld Benutzername angegeben haben Kennwort best tigen Geben Sie das in das Feld Kennwort eingegebene Kennwort erneut zur Best tigung ein Sichere Verbindung Zeigt an ob CA IdentityMinder eine sichere Verbindung verwendet W hlen Sie diese
153. auf dem CA IdentityMinder installiert ist um eine Verbindung zum Benutzerspeicher herstellen zu k nnen Die Anweisungen zum Erstellen einer Datenquelle unterscheiden sich je nach Anwendungsserver Kapitel 4 Verwaltung relationaler Datenbanken 107 So erstellen Sie eine JDBC Datenquelle Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver Gehen Sie wie folgt vor 1 Erstellen Sie eine Kopie der folgenden Datei jboss_home server default deploy objectstore ds xml jboss home Das Installationsverzeichnis des JBoss Anwendungsservers auf dem CA IdentityMinder installiert ist Die neue Datei muss sich im gleichen Verzeichnis befinden 2 Benennen Sie die Datei in userstore ds xml um 3 Bearbeiten Sie die Datei userstore ds xml wie folgt a Suchen Sie das lt jndi name gt Element b ndern Sie wie folgt den Wert des lt jndi name gt Elements von idbc objectstore in userstore lt jndi name gt userstore lt jndi name gt c ndern Sie wie folgt im lt connection url gt Element den Parameter DatabaseName in den Namen der Datenbank die als Benutzerspeicher dient lt connection url gt jdbc salserver ipaddress port selectMethod cursor DatabaseName userstore _name lt connection url gt ipaddress Gibt die IP Adresse des Rechners an auf dem der Benutzerspeicher installiert ist port Gibt die Portnummer f r die Datenbank an userstore_name Gibt den Namen der Datenbank an die als Benutzerspei
154. auf einen Richtlinienserver Wenn Sie einen Cluster von CA IdentityMinder Knoten haben beenden Sie alle bis auf einen CA IdentityMinder Knoten Klicken Sie in der Managementkonsole auf Umgebungen Klicken Sie auf Neu Der CA IdentityMinder Umgebungs Assistent wird ge ffnet Geben Sie die folgenden Informationen an m Umgebungs Name Gibt einen eindeutigen Namen f r die Umgebung an m Beschreibung Beschreibt die Umgebung m Protected Alias Gesch tzter Alias Gibt einen eindeutigen Namen zum Beispiel Mitarbeiter an Dieser Alias wird der URL f r den Zugriff auf gesch tzte Aufgaben in der CA IdentityMinder Umgebung hinzugef gt Wenn dieser Alias zum Beispiel employees ist lautet die URL f r den Zugriff auf die Mitarbeiterumgebung http myserver mycompany com iam im employees Hinweis F r den Alias wird die Gro Kleinschreibung ber cksichtigt und er darf keine Leerzeichen enthalten Es wird empfohlen f r den Alias Kleinbuchstaben und keine Satzzeichen oder Leerzeichen zu verwenden m Base URL Basis DN Gibt die URL f r CA IdentityMinder an Die URL erfordert einen Hostnamen localhost ist nicht zul ssig Schlie en Sie auch nicht den Alias ein zum Beispiel http myserver mycompany com iam im Wenn Sie einen Web Agenten verwenden vergewissern Sie sich dass die Basis URL ge ndert wurde und die URL des Web Agenten widerspiegelt Hinweis Wenn Sie einen Web Agenten verwenden um CA IdentityMinder Ressource
155. befindet sich nur noch die ausf hrbare Weblogic Datei in der Liste Hinweis Wenn die ausf hrbare Datei des SiteMinder Agent nach der ausf hrbaren Weblogic Datei angezeigt wird dann verschieben Sie den SiteMinder Agenten mithilfe des Pfeils Nach oben Klicken Sie auf Anwendungspools und ndern Sie den Standardanwendungspool zu klassischem Modus Das Weblogic Plug in ist konfiguriert Kapitel 12 Integration von CA SiteMinder 329 Installieren des Web Proxyserver Plug ins Konfigurieren des IIS 6 0 Proxy Plug ins Diese Vorgehensweise bezieht sich auf Konfigurationen des WebLogic Proxy Plug ins f r IIS 6 0 x Gehen Sie wie folgt vor 1 Erstellen Sie einen Ordner auf dem System wo der Web Agent installiert ist Beispiel c weblogic_proxy Melden Sie sich beim System an wo der CA IdentityMinder Server ausgef hrt wird Wechseln Sie zu diesem Ordner Weblogic_Home wlserver_11 server plugin Kopieren Sie die folgenden Dateien zu dem in Schritt 1 erstellten Weblogic Proxy Ordner m iisforward dll m iisproxy dil Erstellen Sie eine Datei namens iisproxy ini im gleichen Ordner und geben Sie den folgenden Inhalt ein This file contains initialization name value pairs for the IIS WebLogic plug in WebLogicHost host name WebLogicPort 7001 ConnectTimeoutSecs 20 ConnectRetrySecs 2 WLForwardPath castylesr5 1 1 iam im WLLogFile c weblogic_proxy proxy log DebugConfigInfo 0N Ersetzen Sie host nam
156. berpr fung siehe Seite 235 Business Logic Task Handler siehe Seite 236 Ereignisliste siehe Seite 237 E Mail Benachrichtigungen siehe Seite 238 Ereignis Listener siehe Seite 238 Identit tsrichtlinien siehe Seite 239 Logical Attribute Handler siehe Seite 239 Sonstiges siehe Seite 240 Benachrichtigungsregeln siehe Seite 241 Organisationsauswahl siehe Seite 241 Bereitstellung siehe Seite 242 Benutzerkonsole siehe Seite 245 Webservices siehe Seite 247 Workflow Properties Workflow Eigenschaften siehe Seite 248 Work Item Delegation Arbeitselement delegieren siehe Seite 248 Workflow Participant Resolvers Workflow Teilnehmer Resolver siehe Seite 249 Importieren Exportieren von benutzerdefinierten Einstellungen siehe Seite 249 Fehler wegen unzureichendem Speicher in Java Virtual Machine siehe Seite 250 In berpr fungsprotokollen werden Datens tze f r die in einer CA IdentityMinder Umgebung ausgef hrten Vorg nge aufgezeichnet Sie k nnen die Daten in den berpr fungsprotokollen nutzen um die Systemaktivit t zu berwachen CA IdentityMinder berpr ft Ereignisse Ein Ereignis ist ein Vorgang der von einer CA IdentityMinder Aufgabe generiert wird Eine Aufgabe kann mehrere Ereignisse generieren Zum Beispiel kann die CreateUser Aufgabe die Ereignisse CreateUserEvent und AddToGroupEvent generieren Kapitel 7 Erweiterte Einstellungen 235 Business Logic Task Handler Sta
157. bnetnscherennelwbetsnkeremeit teibeintentherkeinnhernehene Falscher geheimer Admin Schl ssel u u0000022222200000nnnessnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnennnn Falscher Agentenname 022220020000000000000n000n0n00nnnnnnnnnnnnnnnnnnnunnnnnnannnnnnnnnnnnnnnnnnnnunnennnnnnnnnsnnennnnnnnnsnsnnennnnnnnne Falscher geheimer Agentenschl ssel uuseeseeseesssnnneeunnnesennnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnsnnnnnnnnnnnnnnnnnn Kein Benutzerkontext in CA IdentityMinder uusss0s0s2ssssnssenennnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnn Fehler beim Laden der Umgebungen iissa r dibaid danar ieai aeti iiaeia i CA IdentityMinder Verzeichnis oder Umgebung kann nicht erstellt werden Benutzer kann sich nicht anmelden uuss0ss0nsessnensnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnsnnnnnnnsnensnnnnannsnssnnnnsnsnonsnsnnnn So konfigurieren Sie CA IdentityMinder Agent Einstellungen zuuss0002222220snnnonnnnennnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnn Konfigurieren der SiteMinder Hochverf gbarkeit useeesesesssennneennensnsnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn ndern der Richtlinienserver Verbindungseinstellungen Hinzuf gen von mehreren Richtlinienservern Ausw hlen von Lastenausgleich oder Failover uuezzuesssseeeennssssnnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnsnsnnsennnn Entferne
158. ce fn wl proxy WebLogicHost hostname WebLogicPort portnumber PathTrim weblogic lt Object gt wobei Hostname der Servername und die Dom ne des Systems ist wo Sie WebLogic installiert haben und portnumber der WebLogic Port ist Standard ist 7001 Sie k nnen mehr als einen Object Eintrag haben Beispiel lt Object name idm ppath iam gt gt Service fn wl proxy WebLogicHost MyServer MyCompany com WebLogicPort 7001 PathTrim weblogic lt Object name weblogic1 ppath console gt Service fn wl proxy WebLogicHost MyServer MyCompany com WebLogicPort 7001 PathTrim weblogic lt Object gt 4 Speichern Sie die iPlanet Konfigurationsdatei 5 Starten Sie Ihre Webserver Instanz neu Kapitel 12 Integration von CA SiteMinder 333 Installieren des Web Proxyserver Plug ins Konfigurieren des Proxy Plug ins f r Apache Das Konfigurieren des Apache Proxy Plug ins bearbeiten Sie die Datei http conf Gehen Sie wie folgt vor 1 334 Konfigurationshandbuch Halten Sie den Apache Webserver an nachdem Sie einen Web Agenten unter Solaris installiert haben und kopieren Sie die Datei mod_wl_20 s0 vom folgenden Speicherort weblogic_home server lib solaris in apache_home modules Bearbeiten Sie die Datei http conf unter apache_home conf und nehmen Sie die folgenden nderungen vor a F gen Sie unter dem Lademodulabschnitt den folgenden Code hinzu LoadModule weblogic
159. ch unter der Liste befindet Ein roter durchgestrichener Kreis wird links von den ausgeschlossenen Rollen angezeigt 6 Klicken Sie auf OK um die nderungen zu speichern und zum Dialogfeld der SiteMinder Richtlinie zur ckzukehren Konfigurieren des LogOff URI Um eine CA IdentityMinder Umgebung zu sch tzen konfigurieren Sie den SiteMinder Web Agenten der die Umgebung sch tzt sodass die Benutzersitzung beendet wird nachdem der Benutzer sich bei CA IdentityMinder abgemeldet hat Der Web Agent beendet eine Benutzersitzung indem er die SiteMinder Sitzungs und Authentifizierungs Cookies aus dem Webbrowser l scht und den Richtlinienserver beauftragt Sitzungsinformationen zu entfernen 368 Konfigurationshandbuch SiteMinder Vorg nge Um die SiteMinder Sitzung zu beenden konfigurieren Sie die Abmeldefunktionalit t im LogOffURI Feld im Agent Konfigurationsobjekt f r den SiteMinder Agenten der die CA IdentityMinder Umgebung sch tzt Hinweise Ein SiteMinder Agent hat ein LogOff URI Alle vom Agenten gesch tzten Anwendungen verwenden die gleiche Abmeldeseite Wenn Sie benutzerdefinierte Abmeldeseiten in der Management Konsole wie im Abschnitt zum Konfigurieren von benutzerdefinierten Abmeldeseiten beschrieben konfigurieren sendet CA IdentityMinder die Abmeldeanfrage an die benutzerdefinierte Abmeldeseite und den LogOff URI Allerdings zeigt CA IdentityMinder dem Benutzer nur die benutzerdefinierte Abmeldeseite an G
160. chen In CA IdentityMinder wird eine Best tigungsmeldung angezeigt 3 Klicken Sie auf OK um den L schvorgang zu best tigen Kapitel 6 CA IdentityMinder Umgebungen 219 Verwalten von Konfigurationen Verwalten von Konfigurationen Config Xpress ist ein Tool das mit CA IdentityMinder bereitgestellt wird Sie k nnen dieses Tool verwenden um die Konfigurationen Ihrer CA IdentityMinder Umgebungen zu analysieren und um mit diesen Konfigurationen zu arbeiten Vor allem k nnen Sie mit dem Tool Komponenten zwischen Umgebungen verschieben Config Xpress entdeckt automatisch andere erforderliche Komponenten und fordert Sie dazu auf diese auch zu verschieben Dies kann Ihnen Arbeit ersparen und das Risiko von Problemen reduzieren Config Xpress Tool N N omponente Bericht XML anzeigen ver ffentlichen PDF Umgebung laden z gt ol a N Baseline n Umgebungsdateien m i mit Config Xpress Umgebungsdatei bereitgestellt Zwei Umgebungen vergleichen Komponenten zwischen zwei Umgebungen verschieben Gehen Sie wie folgt vor 1 Richten Sie Config Xpress ein siehe Seite 221 2 Um das Tool verwenden zu k nnen laden Sie eine CA IdentityMinder Umgebung siehe Seite 222 in Config Xpress um sie zu analysieren 3 Verwenden Sie Config Xpress um diese Aufgaben f r die geladene Umgebung auszuf hren m Verschieben Sie Komponenten zwischen Umgebungen siehe Seite 224 m Ver ffentlichen Sie einen PDF Bericht
161. cher dient 108 Konfigurationshandbuch So erstellen Sie eine JDBC Datenquelle F hren Sie die folgenden Schritte aus wenn Sie einen JBoss Sicherheitsbereich erstellen m chten was zur Unterst tzung von FIPS erforderlich ist a Benennen Sie die Sicherheitsdom ne in lt security domain gt imuserstoredb lt security domain gt um b Speichern Sie die Datei c berspringen Sie die restlichen Schritte F hren Sie statt dessen die Schritte unter Verwenden eines JBoss Sicherheitsbereichs f r die JDBC Datenquelle siehe Seite 110 aus Nehmen Sie die folgenden zus tzlichen nderungen an der Datei userstore ds xml vor a ndern Sie den Wert des lt user name gt Elements in den Benutzernamen f r ein Konto das Lese und Schreibzugriff auf den Benutzerspeicher hat b ndern Sie den Wert des lt password gt Elements in das Kennwort f r das im lt user name gt Element angegebene Konto Hinweis Der Benutzername und das Kennwort werden in dieser Datei unverschl sselt angezeigt Sie k nnen daher auch einen JBoss Sicherheitsbereich erstellen anstatt die Datei userstore ds xml zu bearbeiten Speichern Sie die Datei Kapitel 4 Verwaltung relationaler Datenbanken 109 So erstellen Sie eine JDBC Datenquelle Verwenden eines JBoss Sicherheitsbereichs f r die JDBC Datenquelle Stellen Sie sicher dass Sie eine JDBC Datenquelle auf einem JBoss Anwendungsserver erstellen Sie k nnen die Datenquelle so konfigurier
162. chnis Gibt das CA IdentityMinder Verzeichnis an dem die Umgebung zugeordnet ist Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren Steuert wie viele Informationen CA IdentityMinder im Umgebungsprotokoll aufzeichnet und anzeigt wenn Sie eine Umgebung importieren Das Umgebungsprotokoll wird im Statusfenster in der Management Konsole angezeigt wenn Sie eine Umgebung oder andere Objektdefinitionen aus einer Datei importieren Hinweis Wenn Sie dieses Kontrollk stchen aktivieren kann sich dies betr chtlich auf die Leistung auswirken Das ausf hrliche Protokoll schlie t Validierungs und Bereitstellungsmeldungen f r jedes Objekt Aufgabe Fenster Rolle und Richtlinie und die zugeh rigen Attribute in der Umgebung ein Um das ausf hrliche Protokoll anzuzeigen aktivieren Sie dieses Kontrollk stchen und speichern Sie die Umgebungseigenschaften Wenn Sie Rollen oder andere Einstellungen aus einer Datei importieren werden die zus tzlichen Informationen im Protokoll angezeigt Bereitstellungsserver Gibt das Bereitstellungsverzeichnis an das als Benutzerspeicher f r die Bereitstellung verwendet wird Klicken Sie auf die Schaltfl che mit dem Rechtspfeil um das Bereitstellungsverzeichnis auf der Seite Provisioning Properties Bereitstellungseigenschaften zu konfigurieren Version Definiert die Versionsnummer von CA IdentityMinder Base URL Basis DN Gibt den Teil der CA IdentityMinder U
163. chniseigenschaften Search Page Size Suchseiten Gr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Der Benutzerspeicher den CA IdentityMinder verwaltet muss Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch Supports Paging Unterst tzt Paging Zeigt an dass das Verzeichnis Paging unterst tzt Search Timeout Such Zeitlimit nur f r LDAP Verzeichnisse Gibt die maximale Anzahl von Sekunden die CA IdentityMinder einen Benutzerspeicher durchsucht bevor es die Suche beendet Provisioning Domain Bereitstellungsdom ne nur f r Bereitstellungsserververzeichnisse Bereitstellungsdom ne die CA IdentityMinder verwaltet Fenster CA IdentityMinder Directory Properties Verzeichniseigenschaften Im Eigenschaftsfenster werden allgemeine Informationen ber das von Ihnen ausgew hlte CA IdentityMinder Verzeichnis angezeigt Das Fenster Directory Properties ist in die folgenden Abschnitte auf geteilt Directory Properties Zeigt grundlegende Eigenschaften f r das CA IdentityMinder Verzeichnis einschlie lich der zugeordneten Bereitstellungsdom ne an wenn Bereitstellung f r die Umgebung aktiviert ist Managed Objects Verwaltet
164. chnisses Bevor Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie folgende Schritte durchf hren m Halten Sie alle au er einen CA IdentityMinder Knoten an bevor Sie ein CA IdentityMinder Verzeichnis erstellen oder ndern Hinweis Wenn Sie einen Cluster von CA IdentityMinder Knoten haben kann nur ein CA IdentityMinder Knoten aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen m Halten Sie alle au er einen Richtlinienserver an bevor Sie CA IdentityMinder Verzeichnisse erstellen oder aktualisieren Hinweis Wenn Sie einen Cluster von SiteMinder Richtlinienservern haben kann nur ein SiteMinder Richtlinienserver aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen Kapitel 5 CA IdentityMinder Verzeichnisse 157 So erstellen Sie ein Verzeichnis So erstellen Sie ein Verzeichnis In der Management Konsole erstellen Sie ein CA IdentityMinder Verzeichnis das Struktur und Inhalt des Benutzerspeicher beschreibt und das Bereitstellungsverzeichnis das erforderliche Informationen f r den Bereitstellungsserver speichert Diese Verzeichnisse werden zur CA IdentityMinder Umgebung zugeordnet Sie k nnen eine der folgenden Methoden verwenden um Verzeichnisse zu erstellen m Verwenden des Assistenten f r Verzeichniskonfiguration Leitet Administratoren durch den Prozess ein Verzeichnis f r ihren Benutzerspeicher zu erstellen Diese Methode hilft dabei m gliche Konfigurationsfehler
165. chtigungen zu liefern ordnet ein SiteMinder Administrator eine Regel in der Richtlinie der Anwendung paarweise mit einer Antwort an Die Antwort enth lt ein SiteMinder generiertes Antwortattribut das Berechtigungsinformationen aus Identity Manager abruft Wenn SiteMinder ein Rollenmitglied f r eine gesch tzte Ressource genehmigt finden die folgenden Ereignisse statt 1 Die Regel der Richtlinie wird in SiteMinder ausgef hrt und l st die gepaarte Antwort aus 2 Der Richtlinienserver erh lt Berechtigungsinformationen von Identity Manager zum Einschlie en in eine Antwort 3 Der Richtlinienserver bergibt das Antwortattribut an den Web Agenten 4 Der Web Agent macht die Berechtigungsinformationen f r die Anwendung als HTTP Header Variable oder als Cookie verf gbar SiteMinder generierte Antwortattribute Identity Manager bergibt Berechtigungsinformationen durch Antworten von SiteMinder Web Agent an Anwendungen Diese Antworten enthalten HTTP Header Variablen in Antwortattributen die von der Anwendung verwendet werden k nnen um die Zugriffsberechtigungen eines Benutzers zu bestimmen Antworten sind in SiteMinder Richtlinien eingeschlossen die entscheiden wie Benutzer mit einer gesch tzten Ressource interagieren SiteMinder Administratoren k nnen eine Antwort konfigurieren die zwei Typen von Antwortattributen einschlie t um einer Anwendung Informationen zu bergeben m SM _USER_APPLICATION_ROLES Anwendungs ID
166. d Dateinamen der Verzeichnis XML Datei f r das Konfigurieren des Bereitstellungsverzeichnisses ein Es wird unter directoryTemplates ProvisioningServer im Ordner Verwaltung gespeichert Der Standardspeicherort dieses Ordners ist m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager IAM_Suite Identity_Manager tools Hinweis Sie k nnen diese Verzeichniskonfigurationsdatei wie installiert ohne nderungen verwenden Klicken Sie auf Weiter Geben Sie Werte f r die Felder in diesem Fenster folgenderma en an Name Ist ein Name f r das Bereitstellungsverzeichnis das dem Bereitstellungsserver zugeordnet wird den Sie konfigurieren m Wenn CA IdentityMinder nicht in SiteMinder integriert ist geben Sie einen aussagekr ftigen Namen f r das Objekt an das CA IdentityMinder verwendet um mit dem Benutzerverzeichnis Verbindung aufzunehmen m Wenn CA IdentityMinder in SiteMinder integriert ist haben Sie zwei Optionen Wenn Sie ein Benutzerverzeichnis Verbindungsobjekt in SiteMinder erstellen wollen geben Sie einen aussagekr ftigen Namen an CA IdentityMinder erstellt dieses Objekt in SiteMinder mit dem Namen den Sie angeben Wenn Sie mit einem vorhandenen SiteMinder Benutzerverzeichnis Verbindung aufnehmen wollen geben Sie den Namen des SiteMinder Benutzerverzeichnis Verbindungsobjekts genau an wie er in der Richtlinienserver Benutzeroberfl che angezeigt wird Beschr
167. dardeinstellung der Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen deaktiviert Bevor Sie die Bereitstellung aktivieren ist die Synchronisierungseinstellung auf Bei Abschluss der Aufgabe gesetzt Um durch das Zur cksetzen des Benutzerkennworts eine Kontosynchronisierung auszul sen stellen Sie die Kontosynchronisierungsoption ein nachdem Sie die Datei ProvisioningOnly RoleDefinitions xml importiert haben um die Bereitstellung zu aktivieren Verwalten von Umgebungen In diesem Abschnitt wird die Verwaltung einer Umgebung beschrieben Andern von CA IdentityMinder Umgebungseigenschaften Im Fenster CA IdentityMinder Environment Properties Umgebungseigenschaften in der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren m Zeigen Sie die aktuellen Einstellungen f r die Umgebung an m ndern Sie die Beschreibung die Basis URL sowie gesch tzte und ffentliche Aliasnamen 212 Konfigurationshandbuch Verwalten von Umgebungen Importieren Sie nach einem Upgrade eine vorhandene CA IdentityMinder Umgebung Hinweis Weitere Informationen zum Importieren vorhandener CA IdentityMinder Umgebungen finden Sie im Abschnitt zu Upgrades im Installationshandbuch Starten und Anhalten von Umgebungen Seiten f r den Zugriff um die folgenden Aufgaben zu konfigurieren Erweiterte Einstellungen Konfiguriert erweiterte Funktionen einschlie lich Funktionen die mithilfe der CA IdentityMinder APls ers
168. das ImsManagedObject Element das das Benutzerobjekt beschreibt F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name LDAP CONNECTION SETTINGS description LDAP Connection Settings gt lt Property name com sun jndi ldap connect timeout gt 5000 lt Property gt lt Property name com sun jndi ldap connect pool maxsize gt 200 lt Property gt lt Property name com sun jndi ldap connect pool prefsize gt 10 lt Property gt lt PropertyDict gt Speichern Sie die Datei directory xm CA IdentityMinder konfiguriert diese Einstellungen wenn Sie das CA IdentityMinder Verzeichnis mit dieser Datei erstellen So verbessern Sie die Leistung von Verzeichnissuchen Um die Leistung von Verzeichnissuchen nach Benutzern Organisationen und Gruppen zu verbessern f hren Sie die folgenden Schritte aus 96 Konfigurationshandbuch Indizieren Sie die Attribute die Administratoren in Suchanfragen angeben k nnen Hinweis In Oracle Internet Directory kann eine Suche fehlschlagen wenn ein Attribut in einer Suchanfrage nicht indiziert ist Konfigurieren Sie die Einstellungen f r Seitengr e und maximale Zeilenanzahl siehe Seite 97 um zu bestimmen wie CA IdentityMinder gro e Suchen verarbeitet Optimieren Sie das Benutzerverzeichnis Weitere Informationen finden Sie in der Dokumentation zum verwendeten Benutzerverzeichnis So verbessern Sie die Leistung von Verzeichnissuchen So verbessern Sie die Leistung v
169. das CA IdentityMinder Verzeichnis zu aktualisieren siehe Seite 188 Bekannte Attribute f r eine relationale Datenbank Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder Sie werden durch die folgende Syntax gekennzeichnet ATTRIBUTENAME In dieser Syntax muss ATTRIBUTENAME gro geschrieben werden Ein bekanntes Attribut wird mithilfe einer Attributbeschreibung siehe Seite 123 einem physischem Attribut zugeordnet In der folgenden Attributbeschreibung wird das Attribut tblUsers password dem bekannten Attribut PASSWORD zugeordnet sodass CA IdentityMinder den Wert in tblUsers password als ein Kennwort erkennt lt ImsManagedObjectAttr physicalname tblUsers password displayname Password description Password valuetype String required false multivalued false wellknown PASSWORD maxlength 0 gt Einige bekannte Attribute sind erforderlich w hrend andere optional sind 144 Konfigurationshandbuch Bekannte Attribute f r eine relationale Datenbank Bekannte Attribute f r Benutzer Die folgende Liste enth lt bekannte Attribute f r Benutzer ADMIN_ROLE_CONSTRAINT Enth lt eine Liste der Admin Rollen siehe Seite 148 die dem Administrator siehe Seite 148 zugeordnet sind Das physische Attribut das ADMIN_ROLE_CONSTRAINT zugeordnet ist muss mehrere Werte zulassen sodass es verschiedene Rollen aufnehmen kann Es wird empfohlen das Attribut das ADMIN_ROLE_CONSTRAINT
170. dbuch 348 Konfigurationshandbuch Konfigurieren der SiteMinder Hochverf gbarkeit Hinzuf gen von mehreren Richtlinienservern Um mehr Richtlinienserver zur CA IdentityMinder Installationsinstanz hinzuzuf gen bearbeiten Sie den Eintrag FailoverServers in der Datei ra xml Hinweis Schlie en Sie den prim ren Richtlinienserver und alle Failover Server in den Eintrag FailoverServers ein Geben Sie f r jeden Richtlinienserver eine IP Adresse und Portnummern f r Authentifizierung Autorisierung und Kontodienste ein Verwenden Sie ein Semikolon um Eingaben voneinander zu trennen wie hier angezeigt lt config property gt lt config property name gt FailoverServers lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt 172 123 123 123 44441 44442 44443 172 123 123 124 33331 33332 33333 lt config property value gt lt config property gt Ausw hlen von Lastenausgleich oder Failover Das Standardverhalten von CA IdentityMinder ist die Verwendung von Round Robin Lastenausgleich mithilfe der Server die durch ConnectionURL und FailoverServers identifiziert werden Lastenausgleich tritt auf wenn Sie FailOver auf false lassen Um das Failover auszuw hlen setzen Sie FailOver auf true lt config property gt lt config property name gt FailOver lt config property name gt lt config property type gt java lang String lt config property
171. den Anwendungsserver neu siehe Seite 312 Konfigurieren Sie eine Datenquelle f r SiteMinder siehe Seite 312 Importieren Sie die Verzeichnisdefinitionen siehe Seite 313 Aktualisieren und importieren Sie die Umgebungsdefinitionen siehe Seite 314 Starten Sie den Anwendunsgsserver neu siehe Seite 312 Installieren Sie das Web Proxy Server Plug in siehe Seite 314 Ordnen Sie den SiteMinder Agenten einer CA IdentityMinder Dom ne zu siehe Seite 335 Konfigurieren Sie den Parameter LogOffUrl in SiteMinder siehe Seite 336 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Als Richtlinienadministrator verwenden Sie die CA IdentityMinder Verwaltungstools um auf SQL Skripte oder LDAP Schematext zuzugreifen und das IMS Schema dem Richtlinienspeicher hinzuzuf gen Der Identit tsadministrator hat diese Tools im Ordner Admin Tools installiert F hren Sie eines der folgenden Verfahren durch um den Richtlinienspeicher zu konfigurieren Konfigurieren einer relationalen Datenbank siehe Seite 300 Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server siehe Seite 300 Konfigurieren von Microsoft Active Directory siehe Seite 301 Konfigurieren von Microsoft ADAM siehe Seite 302 Konfigurieren von CA Directory Server siehe Seite 302 Konfigurieren von Novell eDirectory Serve
172. den Namen des Attributs in dem die Organisation der Gruppe gespeichert ist Kapitel 3 Verwaltung des LDAP Benutzerspeichers 87 So konfigurieren Sie Gruppen So beschreiben Sie ein Benutzerverzeichnis das keine Organisationen unterst tzt Vergewissern Sie sich dass keine Objektbeschreibungen oder bekannten Attribute f r Organisationen in der Datei directory xml definiert sind So konfigurieren Sie Gruppen F r die Konfiguration lassen sich Gruppen folgenderma en aufteilen m Selbstabonnierende Gruppen m Dynamische und verschachtelte Gruppen Konfigurieren von selbstabonnierenden Gruppen Um Self Service Benutzern den Beitritt zu Gruppen zu erm glichen k nnen Sie in der Verzeichniskonfigurationsdatei die Unterst tzung selbstabonnierender Gruppen konfigurieren Wenn sich ein Benutzer anmeldet sucht CA IdentityMinder nach Gruppen in den angegebenen Organisationen und zeigt dem Benutzer die selbstabonnierenden Gruppen an Gehen Sie wie folgt vor 1 F gen Sie im Abschnitt f r selbstabonnierende Gruppen das Element SelfSubscribingGroups wie folgt hinzu lt SelfSubscribingGroups type search_type org org_dn gt 2 F gen Sie Werte f r die folgenden Parameter hinzu type Gibt wie folgt an wo CA IdentityMinder nach selbstabonnierenden Gruppen sucht m NONE CA IdentityMinder sucht nicht nach Gruppen Geben Sie NONE an wenn Sie verhindern m chten dass Benutzer selbst Gruppen abonnieren m ALL CA IdentityMi
173. dene Beschreibung kopieren und Werte nach Bedarf ndern Hinweis Nehmen Sie an dass eine neue Attributbeschreibung erstellt und ein physisches Attribut angegeben wird Stellen Sie sicher dass das physische Attribut in der Objektklasse oder Klassen vorhanden ist die Sie f r den Objekttyp angegeben haben 70 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Optional ndern Sie die Anzeigeeinstellungen siehe Seite 74 f r das Attribut um ein Anzeigen sensibler Information wie etwa Kennw rter oder Geh lter in der Benutzerkonsole zu verhindern Optional Konfigurieren Sie eine Standardsortierreihenfolge Wenn Sie ein Verzeichnis mit einer flachen Struktur oder einer flachen Benutzerstruktur oder ein Verzeichnis das Organisationen ausschlie t verwalten navigieren Sie zum Abschnitt Beschreiben der Benutzerverzeichnisstruktur siehe Seite 87 Verwalten vertraulicher Attribute CA IdentityMinder bietet die folgenden Methoden f r die Verwaltung vertraulicher Attribute Datenklassifizierungen f r Attribute Mithilfe von Datenklassifizierungen k nnen Sie Anzeige und Verschl sselungseigenschaften f r Attribute in der Verzeichniskonfigurationsdatei directory xm festlegen Sie k nnen Datenklassifizierungen die vertrauliche Attribute verwalten wie folgt definieren Zeigen Sie in den CA IdentityMinder Aufgabenfenstern den Wert eines Attributs als Re
174. dentityMinder Verzeichnisse 185 CA IdentityMinder Verzeichniseigenschaften Eine oder mehrere Validierungsregeln werden in einem Validierungsregelsatz gruppiert Ein Validierungsregelsatz wird dann einem Profilattribut zugeordnet Zum Beispiel k nnen Sie einen Validierungsregelsatz erstellen der eine Format Datum Validierungsregel enth lt die ein Datumsformat von mm tt jjjj erzwingt Sie k nnen dann den Validierungsregelsatz dem Attribut zuordnen das das Startdatum eines Mitarbeiters speichert Hinweis Sie erstellen Validierungsregeln und Regels tze in der Verzeichniskonfigurationsdatei oder in der Benutzerkonsole Das Fenster Managed Object Properties Eigenschaften von verwalteten Objekten zeigt eine Liste von Validierungsregels tzen an die sich auf das CA IdentityMinder Verzeichnis beziehen Um die Details eines Validierungsregelsatzes anzuzeigen klicken Sie auf den Namen des Regelsatzes um das Fenster Validation Rule Set Properties Validierungsregelsatz Eigenschaften zu ffnen Validierungsregel Eigenschaften Die folgenden Informationen werden im Fenster Validation Rule Properties Validierungsregel Eigenschaften angezeigt Name Gibt den Namen der Validierungsregel an Beschreibung Gibt eine Beschreibung der Regel an Klasse Gibt den Namen der Java Klasse an die die Validierungsregel implementiert Dieses Feld wird nicht angezeigt au er wenn die Validierungsregel in einer Java Klasse definiert ist Dateiname
175. der Benutzerinformationen in einer prim ren und sekund ren Tabelle gespeichert sind ECON Tabelle I Ben loginid email lastname postaladdress firstname city password state empnumber postalcode title busphone department mobilephone manager fax disabled pager passwordhint office startdate enddate Wenn die Informationen zu einem Objekt in mehreren Tabellen gespeichert sind erstellen Sie ein Element Table f r jede Tabelle Verwenden Sie das Reference Element in dem Table Element f r eine sekund re Tabelle um die Beziehung zur prim ren Tabelle zu definieren Wenn zum Beispiel grundlegende Informationen ber einen Benutzer in tblUsers und Adressinformation in tblUserAddress gespeichert werden w rden die Tabellendefinitionen f r das verwaltete Objekt Benutzer den folgenden Eintr gen entsprechen lt Table name tblUsers primary true gt lt Table name tblUserAddress gt lt Reference childcol userid primarycol id gt lt Table name gt Kapitel 4 Verwaltung relationaler Datenbanken 119 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Tabellenelemente Die Parameter f r ein Tabellenelement lauten wie folgt name Erforderlich Gibt den Namen der Tabelle an in der einige oder alle Attribute in einem verwalteten Profil eines Objekts gespeichert sind primary Gibt an ob die Tabelle die prim re Tabelle f r das verwaltete Objekt ist Die prim re Tabelle
176. der dritten Woche eines jeden Monats generieren Kapitel 8 berpr fung 261 So konfigurieren und generieren Sie Audit Datenberichte 262 Konfigurationshandbuch Klicken Sie auf Senden Die Berichtsanfrage wird gesendet Je nach Umgebungskonfiguration wird die Anfrage sofort oder nach Genehmigung von einem Administrator ausgef hrt Normalerweise m ssen ein Systemadministrator oder ein anderer Benutzer mit Berichtsverwaltungsberechtigungen eine Berichtsanfrage genehmigen bevor das System sie fertig stellt Eine Genehmigung ist erforderlich weil einige Berichte eine lange Zeit oder bedeutende Systemressourcen ben tigen k nnen Wenn Ihre Berichtsanfrage eine Genehmigung ben tigt sendet Ihnen das System eine E Mail Warnung Hinweis Aktivieren Sie WorkFlow f r die Umgebung wenn eine Genehmigung erforderlich ist So konfigurieren und generieren Sie Audit Datenberichte Anzeigen des Berichts Je nach Umgebungskonfiguration wird ein Bericht zur Anzeige verf gbar wenn ein Administrator die Anfrage f r diesen Bericht genehmigt hat Wenn Ihre Berichtsanfrage eine Genehmigung ben tigt sendet Ihnen das System eine E Mail Warnung Der Bericht den Sie anzeigen m chten wird in der Suchliste nicht angezeigt bis er genehmigt wird Hinweis Damit Sie unter Verwendung der Aufgabe Meine Berichte anzeigen in CA IdentityMinder Berichte anzeigen k nnen m ssen Sie in Ihrem Browser Sitzungscookies von Drittanbietern zulassen Ge
177. dert werden kann READONLY Der Wert wird angezeigt kann aber nicht ge ndert werden WRITEONCE Der Wert kann nicht mehr ge ndert werden nachdem das Objekt erstellt wurde Zum Beispiel kann eine Benutzer ID nicht ge ndert werden nachdem der Benutzer erstellt wurde READWRITE Der Wert kann ge ndert werden Standardeinstellung So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei hidden Gibt wie folgt an ob ein Attribut in den CA IdentityMinder Aufgabenfenstern angezeigt wird m True Das Attribut wird den Benutzern nicht angezeigt m False Das Attribut wird den Benutzern angezeigt Standardeinstellung Logische Attribute verwenden verborgene Attribute Hinweis Weitere Informationen zu logischen Attributen finden Sie im Programmierhandbuch f r Java system Nur CA IdentityMinder verwendet die Attribute Gibt wie folgt an dass Benutzer die Attribute in der Benutzerkonsole nicht ndern d rfen m True Benutzer d rfen das Attribut nicht ndern Das Attribut wird in der Benutzerkonsole nicht angezeigt m False Benutzer k nnen dieses Attribut ndern und das Attribut kann Aufgabenfenstern in der Benutzerkonsole hinzugef gt werden Standardeinstellung validationruleset Ordnet dem Attribut einen Validierungsregelsatz zu Stellen Sie sicher dass der angegebene Validierungsregelsatz in einem ValidationRuleSet Element in der Verzeichniskonfigurationsdatei definiert ist delimiter
178. die ausschlie lich f r die Bereitstellung gelten Nachdem Sie die Umgebung erstellt haben importieren Sie die Rollendefinitionen aus der Datei ProvisioningOnly RoleDefinitions xml die sich in einem der folgenden Ordner befindet admin tools ProvisioningOnlyRoleDefinitions Organization admin tools ProvisioningOnlyRoleDefinitions NoOrganization Der Standardspeicherort f r admin_tools ist m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen Um die Bereitstellung f r eine CA IdentityMinder Umgebung zu aktivieren importieren Sie eine Konfigurationsdatei namens ProvisioningOnly RoleDefinitions xml die die Rollen und Aufgaben f r die Benutzereinrichtung erstellt In dieser Datei ist die Standardeinstellung der Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen deaktiviert Bevor Sie die Bereitstellung aktivieren ist die Synchronisierungseinstellung auf Bei Abschluss der Aufgabe gesetzt Um durch das Zur cksetzen des Benutzerkennworts eine Kontosynchronisierung auszul sen stellen Sie die Kontosynchronisierungsoption ein nachdem Sie die Datei ProvisioningOnly RoleDefinitions xml importiert haben um die Bereitstellung zu aktivieren Kapitel 6 CA IdentityMinder Umgebungen 203 Konfigurieren einer Umgebung f r die Bereitstellung So k nnen S
179. directory ein Wenn CA IdentityMinder und SiteMinder nicht integriert sind kann der Wert des Parameters userdirectory ein beliebiger Name sein den Sie f r die JDBC Verbindung mit dem Benutzerspeicher festlegen Hinweis Geben Sie keinen Namen f r die Benutzerverzeichnisverbindung in der Datei directory xml an CA IdentityMinder fordert Sie w hrend Erstellung des Verzeichnisses auf den Namen anzugeben Datenbankanmeldeinformationen Um eine Verbindung mit der Datenbank herstellen zu k nnen muss CA IdentityMinder g ltige Anmeldeinformationen an die Datenquelle bergeben Die Anmeldeinformationen werden im Element Credentials definiert das dem folgenden Beispiel entspricht lt Credentials user SMirUser cleartext true gt MyPassword lt Credentials gt 140 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Wenn Sie im Credentials Element kein Kennwort angeben und versuchen das CA IdentityMinder Verzeichnis in der Management Konsole zu erstellen werden die Kennwortinformationen angefordert Hinweis Es wird empfohlen das Kennwort in der Management Konsole anzugeben Wenn Sie das Kennwort in der Management Konsole angeben wird es von CA IdentityMinder verschl sselt Andernfalls sollten Sie das Kennwort mit dem Kennwort Tool das zusammen mit CA IdentityMinder installiert wird verschl sseln sodass dieses nicht als unverschl sselter Text angezeigt wird Unter SiteMinder Kennw rter finden Sie Anwei
180. dlerzuordnungen Doppelklicken Sie auf Statische Datei und ndern Sie den Anforderungspfad in x Klicken Sie auf die Schaltfl che Einschr nkungen Aktivieren Sie auf der Registerkarte Zuordnung die Option Handler nur bei folgender Zuordnung aufrufen Datei oder Ordner Klicken Sie im Dialogfeld Handlerzuordnungen in den Men optionen auf der rechten Seite auf Skriptzuordnung hinzuf gen Geben Sie die folgenden Werte ein m Anforderungspfad m Ausf hrbare Datei iisProxy dil m Name proxy Klicken Sie auf die Schaltfl che Einschr nkungen Deaktivieren Sie die Option Handler nur bei folgender Zuordnung aufrufen Klicken Sie in der Eingabeaufforderung ob diese IASPI Erweiterung erlaubt werden soll auf Ja Klicken Sie auf den Stammknoten Computername der IIS Manager Struktur und klicken Sie auf ISAPI und CGlI Einschr nkungen Klicken Sie im Bereich Aktionen auf Hinzuf gen und geben Sie die folgenden Werte ein m ISAPI oder CGI Pfad C plugin iisproxy dil m Beschreibung Weblogic m Aktivieren Sie das Kontrollk stchen Ausf hrung des Erweiterungspfads zulassen Klicken Sie auf den Stammknoten Computername der IIS Manager Struktur und klicken Sie auf ISAPI und CGlI Einschr nkungen W hlen Sie die Option Weblogic aus und klicken Sie auf der rechten Seite auf Featureberechtigungen bearbeiten Aktivieren Sie Nicht angegebene ISAPI Module zulassen und Nicht angegeb
181. e ndert werden nachdem der Benutzer erstellt wurde READWRITE Der Wert kann ge ndert werden Standardeinstellung hidden Zeigt an ob ein Attribut in CA IdentityMinder Aufgabenformularen angezeigt wird Die folgenden Werte sind g ltig m True Das Attribut wird den Benutzern nicht angezeigt m False Das Attribut wird den Benutzern angezeigt Standardeinstellung Logische Attribute verwenden verborgene Attribute Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java system Gibt ausschlie lich die von CA IdentityMinder verwendeten Attribute an Benutzer in der Benutzerkonsole sollen die Attribute nicht ndern Die folgenden Werte sind g ltig ma True Benutzer d rfen das Attribut nicht ndern Das Attribut wird auf der CA IdentityMinder Benutzeroberfl che ausgeblendet m Falsch Benutzer k nnen dieses Attribut ndern Das Attribut ist verf gbar um zu Aufgabenfenstern auf der CA IdentityMinder Benutzeroberfl che hinzugef gt zu werden Standard validationruleset Verkn pft einen Validierungsregelsatz mit dem Attribut berpr fen Sie dass der Validierungsregelsatz den Sie angeben in einem ValidationRuleSet Element in der Verzeichniskonfigurationsdatei definiert ist objectclass Zeigt die LDAP Hilfsklasse f r ein Benutzer Gruppen oder Organisationsattribut an wenn das Attribut nicht Teil der im ImsManagedObject Element angegebenen prim ren Objektklasse ist Kapitel 3 Verw
182. e Integration von SiteMinder und CA IdentityMinder Der Web Agent steuert den Zugriff von Benutzern die CA IdentityMinder Ressourcen anfordern Nachdem die Benutzer authentifiziert und autorisiert wurden l sst der Web Agent zu dass der Webserver die Anforderungen verarbeitet Wenn der Webserver die Anforderung empf ngt leitet das Anwendungsserver Plug in diese an den Anwendungsserver weiter der den CA IdentityMinder Server hostet Der Web Agent sch tzt die CA IdentityMinder Ressourcen die f r Benutzer und Administratoren offengelegt werden bersicht ber die Integration von SiteMinder und CA IdentityMinder Wenn der Richtlinienadministrator und der Identit tsadministrator zusammenarbeiten um SiteMinder in eine vorhandene CA IdentityMinder Installation zu integrieren wird die CA IdentityMinder Architektur um die folgenden Komponenten erweitert SiteMinder Web Agent Sch tzt den CA IdentityMinder Server Der Web Agent wird auf dem System mit dem CA IdentityMinder Server installiert SiteMinder Richtlinienserver Stellt eine erweiterte Authentifizierung und Autorisierung f r CA IdentityMinder bereit 294 Konfigurationshandbuch bersicht ber die Integration von SiteMinder und CA IdentityMinder Die folgende Abbildung zeigt ein Beispiel f r eine CA IdentityMinder Installation mit einem SiteMinder Richtlinienserver und Web Agenten Bereitstellungs verzeichnis CA IdentityMinder Server Anwendung
183. e Objekte siehe Seite 181 Gibt Beschreibungen des Typs von Benutzerspeicherobjekten an die CA IdentityMinder verwaltet Validation Rule Sets Validierungsregels tze siehe Seite 185 Listet Validierungsregels tze auf die sich auf das CA IdentityMinder Verzeichnis beziehen Kapitel 5 CA IdentityMinder Verzeichnisse 179 CA IdentityMinder Verzeichniseigenschaften Environments Umgebungen Listet die Umgebungen auf die dem CA IdentityMinder Verzeichnis zugeordnet werden Ein Verzeichnis kann mehreren CA IdentityMinder Umgebungen zugeordnet werden Um weitere Informationen zu einer CA IdentityMinder Umgebung anzuzeigen klicken Sie auf den Namen der Umgebung Um Eigenschaften in einem CA IdentityMinder Verzeichnis zu ndern importieren Sie eine Verzeichniskonfigurationsdatei wie in Aktualisieren von CA IdentityMinder Verzeichnissen siehe Seite 188 beschrieben Zus tzlich zum Anzeigen der Eigenschaften k nnen Sie auch die folgenden Aktionen ausf hren Update Authentication Authentifizierung aktualisieren Erlaubt Administratoren das Verzeichnis zu ndern das CA IdentityMinder verwendet um Management Konsolen Administratoren zu authentifizieren Administratoren k nnen auch zus tzliche Management Konsolen Administratoren im vorhandenen Authentifizierungsverzeichnis hinzuf gen Hinweis Die Optionen zum Aktualisieren der Authentifizierung gelten nur wenn systemeigene CA IdentityMinder Sicherheit die Ma
184. e Standardattributbeschreibungen um Ihre Datenbankattribute zu beschreiben Erstellen Sie neue Attributbeschreibungen indem Sie eine vorhandene Beschreibung kopieren und Werte nach Bedarf ndern F r jedes Attribut in Benutzer Gruppen und Organisationsprofilen gibt es jeweils nur ein ImsManagedObjectAttr Element Zum Beispiel kann ein ImsManagedObjectAttr Element eine Benutzer ID beschreiben Ein ImsManagedObjectAttr Element entspricht dem folgenden Code lt ImsManagedObjectAttr physicalname tblUsers id displayname User Internal ID description User Internal ID valuetype Number required false multivalued false maxlength 0 hidden false permission READONLY gt Hinweis Wenn Sie eine Oracle Datenbank verwenden beachten Sie beim Konfigurieren von Attributen f r verwaltete Objekte die folgenden Punkte Oracle Datenbanken beachten standardm ig die Gro Kleinschreibung Die Schreibweise der Attribute und Tabellennamen in der Verzeichniskonfigurationsdatei muss mit der Schreibweise der Attribute in Oracle bereinstimmen Geben Sie f r Zeichenfolgedatentypen eine maximale L nge an um zu verhindern dass diese abgeschnitten werden Um die L nge von Zeichenfolgen zu beschr nken k nnen Sie eine Validierungsregel erstellen durch die ein Fehler angezeigt wird wenn ein Benutzer eine Zeichenfolge eingibt die die maximale L nge berschreitet Kapitel 4 Verwaltung relationaler Datenbanken 123 S
185. e Verbindung mit CA SiteMinder herstellen ist zu beachten dass der FIPS Modus und Produktversionskonfigurationen nur in dem in der folgenden Tabelle aufgef hrten Umfang unterst tzt werden SiteMinder SiteMinder Version Modus Nur FIPS Modus Nur FIPS Nicht FIPS Modus Nicht FIPS Modus Schl sseldatei Komponente Modus Nur FIPS r12 FIPS kompatibler Modus r12 FIPS kompatibler Modus r12 Nicht FIPS Modus r6 Speicherung CA IdentityMinder verwendet das Dateisystem zum Speichern des FIPS Verschl sselungscodes Der CA IdentityMinder Administrator ist daf r verantwortlich unbefugten Zugriff auf Dateien zu verhindern Zu diesem Zweck legt er die Verzeichniszugriffsberechtigungen f r bestimmte Gruppen oder Benutzertypen fest beispielsweise f r Benutzer die berechtigt sind CA IdentityMinder auszuf hren In der folgenden Tabelle ist der Speicherort der FIPS Schl sseldateien f r jede CA IdentityMinder aufgef hrt Installationsort CA IdentityMinder Server IdentityMinder ear config com netegrity config keys FIPSkey dat Bereitstellungsserver C Connector Server IdentityMinder ear ist der Ort an dem CA IdentityMinder auf dem Anwendungsserver installiert wird Bereitstellungsserverinstallation data tls keymgmt imps_datakey Bereitstellungsserverinstallation data tls keymgmt imps_datakey Anhang A FIPS 140 2 Kompatibilit t 379 Das Kennwort Tool Das Kennwort Tool Das FIPS kompatible Kennwort Tool H
186. e Werte m True gibt an dass das Attribut mehrere Werte unterst tzen kann m False gibt an dass das Attribut nur einen einzelnen Wert haben kann Multiple Value Delimiter Trennzeichen bei mehreren Werten nur f r relationale Datenbanken Das Zeichen das Werte voneinander trennt wenn mehrere Werte in einer Spalte gespeichert werden System Attribute Systemattribut Zeigt an ob das Attribut nur von CA IdentityMinder verwendet wird wie folgt m True zeigt an dass das Attribut ein Systemattribut ist Das Attribut ist nicht zum Hinzuf gen zu Aufgabenfenstern verf gbar m False zeigt an dass die Benutzer dieses Attribut verwenden k nnen Das Attribut kann in Aufgabenfenstern angezeigt werden Datentyp Gibt den Datentyp des Attributs an Der Standardwert ist String Maximum Length Maximale L nge Gibt die gr tm gliche L nge an die ein Attributwert haben kann Wenn auf O festgelegt gibt es kein Limit f r die L nge des Wertes Validation Rule Set Validierungsregelsatz Gibt den Namen eines Validierungsregelsatzes an falls das Attribut einem zugeordnet ist Validation Rule Sets Validierungsregels tze Eine Validierungsregel erzwingt Anforderungen f r Daten die ein Benutzer in ein Aufgabenfensterfeld eingibt Die Anforderungen k nnen einen Datentyp oder ein Format erzwingen oder k nnen sicherstellen dass die Daten im Kontext von anderen Daten im Aufgabenfenster g ltig sind Kapitel 5 CA I
187. e aus der Suchergebnisliste aus d Klicken Sie auf Fertig stellen Im Fenster System Manager Configuration Output Systemmanager Konfigurationsausgabe werden die Statusinformationen angezeigt 7 Klicken Sie auf Fortfahren um den Systemmanager Assistenten zu schlie en Aufrufen des Status einer CA IdentityMinder Umgebung CA IdentityMinder umfasst eine Statusseite auf der Sie die folgenden Statusinformationen berpr fen k nnen m Das CA IdentityMinder Verzeichnis ist ordnungsgem geladen m CA IdentityMinder kann eine Verbindung mit dem Benutzerspeicher herstellen m Die CA IdentityMinder Umgebung wird ordnungsgem geladen Um auf die Statusseite zuzugreifen geben Sie die folgende URL in einem Browser ein http Hostname iam im status jsp Hostname Bestimmt den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com 232 Konfigurationshandbuch Aufrufen des Status einer CA IdentityMinder Umgebung Wenn die CA IdentityMinder Umgebung ordnungsgem gestartet wird und alle Verbindungen erfolgreich hergestellt wurden sieht die Statusseite hnlich der folgenden Abbildung aus Umgebung Verzeichnis Status testi NeteAuto Auf der Statusseite wird auch angegeben ob die Umgebung mit FIPS 140 2 konform ist Fehlerbehebung in CA IdentityMinder Umgebungen Meldung Nicht geladen Not OK Nicht OK In der folgenden Tabelle werden
188. e das Kontrollk stchen links von dem zu l schenden Verzeichnis oder den Verzeichnissen 3 Klicken Sie auf L schen Eine Best tigungsmeldung wird angezeigt 4 Klicken Sie auf OK um den L schvorgang zu best tigen Kapitel 5 CA IdentityMinder Verzeichnisse 189 Kapitel 6 CA IdentityMinder Umgebundgen Dieses Kapitel enth lt folgende Themen CA IdentityMinder Umgebungen siehe Seite 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen siehe Seite 192 Erstellen einer CA IdentityMinder Umgebung siehe Seite 193 Zugreifen auf eine CA IdentityMinder Umgebung siehe Seite 198 Konfigurieren einer Umgebung f r die Bereitstellung siehe Seite 199 Verwalten von Umgebungen siehe Seite 212 Verwalten von Konfigurationen siehe Seite 220 Optimieren der Auswertung von Richtlinienregeln siehe Seite 227 Role and Task Settings Rollen und Aufgabeneinstellungen siehe Seite 228 ndern des Systemmanager Kontos siehe Seite 230 Aufrufen des Status einer CA IdentityMinder Umgebung siehe Seite 232 CA IdentityMinder Umgebungen Eine CA IdentityMinder Umgebung ist eine Ansicht eines Benutzerspeichers In einer CA IdentityMinder Umgebung k nnen Sie Benutzer Gruppen Organisationen Aufgaben und Rollen verwalten Au erdem k nnen Sie den Benutzern Konten in verwalteten Endpunkten zum Beispiel E Mail Konten oder andere Anwendungen zur Verf gung stellen Mithilfe der Manageme
189. e den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld im Feld Component managed Authentication Alias Komponentenverwalteter Authentifizierungsalias aus 7 Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut Erstellen einer Oracle Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben Kapitel 4 Verwaltung relationaler Datenbanken 113 So erstellen Sie eine JDBC Datenquelle 114 Konfigurationshandbuch Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore URL jdbc oracle thin db_systemname 1521 oracle_sid Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a Geben Sie folgende Eigenschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben b Klicken Sie auf OK und verwend
190. e die Standardattributbeschreibungen 4 ndern Sie bekannte Attribute siehe Seite 79 erforderlich Bekannte Attribute kennzeichnen besondere Attribute wie das Kennwortattribut in CA IdentityMinder 5 Konfigurieren Sie CA IdentityMinder f r Ihre Verzeichnisstruktur siehe Seite 87 erforderlich 6 Erm glicht es Benutzern sich an Gruppen anzumelden siehe Seite 88 Verbindung zum Benutzerverzeichnis CA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her um Informationen wie etwa zu Benutzer Gruppe oder auch organisatorische Information wie in der folgenden Darstellung angezeigt zu speichern Identity Manager Benutzer speicher Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich Allerdings m ssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhanden sein das einen vollst ndig qualifizierten Dom nennamen besitzt FODN Eine Liste der unterst tzten Verzeichnis und Datenbanktypen finden Sie ber die CA IdentityMinder Support Matrix auf der CA Support Website Sie konfigurieren eine Verbindung zum Benutzerspeicher wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsole erstellen Wenn Sie die Verzeichniskonfiguration exportieren nachdem Sie ein CA IdentityMinder Verzeichnis erstellt haben werden die Verbindungsinformationen zum Benutzerverzeichnis im Anbieter Element der Verzeichniskonfigurationsdatei angezeigt 54 Ko
191. e durch den eigentlichen Hostnamen Starten Sie IIS Manager Erweitern Sie die Websites Klicken Sie mit der rechten Maustaste auf die Standardwebsite W hlen Sie Eigenschaften aus 10 F gen Sie wie folgt einen Filter hinzu 330 Konfigurationshandbuch a Klicken Sie auf host name b Klicken Sie auf Hinzuf gen und f llen Sie das Dialogfeld folgenderma en aus Filtername WebLogic Ausf hrbare Datei Pfad von iisforward dlil 11 12 13 14 15 Installieren des Web Proxyserver Plug ins Geben Sie den Speicherort der iisproxy dll Datei wie folgt an a Klicken Sie auf Basisverzeichnis b Klicken Sie auf Konfiguration c Klicken Sie auf Hinzuf gen d Geben Sie den Pfad der iisproxy dll Datei ein e Geben Sie jsp in das Feld Erweiterung ein f Deaktivieren Sie die Option Verifizieren dass Datei existiert Wiederholen Sie Schritt 11 f r die Erweiterungen do und wIforward F gen Sie eine Webdiensterweiterung f r wlIforward hinzu kleingeschrieben die auf den Speicherort von iisforward dIl verweist Legen Sie den Erweiterungsstatus auf Zugelassen fest Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung um sie zum Status Zugelassen zu ndern Starten Sie den IIS Webserver neu Konfigurieren des Proxy Plug ins f r iPlanet Um das Plug in zu konfigurieren ndern Sie die folgenden iPlanet Konfigurationsdateien magnus conf obj conf
192. e f r eines dieser Felder in der Verzeichniskonfigurationsdatei angaben fordert CA IdentityMinder Sie nicht auf diese Werte erneut zu liefern Name Bestimmt den Namen des CA IdentityMinder Verzeichnisses das Sie erstellen Beschreibung Optional Beschreibt das CA IdentityMinder Verzeichnis Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei Connection Object Name Name des Verbindungsobjekts Gibt den Namen des Benutzerverzeichnisses an das das CA IdentityMinder Verzeichnis beschreibt Geben Sie eins der folgenden Details ein m Wenn CA IdentityMinder nicht in SiteMinder integriert ist geben Sie einen aussagekr ftigen Namen f r das Objekt an das CA IdentityMinder verwendet um mit dem Benutzerspeicher Verbindung aufzunehmen m Wenn CA IdentityMinder in SiteMinder integriert ist und Sie ein Benutzerverzeichnis Verbindungsobjekt in SiteMinder erstellen wollen geben Sie einen aussagekr ftigen Namen an CA IdentityMinder erstellt das Benutzerverzeichnis Verbindungsobjekt in SiteMinder mit dem Namen den Sie angeben m Wenn CA IdentityMinder in SiteMinder integriert ist und Sie mit einem vorhandenen SiteMinder Benutzerverzeichnis Verbindung aufnehmen wollen geben Sie den Namen des SiteMinder Benutzerverzeichnis Verbindungsobjekts genau an wie er in der Richtlinienserver Benutzeroberfl che angezeigt wird JDBC Datenquellen JNDI Name nur f r relationale Verzeichnisse Gibt den Namen einer vorhandenen JDBC Dat
193. ebungsname den Alias f r die Umgebung ein W hlen Sie Gesicherte Verbindung aus wenn Sie das HTTPS Protokoll f r die Kommunikation mit dem CA IdentityMinder Server verwenden m chten statt das HTTP Protokoll zu verwenden und die einzelnen Benachrichtigungen zu verschl sseln Klicken Sie auf Hinzuf gen Wiederholen Sie die Schritte 3 6 f r jede Sicherungsversion der Umgebung Wenn der Anwendungsserver f r die aktuelle Umgebung nicht verf gbar ist wird CA IdentityMinder in einer Sicherungsumgebung ausgef hrt Sie k nnen die aktuelle Umgebung und die Sicherungsumgebungen neu anordnen um die Reihenfolge f r den Failover Befehl festzulegen Wenn es sich um die erste Umgebung handelt geben Sie in die Felder Gemeinsamer geheimer Schl ssel das Kennwort ein das w hrend der CA IdentityMinder Installation f r den Benutzer f r eingebettete Komponenten eingegeben wurde Hinweis Diese Felder gelten nicht wenn FIPS in dieser Installation aktiviert ist Legen Sie die Protokollebene folgenderma en fest m Kein Protokoll Keine Informationen werden in die Protokolldatei geschrieben m Fehler Es werden nur Fehlermeldungen protokolliert m Info Fehler und Informationsmeldungen werden protokolliert Standard m Warnung Fehler Warn und Informationsmeldungen werden protokolliert m Debug Alle Informationen werden protokolliert Starten Sie den Anwendungsserver neu bevor Sie sich bei der Umgebung anmelden Hinwei
194. echenden Registerkarten f r Ihre Administratorrechte werden angezeigt Klicken Sie auf Infrastruktur Agenten Agent Agent erstellen Das Dialogfeld Agent erstellen wird angezeigt W hlen Sie Neues Objekt des Typs Agent erstellen aus und klicken Sie dann auf OK Das Dialogfeld Agent erstellen wird angezeigt Geben Sie einen Namen und eine optionale Beschreibung ein Hinweis Verwenden Sie einen Namen den Sie leicht zum entsprechenden SharePoint Verbindungsassistenten zuordnen k nnen Erstellen eines SiteMinder 4 X Agentenobjekts 5 W hlen Sie SiteMinder 6 W hlen Sie Web Agent aus der Dropdown Liste aus 7 Aktivieren Sie die 4 x Funktionalit t mit den folgenden Schritten a Aktivieren Sie das Kontrollk stchen Unterst tzt 4 x Agenten Die Vertrauenseinstellungsfelder werden angezeigt b F gen Sie die Vertrauenseinstellungen durch das Ausf llen der folgenden Felder hinzu IP Adresse Enth lt die IP Adresse des Richtlinienservers Gemeinsamer geheimer Schl ssel Gibt ein Kennwort an das dem 4 x Agent Objekt zugeordnet wird Der SharePoint Verbindungsassistent ben tigt dieses Kennwort ebenfalls Geheimen Schl ssel best tigen Best tigt ein Kennwort das dem 4 x Agent Objekt zugeordnet wird Der SharePoint Verbindungsassistent ben tigt auch die Best tigung von diesem Kennwort 8 Klicken Sie auf Senden Die Aufgabe zum Erstellen des Agent Objekts wird zur Verarbeitung bermittelt
195. efehle Befehle Beschreibung L scht ein Alias aus einem Java Schl sselspeicher keytool delete alias myalias keystore my keystor e Importiert eine p12 Datei in einen Java Schl sselspeicher keytool importkey store destkeyst ore my keystor e srckeysto re src pl2 srcstoret ype PKCS12 srcalias 1 destalias myalias Importiert ein pem Root CA Zertifikat in einen Java Schl sselspeicher keytool import trustcace rts alias myrootca file rootcacert pem keystore my keystor e Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 389
196. egration von CA SiteMinder 303 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Novell eDirectory Server Um einen Novell eDirectory Server Richtlinienspeicher zu konfigurieren wenden Sie das Skript novell_ims8 ldif an Gehen Sie wie folgt vor 1 304 Konfigurationshandbuch Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Suchen Sie den definierten Namen DN des NCPServer f r Novell eDirectory Server indem Sie die folgenden Informationen in ein Befehlsfenster auf dem System eingeben auf dem der Richtlinienserver installiert ist ldapsearch h hostname p port b container s sub D admin_login w password objectClass ncpServer dn Beispiel ldapsearch h 192 168 1 47 p 389 b o nwqa47container s sub D cn admin o nwqa47 container w password objectclass ncpServer dn ffnen Sie die Datei novell_ims8 ldif Ersetzen Sie jede NCPServer Variable durch den in Schritt 2 ermittelten Wert Der Standardspeicherort der Datei novell_ims8 ldif unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas NovelleDirectory Wenn zum Beispiel der DN Wert en servername o servercontainer ist w rden Sie jede Instanz von NCPServer durch en servername o servercontainer ersetzen Aktualisieren
197. ehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden ndern Sie die Eigenschaft LogOffUri im Agent Konfigurationsobjekt f r den Agenten der die CA IdentityMinder Umgebung sch tzt wie folgt m Entfernen Sie das Rautenzeichen m Geben Sie im Feld Wert folgenden URI an iam im logout jsp Hinweis Sie w hlen ein Agent Konfigurationsobjekt aus wenn Sie den Web Agenten installieren Weitere Informationen finden Sie im Installationshandbuch zum CA SiteMinder Web Access Manager Richtlinienserver Speichern Sie die nderungen Starten Sie den Webserver neu Kapitel 12 Integration von CA SiteMinder 369 SiteMinder Vorg nge Aliasnamen in SiteMinder Bereichen Ein Alias ist eine eindeutige Zeichenfolge die der URL hinzugef gt wird um auf eine CA IdentityMinder Umgebung zuzugreifen Wenn zum Beispiel der Aliasname einer Umgebung employees ist ist die URL mit der man auf diese Umgebung zugreift folgenderma en http myserver mycompany org iam im employees myserver mycompany org Definiert den voll qualifizierten Dom nennamen des Servers auf dem
198. eibung Optional Beschreibt das CA IdentityMinder Verzeichnis Host Gibt den Hostnamen oder die IP Adresse des Servers an auf dem das Benutzerverzeichnis installiert ist Port Gibt die Portnummer des Benutzerverzeichnisses an 206 Konfigurationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung Dom ne Gibt den Namen der Bereitstellungsdom ne an die CA IdentityMinder verwaltet Wichtig Wenn Sie ein Bereitstellungsverzeichnis ber die Management Konsole mit fremdsprachigen Zeichen als Dom nenname erstellen schl gt die Bereitstellungsverzeichnis Erstellung fehl Der Name muss mit dem Namen der Bereitstellungsdom ne bereinstimmen den Sie w hrend Installation angaben Hinweis Der Dom nenname ber cksichtigt Gro und Kleinschreibung Benutzername Gibt einen Benutzer an der sich beim Bereitstellungsmanager anmelden kann Der Benutzer muss das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen f r die Bereitstellungsdom ne haben Kennwort Gibt das Kennwort f r den globalen Benutzer an den Sie im Feld Benutzername angegeben haben Kennwort best tigen Geben Sie das in das Feld Kennwort eingegebene Kennwort erneut zur Best tigung ein Sichere Verbindung Zeigt an ob CA IdentityMinder eine sichere Verbindung verwendet W hlen Sie diese Option f r Active Directory Benutzerspeicher aus Verzeichnissuchparameter maxrows definiert die H chstanzahl von Ergebni
199. eigen Sie die Attributdefinitionen im Fenster Describe User Attributes Benutzerattribute beschreiben an und ndern Sie sie Klicken Sie anschlie end auf Weiter Sie k nnen den Anzeigenamen und die Beschreibung ndern d Optional Definieren Sie im Fenster User Attribute Details Benutzerattributdetails die Metadaten f r jedes ausgew hlte Attribut und klicken Sie auf Weiter Das Fenster Managed Object Selection Auswahl des verwalteten Objekts wird angezeigt Um Gruppen oder Organisationen zu konfigurieren w hlen Sie das verwaltete Objekt aus und klicken Sie auf Weiter um die Fenster Attribute f r diese Objekte aufzurufen W hlen Sie Show summary and deploy directory Zusammenfassung anzeigen und Verzeichnis bereitstellen aus und klicken Sie anschlie end auf Weiter Das Best tigungsfenster wird ge ffnet Zeigen Sie die Details zum Verzeichnis an Wenn Fehler aufgetreten sind klicken Sie auf die Schaltfl che Zur ck um die nderungen in den entsprechenden Fenstern auszuf hren Klicken Sie auf Fertig stellen um die nderungen zu bernehmen CA IdentityMinder validiert die Konfiguration und erstellt das Verzeichnis Anschlie end kehren Sie zum Fenster Verzeichnisse zur ck in dem Sie das neue Verzeichnis anzeigen k nnen Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Bildschirm Select Directory Template Verzeichnisvorlage ausw hlen Verwende
200. einer Anwendung festlegen Zum Beispiel kann eine Rolle Aufgaben enthalten die Rollenmitgliedern erm glichen eine Bestellung in eine Einkaufsanwendung einzugeben und Mengen in einer Inventarerfassungsanwendung zu aktualisieren F hren Sie folgende Schritte aus um eine Zugriffsrolle zu erstellen 1 2 3 4 5 6 Beginnen Sie mit der Erstellung einer Zugriffsrolle siehe Seite 357 Definieren Sie grundlegende Eigenschaften f r die Zugriffsrolle in der Registerkarte Profil siehe Seite 357 W hlen Sie Zugriffsaufgaben f r die Rolle aus siehe Seite 358 Definieren Sie Mitgliederrichtlinien f r die Rolle siehe Seite 359 Definieren Sie Admin Richtlinien f r die Rolle siehe Seite 360 Definieren Sie Eigent merregeln f r die Rolle siehe Seite 361 Beginnen Sie mit der Erstellung einer Zugriffsrolle 1 Melden Sie sich bei einem Identity Manager Konto mit einer Rolle an die eine Aufgabe zum Erstellen von Zugriffsrollen enth lt Klicken Sie auf die Option Zugriffsrollen und dann auf die Option Zugriffsrolle erstellen W hlen Sie die Option aus um eine neue Rolle oder eine Kopie einer Rolle zu erstellen Wenn Sie die Option Kopieren ausw hlen suchen Sie die Rolle Fahren Sie mit dem n chsten Abschnitt fort Definieren des Profils f r Zugriffsrollen Definieren des Profils f r Zugriffsrollen So definieren Sie das Profil f r Zugriffsrollen 1 Geben Sie einen Namen und eine B
201. eis Wenn Ihre Umgebung keine ffentlichen Aufgaben einschlie t ist es nicht erforderlich einen ffentlichen Alias anzugeben Wenn Sie einen ffentlichen Alias angegeben haben der Name eines vorhandenen Benutzers der als ffentlicher Benutzer fungiert CA IdentityMinder verwendet beim Zugriff auf ffentliche Aufgaben anstelle der Anmeldeinformationen des Benutzers die Anmeldeinformationen des ffentlichen Benutzers Name von CA IdentityMinder siehe Seite 103 192 Konfigurationshandbuch Erstellen einer CA IdentityMinder Umgebung Arbeitsblatt f r die Konfiguration einer CA IdentityMinder Umgebung Erforderliche Informationen Wert Der Name des Bereitstellungsverzeichnisses wenn die CA IdentityMinder Umgebung die Bereitstellung unterst tzt Die eindeutige Kennung f r einen vorhandenen Benutzer der die CA IdentityMinder Umgebung verwaltet Zum Beispiel MeinAdmin Der Name des SiteMinder Agenten oder der Agentengruppe der bzw die die CA IdentityMinder Umgebung sch tzt wenn CA IdentityMinder mit SiteMinder integriert wird Erstellen einer CA IdentityMinder Umgebung ber CA IdentityMinder Umgebungen k nnen Sie Objekte in einem Verzeichnis mit einem Rollen und Aufgabensatz verwalten Verwenden Sie den CA IdentityMinder Umgebungs Assistenten der Sie schrittweise durch die Erstellung einer CA IdentityMinder Umgebung leitet Beachten Sie vor der Erstellung einer CA IdentityMinder Umgebung Folgendes Ge
202. eisungen im n chsten Verfahren aus um die so exportierte Datei zu importieren So importieren Sie Admin Rollen und Aufgabendefinitionen Gehen Sie wie folgt vor 1 266 Konfigurationshandbuch Kopieren Sie die im vorangehenden Verfahren erstellte Datei in die Produktionsumgebung Melden Sie sich in der Produktionsumgebung an der Management Konsole an Klicken Sie auf CA IdentityMinder Umgebungen W hlen Sie die entsprechende CA IdentityMinder Umgebung aus Klicken Sie auf Rollen Klicken Sie auf Importieren und geben Sie den Namen der XML Datei ein die beim Export generiert wurde Wenn diese Schritte erfolgreich waren starten Sie alle zus tzlichen Richtlinienserver und CA IdentityMinder Knoten die Sie angehalten hatten Hinweis Wenn weitere nderungen in der CA IdentityMinder Umgebung erforderlich sind wiederholen Sie Schritt 6 So midgrieren Sie CA IdentityMinder Designs So pr fen Sie den Rollen und Aufgabenimport Um zu pr fen ob die Rollen und Aufgaben erfolgreich importiert wurden melden Sie sich mit einem Administratorkonto bei CA IdentityMinder an das die folgenden Aufgaben ausf hren kann m Admin Rolle ndern m Admin Aufgabe ndern F hren Sie diese Aufgaben aus und pr fen Sie ob die Rollen und Aufgaben die neu importierten Rollendefinitionen widerspiegeln So migrieren Sie CA IdentityMinder Designs Sie k nnen die CA IdentityMinder Designs anpassen um der Anwendung ein bestimmtes E
203. ekte wie etwa Benutzer Gruppen und Organisationen im Benutzerverzeichnis gespeichert werden und wie diese in CA IdentityMinder dargestellt werden Ein CA IdentityMinder Verzeichnis ist einer oder mehreren CA IdentityMinder Umgebungen zugeordnet Kapitel 3 Verwaltung des LDAP Benutzerspeichers 47 So erstellen Sie ein CA IdentityMinder Verzeichnis So erstellen Sie ein CA IdentityMinder Verzeichnis Beim Erstellen eines CA IdentityMinder Verzeichnisses f r einen LDAP Benutzerspeicher sind die folgenden Schritte durchzuf hren 1 Festlegen der Verzeichnisstruktur 2 Beschreiben der Objekte im Benutzerspeicher durch ndern einer Verzeichniskonfigurationsdatei directory xml siehe Seite 53 3 Importieren der Verzeichniskonfigurationsdatei und Erstellen des Verzeichnisses siehe Seite 157 Hinweis berpr fen Sie bei der Verwendung von SiteMinder dass Sie vor dem Erstellen des CA IdentityMinder Verzeichnisses das Richtlinienspeicherschema angewendet haben Weitere Informationen zu spezifischen Richtlinienspeicherschemen und dar ber wie diese anzuwenden sind k nnen Sie dem Installationshandbuch entnehmen Verzeichnisstruktur CA IdentityMinder unterst tzt die folgenden Verzeichnisstrukturen m Hierarchisch Enth lt eine bergeordnete Organisation Stamm und Unterorganisationen Die Unterorganisationen k nnen ebenfalls Unterorganisationen besitzen was zu einer Multiebenen Struktur f hrt Dies l sst sich in der
204. ement Konsole wird in die folgenden beiden Abschnitte unterteilt Verzeichnisse Verwenden Sie diesen Abschnitt um CA IdentityMinder Verzeichnisse und Provisioning Verzeichnisse zu erstellen und zu verwalten die die Benutzerspeicher f r CA IdentityMinder erl utern Umgebungen Verwenden Sie diesen Abschnitt um CA IdentityMinder Umgebungen zu erstellen und zu verwalten die die Verwaltungs und Grafikpr sentationen eines Verzeichnisses steuern Zugreifen auf die CA IdentityMinder Management Konsole Um auf die Management Konsole zuzugreifen geben Sie die folgende URL in einen Browser ein http hostname port iam immanage Hostname port 16 Konfigurationshandbuch Definiert den vollst ndig qualifizierten Dom nennamen oder die IP Adresse des Servers auf dem CA IdentityMinder installiert ist Hinweis Wenn Sie auf die Management Konsole mithilfe von Internet Explorer 7 zugreifen und der Hostname eine IPv6 Adresse enth lt wird eine falsche Anzeige der Management Konsole erwartet Um dieses Problem zu vermeiden verwenden Sie den vollst ndig qualifizierten Hostnamen oder eine IPv4 Adresse Definiert den Anwendungsserver Port Hinweis Wenn Sie einen Web Agenten verwenden um eine erweiterte Authentifizierung f r CA IdentityMinder bereitzustellen m ssen Sie die Port Nummer nicht angeben So wird eine CA IdentityMinder Umgebung erstellt Hinweis Aktivieren Sie JavaScript in dem Browser den Sie verwenden um auf die
205. en m Benutzerdefinierte Vorg nge m ssen den XML Standards entsprechen Stellen Sie Sonderzeichen mithilfe von XML Syntax dar Geben Sie zum Beispiel ein einzelnes Anf hrungszeichen als amp apos an Um einen benutzerdefinierten Vorgang anzugeben verwenden Sie das Operation Element Das Operation Element definiert eine SQL Anweisung die eine benutzerdefinierte Abfrage ausf hren oder eine gespeicherte Prozedur aufrufen kann um ein Attribut zu erstellen abzurufen zu ndern oder zu l schen Das Operation Element ist ein Unterelement des IMSManagedObjectAttr Elements wie im folgenden Beispiel dargestellt lt ImsManagedObjectAttr physicalname tblUsers id displayname User Internal ID description User Internal ID valuetype Number required false multivalued false maxlength 0 hidden false permission READONLY gt lt Operation name GetDb value select identity gt Die Parameter des Operation Elements lauten wie folgt name Gibt einen vordefinierten Namen f r einen Vorgang an Folgende Vorg nge sind g ltig m Erstellen m Get m Festlegen m L schen m GetDB Der GetDB Vorgang ruft w hrend der Erstellung eine eindeutige Kennung aus der Datenbank ab wenn die eindeutige Kennung durch die Datenbank oder eine gespeicherte Prozedur generiert wird Kapitel 4 Verwaltung relationaler Datenbanken 135 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Parameter Element value
206. en dass diese einen Benutzernamen und ein Kennwort verwendet oder dass sie einen Sicherheitsbereich verwendet Wichtig Vergewissern Sie sich dass Sie bei Verwendung von FIPS die Option f r den JBoss Sicherheitsbereich nutzen Gehen Sie wie folgt vor 1 110 Konfigurationshandbuch F hren Sie die Schritte unter Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver siehe Seite 108 aus Geben Sie in der Datei userstore ds xml keinen Benutzernamen und kein Kennwort an wie in Schritt 4 beschrieben ffnen Sie die Datei login cfg xml im Verzeichnis iboss_home server default conf Suchen Sie den folgenden Eintrag in der Datei lt application policy name imobjectstoredb gt lt authentication gt lt login module code com netegrity jboss datasource PasswordEncryptedLogin flag required gt lt module option name userName gt fwadmin lt module option gt lt module option name password gt PBES gSex2 BhDGzZEKWVFmzca4w lt module option gt lt module option name managedConnectionFactoryName gt jboss jca name jdbc objectstore service N oTxCM lt module option gt lt login module gt lt authentication gt lt application policy gt Kopieren Sie den gesamten Eintrag und f gen Sie ihn in die Datei login cfg xml zwischen den Tags lt policy gt und lt policy gt ein Nehmen Sie in dem Eintrag den Sie in die Datei eingef gt haben die folgenden nderungen vor a ndern Sie wie
207. en um auf die NeteAuto Umgebung zuzugreifen http hostname iam im neteauto Geben Sie im Anmeldefenster die folgenden Anmeldeinformationen ein Benutzername SuperAdmin Kennwort test F hren Sie den folgenden Vorgang aus um einen Benutzer zu ndern Gehen Sie wie folgt vor 1 42 Konfigurationshandbuch Melden Sie sich als SuperAdmin an der NeteAuto Umgebung mithilfe des Kennworttests an Benutzer ausw hlen Benutzer verwalten Benutzer ndern Das Fenster Benutzer ausw hlen wird angezeigt Klicken Sie auf Suchen CA IdentityMinder zeigt eine Liste von Benutzern in der NeteAuto Umgebung an W hlen Sie den NeteAuto Administrator wie folgt aus m F r LDAP Verzeichnisse NeteAuto Administrator m F r relationale Datenbanken NeteAuto Admin Klicken Sie auf Ausw hlen CA IdentityMinder zeigt das Profil f r den NeteAuto Administrator an 5 6 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Geben Sie Manager im Titel Feld ein Klicken Sie auf Senden CA IdentityMinder best tigt die Aufgabenvorlage Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren Weisen Sie die Gruppen Manager Rolle zu Das Zuweisen einer Gruppenmanagerrolle ist notwendig F hren Sie den folgenden Vorgang aus um einen Gruppenmanager zuzuweisen Gehen Sie wie folgt vor 1 W hlen Sie als SuperAdmin die Registerkarte f r die Rollen und Aufgaben W hlen Sie dann die Admin Rollen aus und ndern
208. en Meldungen 2012 07 06 11 23 56 079 WARN ims default main Startup Step 2 Attempting to start PolicyServerService 2012 07 06 11 23 56 081 WARN ims default main Unlimited Strength Java Crypto Extensions enabled TRUE Andernfalls ist der Wert f r den Eintrag Unlimited Strength Java Crypto Extensions enabled false CA IdentityMinder kann dann keine Verbindung mit dem Richtlinienserver aufnehmen Kapitel 12 Integration von CA SiteMinder 311 Neustarten des Anwendungsservers Neustarten des Anwendundsservers Der Neustart aktualisiert den Anwendungsserver mit den nderungen Der Identit tsadministrator validiert dass der Wechsel erfolgreich war und dass eine ordnungsgem e Verbindung zum SiteMinder Richtlinienserver besteht Gehen Sie wie folgt vor 1 2 Verwenden Sie den Services Bereich um CA IdentityMinder neu zu starten wenn Ihr Anwendungsserver als Service ausgef hrt wird berpr fen Sie server log um die Verbindung zu validieren Konfigurieren einer Datenquelle f r SiteMinder Wenn Ihre CA IdentityMinder Umgebung eine relationale Datenbank f r seinen Identit tsspeicher verwendet ist der Identit tsadministrator erforderlich um einen zus tzlichen Prozess auf dem SiteMinder Richtlinienserver abzuschlie en SiteMinder erfordert dass eine lokale Datenquelle mit der Datenbank kommuniziert Gehen Sie wie folgt vor 1 ffnen Sie f r Windows Server die ODBC Datenquellen Administratorko
209. en Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen W hlen Sie den erstellten J2C Authentifizierungsdateneintrag f r den Benutzerspeicher aus dem Listenfeld in den folgenden Feldern aus m Component managed Authentication Alias Komponentenverwalteter Authentifizierungsalias m Container managed Authentication Alias Containerverwalteter Authentifizierungsalias Klicken Sie auf OK und speichern Sie dann die Konfiguration Hinweis Um zu berpr fen ob die Datenquelle richtig konfiguriert ist klicken Sie im Konfigurationsbildschirm f r die Datenquelle auf Verbindung testen Wenn der Verbindungstest fehlschl gt starten Sie WebSphere neu und testen Sie die Verbindung erneut So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder Wenn CA IdentityMinder und SiteMinder integriert sind definieren Sie eine ODBC Datenquelle auf dem SiteMinder Rechner der auf die Datenbank verweist Notieren Sie den Namen der Datenquelle f r die sp tere Verwendung Fahren Sie wie folgt fort m Windows Konfigurieren Sie die ODBC Datenquelle als ein System DN Anweisungen hierzu finden Sie in der Dokumentation zu Ihrem Windows Betriebssystem m UNIX F gen Sie der Datei system_odbe ini im Verzeichnis policy_server_installation db einen Eintrag hinzu der die Parameter f r die OD
210. en als neuer Benutzer Anmelden als selbst registrierter Benutzer Verwenden der Funktion im Falle eines vergessenen Kennworts Als neuer Benutzer registrieren F hren Sie den folgenden Vorgang aus um sich als neuer Benutzer zu registrieren Gehen Sie wie folgt vor 1 38 Konfigurationshandbuch Geben Sie die folgende URL in einen Browser ein http hostname iam im neteautopublic index jsp task tag SelfRegistration Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Hinweis Wurde die Konfiguration des NeteAuto Design siehe Seite 39 noch nicht durchgef hrt k nnen Sie imcss aus der URL folgenderma en weglassen http hostname iam im neteautopublic index jsp task tag SelfRegistration Diese URL leitet Sie zur CA Standardkonsole Bei der Selbstregistrierung Seite der Endbenutzer Lizenzvereinbarung CA IdentityMinder zeigt die CA Website an Hinweis Sie k nnen die standardm ige Selbstregistrierungsaufgabe konfigurieren um die benutzerdefinierte Endbenutzer Lizenzvereinbarung anzuzeigen Weitere Anweisungen finden Sie im Administrationshandbuch Klicken Sie auf Akzeptieren um fortzufahren Geben Sie auf der Registerkarte Profil die folgenden Details an a Geben Sie die Werte f r die Mussfelder ein welche mit einem Sternchen versehen sind b Geben Sie Hinweise und Antworten f r die Kennwortabfrage ein F r den Fall eines verge
211. endung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden ffnen Sie neteautoDomain W hlen Sie unter neteautoDomain Bereiche aus Die folgenden Bereiche werden angezeigt neteauto_ims_realm Sch tzt die CA IdentityMinder Umgebung neteauto_pub_realm Erm glicht den Support f r ffentliche Aufgaben wie etwa die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 39 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Erstellen Sie in jedem der Bereiche eine Regel Geben Sie die folgenden Details an m Ressource m Aktionen GET POST Um die Verwaltung zu vereinfachen nehmen Sie das NeteAuto Design in den Regelnamen auf Erstellen Sie f r die Dom ne eine Antwort mit den folgenden Antwortattributen m Attribut WebAgent HTTP Header Variable Dieses Attribut f gt einen neuen HTTP Header zur Antwort hinzu m Attributtyp Statisch m Ver nderlicher Name Design Ver nderlicher Wert neteauto ndern Sie die Richtlinie die CA IdentityMinder unter neteautoDomain erstellt hat Geben Sie die folgenden Details an m Benutzer F r LDAP W hlen Sie ou People ou Employees oder ou NeteAuto unter den verf gbaren Mitgliedern aus und f gen Sie die jeweilige Auswahl zu den aktuellen Mitgliedern hinzu Klicken Sie auf OK F r relationale Datenbanken Suchen Sie nach Benutzern bei denen das
212. ene 156 Konfigurationshandbuch Kapitel 5 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis gibt Informationen zu einem Benutzerverzeichnis an das CA IdentityMinder verwaltet Diese Informationen beschreiben wie Objekte wie z B Benutzer Gruppen und Organisationen im Benutzerspeicher gespeichert und in CA IdentityMinder angezeigt werden Sie k nnen CA IdentityMinder Verzeichnisse im CA IdentityMinder Verzeichnisabschnitt der Management Konsole erstellen anzeigen exportieren aktualisieren und l schen Hinweis Wenn CA IdentityMinder einen Cluster von SiteMinder Richtlinienservern verwendet halten Sie alle au er einen Richtlinienserver an bevor Sie CA IdentityMinder Verzeichnisse erstellen oder aktualisieren Dieses Kapitel enth lt folgende Themen Voraussetzungen zum Erstellen eines CA IdentityMinder Verzeichnisses siehe Seite 157 So erstellen Sie ein Verzeichnis siehe Seite 158 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten siehe Seite 158 Erstellen von Verzeichnissen mit einer XML Konfigurationsdatei siehe Seite 172 Aktivieren von Bereitstellungsserver Zugriff siehe Seite 174 Anzeigen von CA IdentityMinder Verzeichnissen siehe Seite 177 CA IdentityMinder Verzeichniseigenschaften siehe Seite 178 Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 Voraussetzungen zum Erstellen eines CA IdentityMinder Verzei
213. ene CGI Module zulassen Machen Sie das Gleiche f r Web Agent Doppelklicken Sie in der Ansicht Features der Standardwebsite auf Handlerzuordnungen 20 21 22 23 24 25 26 27 28 29 30 31 32 Installieren des Web Proxyserver Plug ins Klicken Sie auf der Seite Handlerzuordnungen im Bereich Aktionen auf Skriptzuordnung hinzuf gen und f gen Sie die folgenden Werte hinzu m Anforderungspfad jsp m Ausf hrbare Datei iisproxy dil m Name JSP Klicken Sie auf Einschr nkungen Aktivieren Sie auf der Registerkarte Zuordnung die Option Handler nur bei folgender Zuordnung aufrufen Datei Klicken Sie auf OK Klicken Sie auf Skriptzuordnung hinzuf gen und f gen Sie die folgenden Werte hinzu m Anforderungspfad do m Ausf hrbare Datei C plugin iisproxy dlil Klicken Sie auf Einschr nkungen Die Einstellungen sind die gleichen wie jsp Klicken Sie auf OK Klicken Sie auf Skriptzuordnung hinzuf gen und geben Sie die folgenden Werte ein m Anforderungspfad wlforward m Ausf hrbare Datei C plugin iisproxy dlil Klicken Sie auf Einschr nkungen Die Einstellungen sind die gleichen wie f r jsp Klicken Sie auf Standardwebsite und doppelklicken Sie auf ISAPI Filter Klicken Sie auf der rechten Seite auf Sortierte Liste anzeigen Platzieren Sie die ausf hrbare Datei des SiteMinder Agent an zweiter Stelle in der Liste Nach diesem Eintrag
214. eneinstellungen Gehen Sie folgenderma en vor um Rollen und Aufgabeneinstellungen zu exportieren Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste von CA IdentityMinder Umgebungen wird angezeigt 2 Klicken Sie auf den Namen der entsprechenden CA IdentityMinder Umgebung Das Eigenschaftsfenster f r diese Umgebung wird angezeigt 3 Klicken Sie auf Role and Task Settings Rollen und Aufgaben Einstellungen und anschlie end auf Export 4 Klicken Sie auf ffnen um die Datei in einem Browserfenster anzuzeigen oder auf Speichern um die Einstellungen in einer XML Datei zu speichern 228 Konfigurationshandbuch Role and Task Settings Rollen und Aufgabeneinstellungen Importieren von Rollen und Aufgabeneinstellungen Rollen und Aufgabeneinstellungen werden in XML Dateien definiert die als Rollendefinitionsdateien bezeichnet werden Sie k nnen vordefinierte Rollendefinitionsdateien importieren um bestimmte CA IdentityMinder Funktionss tze zum Beispiel Smart Provisioning zu unterst tzen oder Rollendefinitionsdateien in eine Umgebung aus einer anderen importieren Hinweis Sie k nnen auch Rollendefinitionen f r benutzerdefinierte Connectors importieren die mit Connector Xpress erstellt werden Sie erstellen diese Rollendefinitionsdateien mit dem Generator f r Rollendefinitionen Weitere Informationen finden Sie im Connector Xpress Handbuch Gehen Sie folgenderma en vo
215. enquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbindung aufzunehmen Host nur f r LDAP Verzeichnisse Gibt den Hostnamen oder die IP Adresse des Servers an auf dem das Benutzerverzeichnis installiert ist Verwenden Sie f r CA Directory Benutzerspeicher den vollen Dom nennamen des Hostsystems Verwenden Sie nicht localhost Geben Sie f r Active Directory Benutzerspeicher den Dom nennamen an nicht die IP Adresse Port nur f r LDAP Verzeichnisse Gibt die Portnummer des Benutzerverzeichnisses an Bereitstellungsdom ne Bereitstellungsdom ne die CA IdentityMinder verwaltet Hinweis Der Bereitstellungsdom nenname ber cksichtigt Gro und Kleinschreibung Benutzername Benutzer DN Gibt den Benutzernamen f r ein Konto an das auf den Benutzerspeicher zugreifen kann F r Bereitstellungs Benutzerspeicher muss das Benutzerkonto das Sie angeben das Dom nenadministrator Profil oder ein gleichwertiges Set von Berechtigungen f r die Bereitstellungsdom ne haben Kapitel 5 CA IdentityMinder Verzeichnisse 173 Aktivieren von Bereitstellungsserver Zugriff Kennwort Gibt das Kennwort f r das Benutzerkonto an das Sie im Benutzernamen f r relationale Datenbanken oder Benutzer DN Feld angegeben haben f r LDAP Verzeichnisse Kennwort best tigen Geben Sie das in das Feld Kennwort eingegebene Kennwort erneut zur Best tigung ein Sichere Verbindung nur f r LDAP Verzeichnisse Zeigt
216. ent Konsole ben tigen 3 Klicken Sie auf Update Authentication 4 W hlen Sie die Option Used for Authentication aus 5 Geben Sie den Benutzernamen des ersten Benutzers ein und klicken Sie auf Add 6 F gen Sie weitere Benutzer hinzu die Zugriff auf die Management Konsole ben tigen bis alle Benutzer hinzugef gt wurden Klicken Sie dann auf Speichern Die angegebenen Benutzer k nnen nun mit ihrem Benutzernamen und Kennwort auf die Management Konsole zugreifen Kapitel 11 CA IdentityMinder Schutz 285 Sicherheit an der Management Konsole Deaktivieren der systemeigenen Sicherheit f r die Management Konsole Wenn Sie die systemeigene Sicherheit f r die Management Konsole aktiviert haben und jetzt eine andere Anwendung zum Schutz der Management Konsole verwenden m chten m ssen Sie die systemeigene Sicherheit deaktivieren bevor Sie eine andere Sicherheitsmethode implementieren Gehen Sie wie folgt vor 1 Deaktivieren Sie die systemeigene Sicherheit f r die Management Konsole in der Datei web xml wie folgt a C ffnen Sie die Datei CA IdentityMinder_installation iam_im ear management_console war WEB INF w eb xml in einem Texteditor Legen Sie den Wert des Parameters Enable f r ManagementConsoleAuthFilter wie folgt auf false fest lt filter gt lt filter name gt ManagementConsoleAuthFilter lt filter name gt lt filter class gt com netegrity ims manage filter ManagementCon soleAuthFi
217. enth lt wie folgt die eindeutige Kennung f r das Objekt m True Die Tabelle ist die prim re Tabelle m False Die Tabelle ist eine sekund re Tabelle Standardeinstellung Wenn Sie den Parameter primary nicht angeben geht CA IdentityMinder davon aus dass die Tabelle eine sekund re Tabelle ist Hinweis Nur eine Tabelle kann die prim re Tabelle sein Filter Gibt eine Teilmenge der Tabelleneintr ge an die sich auf das verwaltete Objekt beziehen Der optionale Filterparameter entspricht dem folgenden Beispiel filter ORG 2 Hinweis Der Filter wird nur auf Abfragen angewandt die CA IdentityMinder generiert Wenn Sie eine generierte Abfrage mit einer benutzerdefinierten Abfrage berschreiben geben Sie den Filter in der benutzerdefinierten Abfrage an fullouterjoin Gibt an ob die u ere Verkn pfung eine vollst ndige u ere Verkn pfung ist m True Die u ere Verkn pfung ist eine vollst ndige u ere Verkn pfung In diesem Fall ist die Bedingung die zum Zur ckgeben einer g ltigen Zeile erforderlich ist dass diese in beiden Tabellen der Verkn pfung zu finden ist m False Die u ere Verkn pfung ist eine linke u ere Verkn pfung relativ zur prim ren Tabelle In diesem Fall m ssen nur die Zeilen in einer Tabelle in der Abfrage die Bedingung erf llen Standardeinstellung Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Der Parameter Table kann eines oder mehrere Refe
218. entityMinder verwendet wird Das JBoss Plug in wird konfiguriert Installieren und Konfigurieren eines JBoss Anwendungs Plug ins IIS 6 0 Diese Integration setzt voraus dass SiteMinder einen Benutzer authentifiziert und genehmigt bevor es CA IdentityMinder erreicht Ein Benutzer muss einen SMSESSION Cookie haben bevor er CA IdentityMinder erreicht Verwenden Sie ein von einem SiteMinder Web Agenten gesch tztes Anwendungs Plug in Proxy Umleitung Durch diese Konfiguration wird ein Benutzer von SiteMinder authentifiziert und dann an CA IdentityMinder umgeleitet nachdem ein SMSESSION Cookie erstellt worden ist Dieses Verfahren gilt f r die Bereitstellung und Konfiguration des JBoss Apache Plug ins f r IIS 6 0 Gehen Sie wie folgt vor 1 Stellen Sie einen ISAPI Filter auf dem Dateisystem bereit und aktualisieren Sie ihn Stellen Sie den ISAPI Ordner im Stammverzeichnis des Laufwerks C bereit 2 Bearbeiten Sie die Datei jakarta reg im entpackten Ordner Wenn Sie den ISAPI Ordner im Stammverzeichnis von C platziert haben ndern Sie diese Datei nicht Wenn Sie sie in einem anderen Ordner ablegen geben Sie diesen Ordner in den Zeilen 9 11 und 12 an 3 Speichern Sie Ihre nderungen und doppelklicken Sie dann um die Registrierung zu aktualisieren 4 Bearbeiten Sie die Datei workers properties durch das Angeben des Speicherorts Ihres JBoss Anwendungsservers Der Port und Typ m ssen nicht ge ndert werden 5 Stellen Sie
219. enutzerobjekt Organisationsobjekt oder Gruppenobjekt Abschnitt ausfindig Geben Sie Werte f r die folgenden Parameter an name Gibt einen eindeutigen Namen f r das verwaltete Objekt an Hinweis Dieser Parameter ist erforderlich Beschreibung Enth lt eine Beschreibung des verwalteten Objekts objectclass Gibt den Namen der LDAP Objektklasse f r den Objekttyp Benutzer Gruppe oder Organisation an Die Objektklasse bestimmt die Liste der verf gbaren Attribute f r ein Objekt Wenn Attribute aus mehreren Objektklassen f r einen Objekttyp gelten listen Sie die Objektklassen in einer durch Kommas abgegrenzten Liste auf Wenn ein Objekt zum Beispiel Attribute aus den Person Organizationalperson oder Inetorgperson Objektklassen enth lt f gen Sie diese Objektklassen wie folgt hinzu objectclass top person organizationalperson inetorgperson Jedes LDAP Verzeichnis enth lt ein Set von vordefinierten Objektklassen In der Verzeichnisserver Dokumentation finden Sie Informationen zu vordefinierten Objektklassen Hinweis Dieser Parameter ist erforderlich Kapitel 3 Verwaltung des LDAP Benutzerspeichers 61 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte objecttype Gibt den Typ des verwalteten Objekts an Die folgenden Werte sind g ltig m User m Organisation m Gruppe Hinweis Dieser Parameter ist erforderlich maxrows Gibt die maximale Zahl an Objekten an die CA IdentityMind
220. eption Cannot connect to policy server dfsadf dfsadf at com netegrity ra policyserver impl PSMNanagedConnectionFactory createManagedConnection PSManagedConnectionFactory java 299 at org jboss resource connectionmanager InternallManagedConnectionPool createConnectionEventListener InternalNanagedConnectionPool java 619 at org jboss resource connectionmanager InternalManagedConnectionPool getConnection InternallianagedConnectionPool java 264 at org jboss resource connectionmanager JBossManagedConnectionPool BasePool getConnection JBossManagedConnectionPool java 575 at org jboss resource connectionmanager BaseConnectionManager2 getManagedConnection BaseConnectionManager2 java 347 at org jboss resource connectionmanager TxConnectionlanager getManagedConnection TxConnectionManager Java 330 at org jboss resource connectionmanager BaseConnectionManager2 allocateConnection BaseConnectionManager2 java 402 at org jboss resource connectionmanager BaseConnectionManager2 ConnectionManagerProxy allocateConnection BaseConnectionManager2 java 849 Kapitel 12 Integration von CA SiteMinder 337 Fehlerbehebung Gehen Sie wie folgt vor 1 berpr fen Sie den in ra xml angegebenen Hostnamen lt config property gt lt ceonfig property gt lt config property name gt ConnectionURL lt config property name gt lt config property type gt java lang String lt config property type gt smserver forwardinc ca 44441
221. er CA IdentityMinder Umgebungen aus W hlen Sie die CA IdentityMinder Umgebung die Sie der Richtliniendom ne zuordnen wollen im Dropdown Listenfeld unten auf der Registerkarte aus Klicken Sie auf Hinzuf gen Die Richtlinienserver Benutzeroberfl che f gt Ihre Auswahl zur Liste der CA IdentityMinder Umgebungen oben auf der Registerkarte hinzu Klicken Sie auf OK um die Auswahl zu speichern und das Dialogfeld zu schlie en Die von Ihnen ausgew hlten CA IdentityMinder Umgebungen sind nun verf gbar wenn Sie Richtlinien erstellen Kapitel 12 Integration von CA SiteMinder 365 SiteMinder Vorg nge Erstellen einer SiteMinder Antwort 10 366 Konfigurationshandbuch Melden Sie sich bei der Richtlinienserver Benutzeroberfl che an F hren Sie je nach Ihren Administratorrechten einen der folgenden Schritte aus m Wenn Sie die Berechtigung System und Dom nenobjekte verwalten haben a Klicken Sie im Objektbereich auf die Registerkarte Dom nen b W hlen Sie die Richtliniendom ne aus zu der Sie eine Antwort hinzuf gen m chten m Wenn Sie die Berechtigung zum Verwalten von Dom nenobjekten haben w hlen Sie im Objektbereich die Richtliniendom ne aus zu der Sie eine Antwort hinzuf gen wollen W hlen Sie in der Men leiste Bearbeiten lt Dom nenname gt Antwort erstellen aus Das Antwort Dialogfeld von SiteMinder ffnet sich siehe Antwort Dialogfeld Geben Sie einen Namen und eine Beschreib
222. er Verzeichniseigenschaften 222222200000snnenesnnnnnnnnnnnennnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnensnnnnnnnnnne Fenster CA IdentityMinder Directory Properties Verzeichniseigenschaften 20002222200022200eneeenne Anzeigen von verwalteten Objekteigenschaften und Attributen Validation Rule Sets Validierungsregels tze 220u002ssssensesssnensnsnnnnnnnnnennnnnnsnnnnnnnnnnnnnennnnnnannnnnennnnennennn Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis 22s0s0000222ssnnnennnnnnnennnnnnnnnnnnnensnnnnnnnn Exportieren von CA IdentityMinder Verzeichnissen 22sss0snssssssnnnnnennnensnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn Aktualisieren von CA IdentityMinder Verzeichnissen usesessesssssssnnnnnnnnennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn L schen von CA IdentityMinder Verzeichnissen Kapitel 6 CA IdentityMinder Umgebungen 191 CA IdentityMinder Umgebungen uuussusssessnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnnnnnnnnnonnnnnnnsnnennnnnnnsssnnnennnnnnnn 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen uueeesessssssnnnnnnnnnnennnnennnnnnnennnnnennnn 192 Erstellen einer CA IdentityMinder Umgebung Zugreifen auf eine CA IdentityMinder Umgebung 222222220susnnnnsnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnensnnnnnnnn Konfigurieren einer Umgebung f r d
223. er beim Suchen in einem Benutzerverzeichnis zur ckgeben kann Wenn die Anzahl an Objekten das Limit berschreitet wird ein Fehler angezeigt Durch Festlegen eines Wertes f r den Maxrows Parameter k nnen Sie die Einstellungen im LDAP Verzeichnis berschreiben welche die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der Maxrows Parameter beschr nkt nicht die Anzahl an Objekten die in einem CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign maxpagesize Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten Gr e Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigurationsschritte damit sie Paging unterst tzen Weitere Informationen k nnen Sie dem Abschnitt So_ verbessern Sie die Suchleistung siehe Seite 97 entnehmen Wenn der Benutzerspeicher kein Paging unterst t
224. er mit SiteMinder integriert ist Der Dom nenname hat das folgende Format Identity Manager UmgebungDomain Dabei steht Identity Manager environment f r den Namen der Umgebung die Sie ndern Wenn zum Beispiel der Name employees ist lautet der Dom nenname employeesDomain Erstellen Sie einen Bereich mit dem folgenden Ressourcenfilter Jiam immanage Erstellen Sie eine Regel f r den Bereich Geben Sie ein Sternchen als Filter an um alle Seiten in der Management Konsole zu sch tzen Erstellen Sie eine neue Richtlinie und ordnen Sie sie der Regel zu die Sie im vorherigen Schritt erstellt haben Stellen Sie sicher dass Sie Benutzer zuordnen die mithilfe der Richtlinie auf die Management Konsole zugreifen k nnen Starten Sie den Anwendungsserver neu Kapitel 11 CA IdentityMinder Schutz 287 Sicherheit an der Management Konsole Sch tzen einer vorhandenen Umgebung nach einem Upgrade Nach einem Upgrade auf CA IdentityMinder 12 6 oder h her k nnen Sie die Management Konsole mithilfe der systemeigenen Sicherheit sch tzen Hinweis Sie k nnen die systemeigene CA IdentityMinder Sicherheit nicht verwenden um die Management Konsole zu sch tzen wenn CA IdentityMinder mit CA SiteMinder integriert ist Gehen Sie wie folgt vor 1 288 Konfigurationshandbuch Aktivieren Sie die systemeigene Sicherheit f r die Management Konsole in der Datei web xml wie folgt a ffnen Sie die Datei CA IdentityMinder_i
225. erbindungspool f r die Datenquelle mit den folgenden Informationen Kapitel 4 Verwaltung relationaler Datenbanken 111 So erstellen Sie eine JDBC Datenquelle m Verwenden Sie f r SQL Server 2005 Datenbanken die folgenden Werte URL jdbc salserver db_systemName 1433 Treiberklassenname com microsoft sqlserver jdbc SQLServerDriver Eigenschaften user username databaseName user store name selectMethod cursor Kennwort password m Verwenden Sie f r Oracle Datenbanken die folgenden Werte URL jdbc oracle thin tp_db_systemname 1521 oracle_SID Treiberklassenname oracle jdbc driver OracleDriver Eigenschaften user username Kennwort password Legen Sie nach der Konfiguration als Ziel f r den Pool die Serverinstanz wI_server_name fest berpr fen Sie nach der Bereitstellung des Pools in der Konsole ob Fehler aufgetreten sind Hinweis M glicherweise wird ein Fehler angezeigt demzufolge f r einen nicht vorhandenen Pool die Datenquelle nicht erstellt werden konnte Um diesen Fehler zu beheben starten Sie WebLogic neu WebSphere Datenquellen In den folgenden Abschnitten wird beschrieben wie Sie eine SQL oder Oracle Datenquelle f r WebSphere Anwendungsserver erstellen Erstellen einer SQL Server Datenquelle f r WebSphere Gehen Sie wie folgt vor 1 112 Konfigurationshandbuch Navigieren Sie in der WebSphere Verwaltungskonsole zu dem JDBC Anbieter den Sie bei der Konfiguration des JDBC Treiber erstellt haben W
226. eren und sie Profilattributen in der Verzeichniskonfigurationsdatei zuordnen Organisationsverwaltung F r relationale Datenbanken bietet CA IdentityMinder die Option Organisationen zu verwalten Wenn Ihre Datenbank Organisationen unterst tzt gilt Folgendes m Organisationen haben eine hierarchische Struktur m Alle verwalteten Objekte wie Benutzer Gruppen und andere Organisationen geh ren einer Organisation an m Wenn Sie eine Organisation l schen werden alle Objekte die dieser Organisation angeh ren ebenfalls gel scht Sie konfigurieren das Organisationsobjekt auf die gleiche Weise wie Benutzer und Gruppenobjekte jedoch mit einigen zus tzlichen Schritten So richten Sie die Unterst tzung von Organisationen ein F hren Sie die folgenden Schritte aus um die Unterst tzung von Organisationen einzurichten 1 Konfigurieren Sie die Unterst tzung von Organisationen in der Datenbank siehe Seite 152 2 Beschreiben Sie das Organisationsobjekt in ImsManagedObject siehe Seite 118 Stellen Sie sicher dass Sie die Unterelemente Table und Uniqueldentifier konfigurieren 3 Konfigurieren Sie die bergeordnete Organisation siehe Seite 152 4 Beschreiben Sie die Attribute siehe Seite 123 die eine Organisation ausmachen 5 Definieren Sie die bekannten Attribute f r das Organisationsobjekt siehe Seite 153 Kapitel 4 Verwaltung relationaler Datenbanken 151 Organisationsverwaltung Konfigur
227. ern Verbindungszeitlimit Gibt die maximale Anzahl an Sekunden an die CA IdentityMinder in einem Verzeichnis sucht bevor die Suche beendet wird Hinweis Das DirectorySearch Element ist optional Wenn das Verzeichnis allerdings Paging siehe Seite 97 unterst tzt wird empfohlen das DirectorySearch Element anzugeben Weitere Informationen So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 96 So verbessern Sie die Leistung von gro en Suchen siehe Seite 97 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 59 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte In einem CA IdentityMinder verwalten Sie die folgenden Typen von Objekten die den Eingaben in einem Benutzerverzeichnis entsprechen Benutzer Diese repr sentieren die Benutzer in einem Unternehmen Ein Benutzer geh rt zu einer einzelnen Organisation Gruppen Diese repr sentieren Verbindungen von Benutzern die etwas gemeinsam haben Organisationen Diese repr sentieren Business Units Organisationen enthalten Details zu Benutzern Gruppen oder anderen Organisationen Eine Objektbeschreibung enth lt die folgenden Informationen m Informationen zum Objekt siehe Seite 118 wie etwa zur LDAP Objektklasse oder zum Container in dem Objekte gespeichert werden m Die Attribute in denen Informationen zu einem Eintrag gespeichert sind sie
228. erort der CA IdentityMinder Admin Tools 7 Geben Sie einen Benutzer an der als Systemmanager f r diese Umgebung fungieren soll und klicken Sie auf Weiter a Geben Sie SuperAdmin im Systemmanager Feld ein b Klicken Sie auf Hinzuf gen c Klicken Sie auf Weiter 8 berpr fen Sie die Einstellungen f r die Umgebung m Klicken Sie zum ndern auf Vorherige m Klicken Sie auf Fertigstellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Der Ausgabebildschirm der Umgebungskonfiguration zeigt den Fortschritt der Umgebungserstellung an 9 Klicken Sie auf Fertigstellen um den CA IdentityMinder Umgebungs Assistenten zu verlassen 10 Starten Sie die CA IdentityMinder Umgebung Wenn Sie die NeteAuto Umgebung erstellt haben k nnen Sie folgendes tun m Erstellen Sie ein Design f r diese CA IdentityMinder Umgebung wie unter Setup des NeteAuto Designs siehe Seite 39 beschrieben m Greifen Sie auf die Umgebung wie unter So wird die NeteAuto CA IdentityMinder Umgebung verwendet beschrieben zu So wird die NeteAuto CA IdentityMinder Umgebung verwendet Sie k nnen die NeteAuto CA IdentityMinder Umgebung verwenden um Self Service Aufgaben und Benutzer zu verwalten Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 37 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Verwaltung der Self Service Aufgaben Die Self Service Aufgaben umfassen Folgendes Registrier
229. ers zur ckkehren m chten starten Sie den alternativen Bereitstellungsserver neu Klicken Sie auf Weiter W hlen Sie die zu verwaltenden Objekte aus wie Benutzer oder Gruppen Nachdem Sie die Objekte nach Bedarf konfiguriert haben lassen Sie die Zusammenfassung der Bereitstellung des Verzeichnisses anzeigen und berpr fen die Einstellungen f r das Bereitstellungsverzeichnis Klicken Sie auf eine dieser Aktionen a Klicken Sie auf Zur ck um etwas zu ndern b Klicken Sie auf Speichern um die Verzeichnisinformationen zu speichern wenn Sie sp ter zur Bereitstellung zur ckkommen wollen c Klicken Sie auf Fertig stellen um diesen Vorgang abzuschlie en und anzufangen eine Umgebung f r die Bereitstellung zu konfigurieren siehe Seite 199 Anzeigen von CA IdentityMinder Verzeichnissen F hren Sie den folgenden Vorgang aus um ein CA IdentityMinder Verzeichnis anzuzeigen Gehen Sie wie folgt vor 1 Klicken Sie in der CA IdentityMinder Management Konsole auf Directories Verzeichnisse Klicken Sie auf den Namen des anzuzeigenden CA IdentityMinder Verzeichnisses Das Fenster Verzeichniseigenschaften wird mit den CA IdentityMinder Verzeichniseigenschaften angezeigt Kapitel 5 CA IdentityMinder Verzeichnisse 177 CA IdentityMinder Verzeichniseigenschaften CA IdentityMinder Verzeichniseigenschaften Die CA IdentityMinder Verzeichniseigenschaften sind wie folgt Hinweis Die Eigenschaften die
230. ersions Basisversionen b W hlen Sie die gew nschte Version aus und klicken Sie dann auf Ausw hlen Config Xpress analysiert die Umgebung und zeigt dann Details der Umgebung an 222 Konfigurationshandbuch Verwalten von Konfigurationen Sie k nnen jetzt einen Teil oder die gesamte Umgebung als PDF siehe Seite 225 oder XML siehe Seite 226 ver ffentlichen Wenn Sie eine zweite Umgebung laden k nnen Sie die Umgebungen vergleichen und Komponenten zwischen ihnen verschieben siehe Seite 224 Beispiel Config Xpress nach dem Laden einer Baseline Konfigurationsdatei Dieser Screenshot zeigt wie abh ngige Objekte in Config Xpress angezeigt werden Econfig Xpress olx CA Config Xpress Load Environment i Show XML d Generate Report Me Compare i About o n r12sp7base Environment 4 Attribute Value Event Listeners 2 Business Logic Task Handlers 5 Logical Attribute Handlers 6 tag ApproveDeleteGroupProfile Workflow Participant Resolver 1 screendefinition StandardProfile Emall 21 Zu object GROUP Workflow Mapping 11 Audit Provisioning 3 Screens 1623 Modified 0 New 0 Approve Certify Role Tasks Screen Directory Attribute Approve Delete Group y ApproveDeleteGroupPro gt KORG_MEMBERSHIP Fields GROUP_NAMES name Approve Delete Group Profile Object Dependencies m Config Annrnve Delete Ornanizat nn F Tasks
231. ersucht auf eine gesch tzte Ressource zuzugreifen berpr ft der SiteMinder Richtlinienserver dass die Zugriffsrolle dem Benutzer zugewiesen worden ist und l st dann die in die Richtlinie eingeschlossenen Regeln aus um zu best tigen ob der Benutzer auf die Ressource zugreifen darf So f gen Sie Rollen zu einer SiteMinder Richtlinie hinzu 1 Klicken Sie im SiteMinder Dialogfeld Richtlinie auf die Registerkarte Benutzer Die Registerkarte Benutzer enth lt Registerkarten f r jede s in die Richtliniendom ne eingeschlossene Benutzerverzeichnis und CA IdentityMinder Umgebung W hlen Sie die CA IdentityMinder Umgebung aus die die Rollen enth lt die Sie der Richtlinie hinzuf gen wollen Klicken Sie auf die Schaltfl che Hinzuf gen Entfernen Das Dialogfeld f r die Identity Manager Rolle der SiteMinder Richtlinie ffnet sich Um der Richtlinie Rollen hinzuzuf gen w hlen Sie einen Eintrag aus der Liste der verf gbaren Mitglieder aus und verschieben ihn zur Liste der aktuellen Mitglieder Klicken Sie auf OK um die nderungen zu speichern und zum Dialogfeld der SiteMinder Richtlinie zur ckzukehren Kapitel 12 Integration von CA SiteMinder 367 SiteMinder Vorg nge Ausschlie en von Rollen in einer Richtlinie Neben der Verwendung von Zugriffsrollen um Zugriff auf Anwendungen zu erteilen k nnen Sie Zugriffsrollen auch verwenden um zu verhindern das Mitglieder von Zugriffsrollen auf eine Anwendung zu
232. ert f r maxrows angegeben wird verwendet CA IdentityMinder nur den Wert f r maxrows zum Steuern der Suchgr e Kapitel 3 Verwaltung des LDAP Benutzerspeichers 97 So verbessern Sie die Leistung von Verzeichnissuchen Sie k nnen die maximale Zeilenanzahl und Seitengr e an den folgenden Positionen konfigurieren Benutzerspeicher In den meisten Benutzerspeichern und Datenbanken k nnen Sie Beschr nkungen f r die Suche konfigurieren Hinweis Weitere Informationen finden Sie in der Dokumentation zu dem verwendeten Benutzerspeicher oder zu der verwendeten Datenbank CA IdentityMinder Verzeichnis Sie k nnen das DirectorySearch Element siehe Seite 58 in der verwendeten Verzeichniskonfigurationsdatei directory xmi konfigurieren um das CA IdentityMinder Verzeichnis zu erstellen Standardm ig ist der Wert f r die maximale Zeilenanzahl und Seitengr e f r vorhandene Verzeichnisse unbegrenzt F r neue Verzeichnisse ist der Wert f r die maximale Zeilenanzahl unbegrenzt und der Wert f r die Seitengr e ist 2000 Definition f r verwaltete Objekte Um die maximale Zeilenanzahl und Seitengr e f r einen einzelnen Objekttyp anstatt f r ein ganzes Verzeichnis festzulegen konfigurieren Sie die Definition f r verwaltete Objekte siehe Seite 61 in der verwendeten Datei directory xml um das CA IdentityMinder Verzeichnis zu erstellen Das Festlegen von Beschr nkungen f r einen verwalteten Objekttyp erm gl
233. erung zu aktualisieren 4 Bearbeiten Sie die Datei workers properties durch das Angeben des Speicherorts Ihres JBoss Anwendungsservers Der Port und Typ m ssen nicht ge ndert werden 5 Installieren Sie IIS7 oder IIS7 5 unter Windows 2008 Kapitel 12 Integration von CA SiteMinder 323 Installieren des Web Proxyserver Plug ins 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 324 Konfigurationshandbuch ffnen Sie den Systemmanager und berpr fen Sie dass IIS ISAPI Filter und ISAPI Erweiterung installiert sind Starten Sie inetmgr im Fenster Ausf hren W hlen Sie den Namen aus und doppelklicken Sie auf ISAPI und CGI Einschr nkungen Klicken Sie auf der rechten Seite auf Hinzuf gen Das Fenster ISAPI und CGl Einschr nkungen hinzuf gen wird angezeigt W hlen Sie isapi_redirect dll aus und geben Sie als Beschreibung ISAPI ein Aktivieren Sie das Kontrollk stchen Ausf hrung des Erweiterungspfads zulassen Klicken Sie im Fenster ISAPI und CGl Einschr nkungen hinzuf gen auf OK Erweitern Sie im Bereich Verbindungen den Knoten Sites w hlen Sie die Standardwebsite aus und klicken Sie mit der rechten Maustaste auf Virtuelles Verzeichnis hinzuf gen Geben Sie als Alias jakarta ein und geben Sie den Speicherort der Datei isap_redirect dIl c ajp in den physischen Pfad ein Klicken Sie auf die Schaltfl che Einstellungen tes
234. eschreibung ein und vervollst ndigen Sie alle benutzerdefinierten Attribute die f r die Rolle definiert sind Hinweis Sie k nnen auf dem Register Profil benutzerdefinierte Attribute angeben die weitere Informationen zu Zugriffsrollen enthalten Sie k nnen diese zus tzlichen Informationen verwenden um Rollensuchvorg nge in Umgebungen zu erleichtern die eine gro e Anzahl von Rollen enthalten W hlen Sie die Option Aktiviert aus wenn Sie die Rolle sofort nach der Erstellung f r die Verwendung freigeben m chten Fahren Sie mit dem n chsten Abschnitt Definieren von Mitgliederrichtlinien f r Zugriffsrollen fort Kapitel 12 Integration von CA SiteMinder 357 SiteMinder Vorg nge Ausw hlen von Zugriffsaufgaben f r die Rolle Gehen Sie auf der Registerkarte Aufgaben wie folgt vor 1 W hlen Sie die in diese Rolle einzuschlie enden Aufgaben aus W hlen Sie zuerst die Anwendungen aus dann die Aufgabe Sie k nnen Aufgaben aus verschiedenen Anwendungen einbeziehen Hinweis Wenn eine andere Rolle die Aufgaben hat die Sie ben tigen klicken Sie auf Aufgaben aus einer anderen Rolle kopieren Sie k nnen die angezeigte Liste bearbeiten Beim Erstellen einer Rolle oder Aufgabe sehen Sie Symbole zum Hinzuf gen Bearbeiten und Entfernen von Elementen Weitergehen oder das aktuelle Element ausw hlen um es anzuzeigen oder zu bearbeiten Wenn JavaScript deaktiviert ist klicken Sie auf die Schaltfl che Weiter
235. estellt werden Selbstabonnierende Gruppen Konfiguriert die Unterst tzung f r Gruppen denen Self Service Benutzer beitreten k nnen Das Verzeichnis in dem Sie die Verwaltungstools f r CA IdentityMinder installiert haben enth lt die folgende Vorlage einer Verzeichniskonfigurationsdatei f r relationale Datenbanken admin_tools directoryTemplates RelationalDatabase directory xml admin_tools Definiert das Installationsverzeichnis der CA IdentityMinder Verwaltungstools wie in den folgenden Beispielen dargestellt m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA ldentityManager lAM_Suite ldentity_Manager tools Hinweis Die Vorlage der Verzeichniskonfigurationsdatei in directoryTemplates RelationalDatabase ist f r Umgebungen konfiguriert die Organisationen unterst tzen Um eine Verzeichniskonfigurationsdatei f r eine Umgebung anzuzeigen die keine Organisationen einschlie t suchen Sie in der Datei directory xml nach dem NeteAuto Beispiel im Verzeichnis admin_tools samples NeteAutoRDB NoOrganization Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis oder speichern Sie sie unter einem anderen Namen damit sie nicht berschrieben wird Anschlie end k nnen Sie die Vorlage ndern sodass sie Ihre Datenbankstruktur widerspiegelt In der Verzeichniskonfigurationsdatei gelten zwei wichtige Konventionen m Kennzeichnet erforderliche Werte Um alle erforder
236. f r ein benutzerdefiniertes Design image logo gif lautet k nnen Sie die gleiche Zeichenfolge in das Symbolfeld eingeben Webservices Webservices Login Properties Anmeldeeigenschaften Geben Sie die Authentifizierungsmethode und den Speicherort der Anmeldungsseite an zu der Benutzer umgeleitet werden wenn sie auf eine Umgebung zugreifen Authentication Provider module class name Klassenname des Authentifizierungsanbietermoduls Gibt den Klassennamen des Authentifizierungsanbietermoduls an Anmeldungsseite Gibt die Seite an zu der Benutzer umgeleitet werden wenn sie auf eine Umgebung zugreifen Der Webservice zur externen Ansteuerung von Aufgaben Task Execution Web Service TEWS von CA IdentityMinder erm glicht Clientanwendungen von Drittanbietern CA IdentityMinder Aufgaben zur entfernten Ausf hrung an CA IdentityMinder zu bermitteln Im Eigenschaftsfenster f r Webservices k nnen Sie den TEWS f r eine Umgebung konfigurieren In diesem Fenster k nnen Sie die folgenden Aufgaben ausf hren Aktivieren Sie TEWS f r eine CA IdentityMinder Umgebung Generieren Sie aufgabenspezifische WSDL Dokumente Web Services Definition Language Lassen Sie Identit tswechsel zu Geben Sie an dass das Admin Kennwort zur Authentifizierung erforderlich ist Konfigurieren Sie die SiteMinder Authentifizierung Konfigurieren Sie SiteMinder so dass die URL des Webservices gesichert wird wenn CA IdentityMinder mit SiteMinder
237. f r eine Aufgabe Aktivieren Sie die berwachung f r die Aufgaben f r die Sie die berwachung in der Auditeinstellungsdatei konfiguriert haben Gehen Sie wie folgt vor 1 Melden Sie sich bei der Benutzerkonsole mit Systemadministratorrechten an 2 Erstellen oder ndern Sie die Aufgabe f r die Sie berwachung aktivieren m chten 3 Stellen Sie auf der Registerkarte Profil sicher dass das Kontrollk stchen berpr fung aktivieren aktiviert ist 4 Klicken Sie auf Senden Die berwachung ist jetzt zur Aufgabe aktiviert Kapitel 8 berpr fung 259 So konfigurieren und generieren Sie Audit Datenberichte Bericht anfordern Um den Bericht anzuzeigen fordern Sie einen Bericht bei einem Benutzer mit Berechtigungen zur Berichtsverwaltung an W hlen Sie den entsprechenden Bericht aus der die Audit Daten verfolgt Wenn Ihre Berichtsanfrage eine Genehmigung ben tigt sendet Ihnen das System eine E Mail Warnmeldung Bevor Sie einen Bericht planen f hren Sie folgende Schritte aus 1 2 Melden Sie sich bei der Benutzerkonsole mit Administratorrechten an Gehen Sie zu Rollen und Aufgaben Admin Aufgabe ndern und w hlen Sie eine Audit Bericht aus der ge ndert werden soll W hlen Sie die Registerkarte Registerkarte aus und klicken Sie zur Bearbeitung auf IAM ReportServerScheduler Aktivieren Sie das Kontrollk stchen Option Wiederholungen aktivieren Klicken Sie auf OK und auf Senden
238. f FacesfFilter doFilter2 FacesFilter java 180 Fehlerbehebung L sung Ein paar Dinge k nnen dies verursachen aber es ist blicherweise eines des Folgenden Sie haben direkt auf CA IdentityMinder zugegriffen Der SiteMinder Agent am Proxy ist deaktiviert das hei t nichts ist gesch tzt der SMSESSION Cookie wird nicht erstellt Die SiteMinder Dom ne f r die CA IdentityMinder Umgebung ist falsch konfiguriert Die ersten beiden Ursachen sind ziemlich offensichtlich Vergewissern Sie sich dass Sie ber den Webserver mit dem voll funktionsf higen aktivierten Web Agenten umleiten Wenn Sie allerdings ber den Webserver gehen und der Agent aktiviert ist m ssen Sie die Dom ne ndern Gehen Sie wie folgt vor 1 2 Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Finden Sie Ihre CA IdentityMinder Dom ne und klicken Sie durch die Schichten um sie zu ndern Klicken Sie auf die Registerkarte Bereich und dann auf den ersten Bereich in der Liste Der Standardspeicherort des Schr gstrichs ist unter dem Bereich L schen Sie ihn Klicken Sie in die Regel unter diesem Bereich Die standardm ige Ressource f r die Regel ist ein Sternchen F gen Sie den Schr gstrich vor dem Sternchen hinzu Sie haben den Schr gstrich vom Bereich zur Regel verschoben Der Schutz ist der gleiche aber SiteMinder behandelt es anders Sie k nnen sich erfolgreich bei CA IdentityMinder durch SiteMinder
239. festzulegen weisen Sie den entsprechenden Benutzern die Rolle des Systemmanagers in der Benutzerkonsole zu Geben Sie im Feld Inbound Administrator Administrator f r Eingehendes ein CA IdentityMinder Administratorkonto an das Admin Aufgaben ausf hren kann die eingehenden Zuordnungen zugeordnet sind Der Benutzer muss alle diese Aufgaben f r einen beliebigen Benutzer ausf hren k nnen Die Rolle Manager f r Bereitstellungssynchronisierung enth lt die Bereitstellungsaufgaben die in den eingehenden Standardzuordnungen enthalten sind Geben Sie ein Kennwort f r den Schl sselspeicher ein Dabei handelt es sich um die Datenbank mit Schl sseln die zum Verschl sseln und Entschl sseln von Daten verwendet werden Die Definition dieses Kennworts ist eine Voraussetzung f r das Definieren dynamischer Schl ssel Sie k nnen das Kennwort ndern nachdem Sie die Umgebung mithilfe der Aufgaben System Geheime Schl ssel erstellt haben Eine Seite wird angezeigt auf der die Einstellungen f r die Umgebung zusammengefasst werden berpr fen Sie die Einstellungen f r die Umgebung Klicken Sie auf Vorherige um die Einstellungen zu ndern oder auf Fertig stellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Im Fenster Environment Configuration Output Umgebungskonfigurations Ausgabe wird der Verlauf der Umgebungserstellung angezeigt Klicken Sie auf Fortfahren um den CA IdentityM
240. formationen finden Sie im Administrationshandbuch Beschreibung 124 Konfigurationshandbuch Gibt die Beschreibung des Attributs an So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei valuetype Gibt den Datentyp des Attributs an Die folgenden Werte sind g ltig Zeichenfolge Der Wert kann eine beliebige Zeichenfolge sein Dies ist der Standardwert Integer Der Wert muss eine Ganzzahl sein Hinweis Der Parameter Integer unterst tzt keine Dezimalzahlen Number Der Wert muss eine Ganzzahl sein Der Parameter Number unterst tzt Dezimalzahlen Datum Der Wert muss sich in ein g ltiges Datum nach folgendem Muster aufl sen lassen MM TT INJ ISODate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJ MM TT aufl sen lassen UnicenterDate Der Wert muss sich in ein g ltiges Datum nach dem Muster JJJJJJJTTT aufl sen lassen Dabei gilt JJJJJJJ ist eine siebenstellige Darstellung des Jahres beginnend mit drei Nullen Beispiel 0002008 TTT ist eine dreistellige Darstellung des Tages beginnend mit Nullen sofern erforderlich G ltige Werte reichen von 001 bis 366 Wenn der Werttyp eines Attributs falsch ist k nnen CA IdentityMinder Abfragen fehlschlagen Um sicherzugehen dass ein Attribut in der Datenbank korrekt gespeichert ist k nnen Sie ihm eine Validierungsregel zuordnen required Gibt wie folgt an ob zum Angeben des Attributs ein Wert erforderlich ist m
241. formationsmeldungen wie Ablaufverfolgungsmeldungen und Ablaufstatusmeldungen Dar ber hinaus sind Daten wie Headerdetails und Cookievariablen hierin eingeschlossen Hinweis Weitere Informationen zu Web Agent Protokolldateien finden Sie im CA SiteMinder Web Access Manager Web Agent Konfigurationshandbuch So verfolgen Sie Komponenten und Datenfelder Wenn CA IdentityMinder mit SiteMinder integriert ist k nnen Sie den Richtlinienserver Profiler von SiteMinder verwenden um Komponenten und Datenfelder in den CA IdentityMinder Erweiterungen f r den Richtlinienserver zu verfolgen Mithilfe des Profilers k nnen Sie Filter f r die Ablaufverfolgungsausgabe konfigurieren sodass nur bestimmte Werte f r eine Komponente oder ein Datenfeld erfasst werden Hinweis Anweisungen zur Verwendung des Richtlinienserver Profilers finden Sie im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch Sie k nnen die Ablaufverfolgung f r die folgenden Komponenten aktivieren Function_Begin_End Stellt untergeordnete Ablaufverfolgungsanweisungen bereit wenn gewisse Methoden in den CA IdentityMinder Erweiterungen f r den Richtlinienserver ausgef hrt werden IM_Error Verfolgt Laufzeitfehler in den CA IdentityMinder Erweiterungen f r den SiteMinder Richtlinienserver IM_Info Stellt allgemeine Ablaufverfolgungsinformationen f r die CA IdentityMinder Erweiterungen bereit IM_Internal Verfolgt allgemeine Informationen ber inte
242. g verschl sselt 74 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Beachten Sie Folgendes bevor Sie die Verschl sselung auf Attributebene implementieren m CA ldentityMinder kann bei einer Suche keine verschl sselten Attribute finden Nehmen Sie an dass ein verschl sseltes Attribut einer Mitglieds Admin oder Eigent merrichtlinie bzw einer Identit tsrichtlinie hinzugef gt wird CA IdentityMinder kann die Richtlinie nicht richtig aufl sen weil eine Suche nach dem Attribut nicht m glich ist Ziehen Sie in Erw gung das Attribut in der directory xmi Datei auf searchable false festzulegen zum Beispiel lt ImsManagedObjectAttr physicalname title description Title displayname Title valuetype String maxlength 0 searchable false gt lt Datallassification name AttributeLevelEncrypt gt lt ImsManagedObjectAttr gt m Wenn CA IdentityMinder einen gemeinsamen Benutzerspeicher und ein gemeinsames Bereitstellungsverzeichnis verwendet verschl sseln Sie nicht die Bereitstellungsserver Attribute m Aktivieren Sie AttributeLevelEncrypt nicht f r Benutzerkennw rter in Umgebungen die den folgenden Kriterien entsprechen Umfassen eine CA SiteMinder Integration und Speichern Benutzer in einer relationalen Datenbank Wenn CA IdentityMinder mit CA SiteMinder integriert wird f hren verschl sselte Kennw rter zu Problemen wenn neue Benutzer versuchen
243. gelehnte Ereignisse einschlie lich des Grundes f r die Ablehnung m Status der Kontosynchronisierung m Status der Identit tsrichtliniensynchronisierung m Bereitstellungsinformationen wenn die Bereitstellung aktiviert ist Kapitel 10 CA IdentityMinder Protokolle 277 So verfolgen Sie Probleme in CA IdentityMinder Anwendungsserverprotokolle Diese Protokolle zeigen Informationen zu allen Komponenten in einer CA IdentityMinder Installation an und enthalten Details zu allen Vorg ngen in CA IdentityMinder Der Speicherort und Typ der Protokolldatei h ngt davon ab welchen der folgenden Anwendungsservertypen Sie verwenden m WebLogic CA IdentityMinder Informationen werden in die Standardausgabe geschrieben Die Standardausgabe ist normalerweise das Konsolenfenster in dem die Serverinstanz ausgef hrt wird m JBoss CA IdentityMinder Informationen werden in das Konsolenfenster in dem die Serverinstanz ausgef hrt wird und in die Datei iboss_home server log server log geschrieben m WebSphere CA IdentityMinder Informationen werden in das Konsolenfenster in dem die Serverinstanz ausgef hrt wird und in die Datei was_home AppServer logs server_name SystemOut geschrieben Weitere Informationen finden Sie in der Dokumentation zu Ihrem Anwendungsserver Verzeichnisserver Protokolldatei Enth lt Informationen zu Aktivit ten im Benutzerverzeichnis Die Art der aufgezeichneten Informationen und der Speicherort der Proto
244. gement Konsole uuseeseeseessssssennnnssssnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnennnnnsnensnnsennnnnsnsssnssnnnnn 284 Hinzuf gen zus tzlicher Administratoren zur Management Konsole uuuenssensssnenenensnnnnnnnennnnnnnnnnnennnnnnnnnennnn 285 Deaktivieren der systemeigenen Sicherheit f r die Management Konsole uusssnssnsennnnensnnnnnnnnnnenennnnn 286 Sch tzen der Management Konsole mit SiteMinder 22222200000nsnnsnennnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnsnnnnnnnn 286 Sch tzen einer vorhandenen Umgebung nach einem Upgrade uussssssenessnenenennnnnnnnnnnnnnnnnnonnnnnnnennnnnnn 288 Sch tz vor CSRF ngriffen ssuaisn a e a Ea Ei eE neun E aaae a eat aaa E A aa i 289 Kapitel 12 Integration von CA SiteMinder 291 SiteMinder und CA IdentityMinder 0 e ee ann nennen iin SEE EDANE ai 292 So sch tzen Si Ressourcen rimo nnee aeaiee aeaeaei aeea an dr ann ne here EEEN sterne de CEER EAEE AAA EEE sen een era 293 bersicht ber die Integration von SiteMinder und CA IdentityMinder unesnesesesseseseeeseneensnnnenennnnnnnnnnnnenenennnnn 294 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder uuuussssessssssnnsnnnnnnennnennennnnennnnnnnn 299 Konfigurieren einer relationalen Datenbank 22usssssssensennnensnnnnnnnennnensnnnnnnnsnnnnnnnennnonsnnnnannsnsnnnnnensonsnnnnnn 300 Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Serve
245. gen Sie die folgende Zeile in die Datei ein C plugin plugin cfg xml Laden Sie das Websphere Plug in Installationsprogramm von www ibm com auf das System herunter wo WebSphere installiert ist Wechseln Sie zum Speicherort des WebSphere Plug in Installationsprogramms Generieren Sie die Datei iisWASPlugin_http dll durch die Verwendung dieses Befehls install is javahome c IBM WebSphere AppServer Java Beantworten Sie auf die angezeigten Fragen basierend auf Ihrer Konfiguration Wenn der Assistent beendet ist wird die Datei iisWASPlugin_http dll im Ordner C IBM WebSphere Plugs bin gespeichert Suchen Sie die Unterordner f r 32 Bit oder 64 Bit Kopieren Sie dieDatei iisWASPlugin_http dll in den Ordner C plugin auf dem System mit dem Web Agenten Erstellen Sie wie folgt ein virtuelles Verzeichnis a ffnen Sie den IIS Manager b Klicken Sie mit der rechten Maustaste auf die Standardwebsites c Klicken Sie auf Neues virtuelles Verzeichnis und geben Sie diese Werte an Alias sePlugins es Gro und Kleinschreibung beachtet wird Pfad c plugin Berechtigung Lesen Ausf hren ISAPI oder CGI 10 Installieren des Web Proxyserver Plug ins F gen Sie wie folgt einen ISAPI Filter hinzu a b Klicken Sie mit der rechten Maustaste auf die Standardwebsite Klicken Sie auf Eigenschaften Klicken Sie auf der Registerkarte ISAPI Filter auf Hinzuf gen Geben Sie diese Werte an Filtername sePlu
246. gen und f gen Sie die Datei zur ck in die ZIP Datei ein 6 Importieren Sie die archivierte Umgebungs ZIP Datei erneut Sie m ssen die Umgebung nicht l schen die aus dem fehlgeschlagenen Versuch erstellt wurde Beim erneuten Importieren behebt eine korrigierte Datei die Fehler des fehlgeschlagenen Versuchs 344 Konfigurationshandbuch Fehlerbehebung CA IdentityMinder Verzeichnis oder Umgebung kann nicht erstellt werden Symptom Es kann kein CA IdentityMinder Verzeichnis oder Umgebung erstellt werden wenn SiteMinder Integration aktiviert ist L sung Dieses Problem kann von einer fehlenden Eingabe in der Registrierung verursacht werden berpr fen Sie dass die folgende Registrierungseinstellung auf dem SiteMinder Richtlinienserver Rechner vorhanden ist m Solaris oder Linux berpr fen Sie dass die folgende Eingabe in sm registry vorhanden ist ImsiInstalled 8 0 REG_SZ m Windows berpr fen Sie dass ImsInstalled 8 0 REG_SZ am folgenden Speicherort vorhanden ist HKLM SOFTWARE Netegrity SiteMinder CurrentVersion Hinweis Wenn der Registrierungspfad Netegrity SiteMinder CurrentVersion nicht vorhanden ist erstellen Sie ihn manuell Wenn Sie die Registrierung ndern m ssen Sie den Richtlinienserver neu starten damit die nderungen in Kraft treten Wichtig Bevor Sie die Registrierung ndern f hren Sie eine vollst ndige Systemsicherung aus Kapitel 12 Integration von CA SiteMinder 345
247. gen Sie den Wert in der Datei plugin cfg loc auf den Speicherort der Konfigurationsdatei fest Der Standardspeicherort ist C plugin plugin cfg xml Aktualisieren des Web Agenten Nachdem Sie IIS 7 x konfiguriert haben f hren Sie folgende nderungen im Web Agenten durch 1 Klicken Sie auf Anwendungspools und ndern Sie den Standardanwendungspool zu klassischem Modus Klicken Sie auf Senden Stellen Sie sicher dass der Agent in der ISAPI Filter Priorit tsliste h her ist als das Plug in f r den Anwendungsserver der von CA IdentityMinder verwendet wird Starten Sie IIS Version 7 x und Ihr WebSphere Anwendungsserverprofil neu Kapitel 12 Integration von CA SiteMinder 319 Installieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf IIS Nachdem Sie den IBM HTTP Server und das Proxy Plug in konfiguriert haben vergewissern Sie sich dass plugin cfg xml des Proxys am richtigen Speicherort ist und f hren Sie die Schritte aus um eine zus tzliche Plug in Datei zu konfigurieren Gehen Sie wie folgt vor 1 320 Konfigurationshandbuch Kopieren Sie plugin cfg xml folgenderma en a Melden Sie sich beim System an wo der Web Agent installiert wird b Erstellen Sie einen Ordner ohne Leerzeichen auf dem Laufwerk C Beispiel C plugin c Kopieren Sie die Datei plugin cfg xml in den Ordner C plugin Erstellen Sie eine Datei namens plugin cfg loc im Ordner C plugin und f
248. gins Ausf hrbar c plugin iisWASPlugin_http dll Erstellen Sie wie folgt eine Webdiensterweiterung Blenden Sie in IIS6 Manager den Computernamen ein Erstellen Sie eine Webdiensterweiterung und setzen Sie sie auf Zulassen Erweiterungsname WASPlugin Pfad C plugin iisWASPlugin_http dll Klicken Sie mit der rechten Maustaste auf jede Webdiensterweiterung um sie zum Status Zugelassen zu ndern Starten Sie den IIS Webserver neu Stellen Sie im Master WW W Service sicher dass das WebSphere Plug in sePlugin nach dem SiteMinder Web Agent Plug in angezeigt wird und dass das WebSphere Plug in erfolgreich gestartet wurde Kapitel 12 Integration von CA SiteMinder 321 Installieren des Web Proxyserver Plug ins Abschlie en der Konfiguration auf iPlanet oder Apache Nachdem Sie den IBM HTTP Server und das Proxy Plug in konfiguriert haben vergewissern Sie sich dass plugin cfg xml des Proxys am richtigen Speicherort ist und starten den Webserver neu Gehen Sie wie folgt vor 1 322 Konfigurationshandbuch Kopieren Sie plugin cfg xml aus dem System wo Sie das Proxy Plug in installiert haben zum folgenden Speicherort websphere_home AppServer profiles server_name config cells websphere_cell no des webserver1_node servers webserver1 Stellen Sie sicher dass das WebSphere Plug in libns41_http so nach dem SiteMinder Web Agent Plug in NSAPIWebAgent so auf allen iPlanet Webservern geladen wird berpr fe
249. greifen Um Mitglieder von Zugriffsrollen davon abzuhalten auf eine Anwendung zuzugreifen schlie en Sie die Rollen aus den SiteMinder Richtlinien aus Wenn ein Benutzer dem die ausgeschlossene Zugriffsrolle in CA IdentityMinder zugewiesen worden ist versucht auf eine gesch tzte Ressource zuzugreifen berpr ft der Richtlinienserver den Ausschluss der CA IdentityMinder Rolle f r den zugeordneten Benutzer Nach der berpr fung sperrt er Zugriff auf die Ressource Gehen Sie wie folgt vor 1 Klicken Sie im SiteMinder Dialogfeld Richtlinie auf die Registerkarte Benutzer Die Registerkarte Benutzer enth lt Registerkarten f r jede s in die Richtliniendom ne eingeschlossene Benutzerverzeichnis und CA IdentityMinder Umgebung 2 Klicken Sie auf die CA IdentityMinder Umgebung die die Rollen enth lt die Sie aus Ihrer Richtlinie ausschlie en wollen 3 Klicken Sie auf die Schaltfl che Hinzuf gen Entfernen Das Dialogfeld f r die CA IdentityMinder Rolle der SiteMinder Richtlinie ffnet sich 4 Um der Richtlinie Rollen hinzuzuf gen w hlen Sie einen Eintrag aus der Liste der verf gbaren Mitglieder aus und klicken Sie auf den Pfeil nach links der auf die Liste der aktuellen Mitglieder verweist Der umgekehrte Vorgang entfernt Rollen aus der aktuellen Mitgliederliste 5 W hlen Sie in der Liste der aktuellen Mitglieder die auszuschlie enden Rollen aus und zu klicken Sie auf die Schaltfl che Ausschlie en die si
250. h die Gro Kleinschreibung nicht ber cksichtigt 5 Klicken Sie auf Hinzuf gen Kapitel 6 CA IdentityMinder Umgebungen 227 Role and Task Settings Rollen und Aufgabeneinstellungen CA IdentityMinder f gt die neue Eigenschaft in der Liste der vorhandenen Eigenschaften f r die Umgebung hinzu 6 Klicken Sie auf Speichern Role and Task Settings Rollen und Aufgabeneinstellungen Im Fenster Role and Task Settings Rollen und Aufgabeneinstellungen in der Management Konsole k nnen Sie Fenster Registerkarten Rollen und Aufgabeneinstellungen in eine XML Datei die als Rollendefinitionsdatei bezeichnet wird importieren oder aus dieser Datei exportieren CA IdentityMinder stellt vordefinierte Rollendefinitionsdateien bereit mit denen Fenster Registerkarten Rollen und Aufgaben f r eine Reihe von Funktionen erstellt werden Zum Beispiel gibt es eine Rollendefinitionsdatei die Smart Provisioning unterst tzt und andere Dateien die Fenster f r die Endpunktverwaltung unterst tzen Dar ber hinaus k nnen Sie eine Rollendefinitionsdatei verwenden um die Einstellungen von einer Umgebung auf mehrere Umgebungen zu bertragen F hren Sie die folgenden Aufgaben aus m Konfigurieren Sie Fenster Registerkarten Aufgaben und Rolleneinstellungen in einer Umgebung m Exportieren Sie diese Einstellungen in eine XML Datei m Importieren Sie die XML Datei in die gew nschte Umgebung Exportieren von Rollen und Aufgab
251. he Seite 123 Zum Beispiel ist im Attribut pager eine Pagernummer gespeichert Hinweis Eine CA IdentityMinder Umgebung unterst tzt nur einen Typ von Benutzer Gruppe oder Organisationsobjekt Zum Beispiel weisen alle Benutzerobjekte die gleiche Objektklasse auf Beschreibung von verwalteten Objekten Ein verwaltetes Objekt wird durch das Angeben der Objektinformation in den Benutzerobjekt Gruppenobjekt und Organisationsobjekt Abschnitten der Verzeichniskonfigurationsdatei beschrieben Hinweis Wenn die Konfigurationsvorlage directory xml Datei verwendet wird ist der Organisationsobjekt Abschnitt f r jene Benutzerverzeichnisse nicht verf gbar die keine Organisationen unterst tzen Jeder dieser Abschnitte enth lt ImsManagedObject Elemente wie im folgenden Beispiel dargestellt lt ImsManagedObject name User description My Users objectclass top person organizationalperson inetorgperson objecttype USER gt 60 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Optional kann das ImsManagedObject Element ein Container Element enthalten wie im folgenden Beispiel dargestellt lt Container objectclass top organizationallnit attribute ou value people gt Angeben von Objektinformationen Objektinformationen werden angegeben indem Sie Werte f r verschiedene Parameter festlegen Gehen Sie wie folgt vor 1 Machen Sie das ImsManagedObject Element im B
252. hen Sie davon aus dass Sie einen LDAP Benutzerspeicher verwenden und einen Benutzercontainer wie ou People in der Verzeichniskonfigurationsdatei directory xm f r Ihr CA IdentityMinder Verzeichnis konfiguriert haben Vergewissern Sie sich dass die Benutzer die Sie ausw hlen wenn Sie die CA IdentityMinder Umgebung erstellen in diesem Container vorhanden sind Die Auswahl eines Benutzerkontos das im Benutzercontainer nicht vorhanden ist kann Fehler verursachen Wenn Sie eine CA IdentityMinder Umgebung konfigurieren um ein LDAP Benutzerverzeichnis mit einer flachen Benutzerstruktur zu verwalten muss das Profil f r den ausgew hlten Benutzer die Organisation des Benutzers einschlie en Um sicherzustellen dass das Profil eines Benutzers richtig konfiguriert wird f gen Sie dem physischen Attribut das dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei siehe Seite 87 entspricht den Namen der Organisation des Benutzers hinzu Wenn zum Beispiel die Beschreibung des physischen Attributs dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei zugeordnet ist und der Benutzer zur Organisation Employees geh rt muss das Profil des Benutzers das Attribut Wertpaar description Employees enthalten Kapitel 6 CA IdentityMinder Umgebungen 193 Erstellen einer CA IdentityMinder Umgebung Gehen Sie wie folgt vor 1 6 Wenn CA IdentityMinder einen Richtlinienserver Cluster verwendet beenden Sie alle bis
253. hen Sie wie folgt vor 1 Wechseln Sie in der Benutzerkonsole zu Berichte Berichtsaufgaben und klicken Sie auf Meine Berichte anzeigen 2 Suchen Sie den generierten Bericht den Sie anzeigen m chten Es werden sowohl Wiederholungsberichte als auch Instanzen von Berichten bei Bedarf angezeigt Hinweis Wenn der Status des Berichts Ausstehend Wiederholend lautet wird der Bericht nicht generiert und es kann l nger dauern den Bericht abzuschlie en 3 W hlen Sie den Bericht aus der angezeigt werden soll 4 Optional Klicken Sie oben links auf Diesen Bericht exportieren um den Bericht in den folgenden Formaten zu exportieren m Crystal Reports m PDF m Microsoft Excel 97 2003 m Microsoft Excel 97 2003 nur Daten m Microsoft Excel 97 2003 Bearbeitbar m Rich Text Format RTF m Getrennte Werte CSV m XML Kapitel 8 berpr fung 263 Bereinigen der Audit Datenbank Bereinigen der Audit Datenbank In der berpr fungsdatenbank k nnen sich Datens tze ansammeln die nicht mehr ben tigt werden Um diese Datens tze zu entfernen f hren Sie die folgende Datenbankprozedur im Verzeichnis db auditing aus garbageCollectAuditingl2 environment ID MM DD YYYY Umgebungs ID Gibt die ID der CA IdentityMinder Umgebung an TT MM JJJJ Gibt das Datum an vor dem berpr fungsdatens tze gel scht werden sollen 264 Konfigurationshandbuch Kapitel 9 Produktionsumgebungen Dieser Abschnitt enth
254. hentifizierung um die Umgebung zu sch tzen Es ist keine zus tzliche Konfiguration erforderlich um die grundlegende Authentifizierung zu verwenden Sie k nnen jedoch erweiterte Authentifizierungsmethoden mithilfe der administrativen SiteMinder Benutzeroberfl che konfigurieren Hinweis Weitere Informationen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Kapitel 11 CA IdentityMinder Schutz 283 Sicherheit an der Management Konsole Sicherheit an der Management Konsole Die Management Konsole erm glicht Administratoren CA IdentityMinder Verzeichnisse und Umgebungen zu erstellen und zu verwalten Dar ber hinaus k nnen Administratoren die Management Konsole verwenden um benutzerdefinierte Funktionen f r eine Umgebung zu konfigurieren Die CA IdentityMinder Installation beinhaltet eine Option zum Schutz der Management Konsole Diese Option ist standardm ig aktiviert W hrend der Installation geben Sie Anmeldeinformationen an die CA IdentityMinder zum Authentifizieren eines Administrators verwendet der auf die Management Konsole zugreifen kann CA IdentityMinder erstellt einen Benutzer mit den Anmeldeinformationen die Sie in einem Bootstrap Verzeichnis namens AuthenticationDirectory angeben Sie k nnen dieses Verzeichnis in der Management Konsole anzeigen Hinweis Sie k nnen die systemeigene Sicherheit nicht verwenden um die Management Konsole zu sch tzen wenn CA IdentityMinder mit
255. hiede zwischen den beiden Umgebungen an 3 Suchen Sie in der Liste mit den Unterschieden nach einer Komponente die Sie verschieben m chten Zum Sortieren der Liste k nnen Sie auf die Spalte Name klicken 4 F hren Sie f r jede Komponente die folgenden Schritte aus a W hlen Sie das Element in der Spalte Aktion aus Config Xpress analysiert die Komponente Dieser Vorgang kann etwas Zeit in Anspruch nehmen b Wenn die Komponente abh ngige Komponenten aufweist wird das Feld Add Modified Dependant Screens Ge nderte abh ngige Fenster hinzuf gen angezeigt Klicken Sie auf Ja oder Nein um fortzufahren Wenn Sie alle zu verschiebenden Komponenten ausgew hlt haben k nnen Sie damit beginnen die aktualisierten Komponenten zu verschieben 5 Wenn Sie die Komponenten auf einen Live Server verschieben klicken Sie auf Upload To Hochladen auf Die Komponenten werden sofort verschoben 6 Wenn Sie die Komponenten in eine Umgebungsdatei verschieben 224 Konfigurationshandbuch Verwalten von Konfigurationen a Klicken Sie auf Speichern b Geben Sie einen Dateinamen ein und klicken Sie erneut auf Speichern Config Xpress speichert alle Komponenten die Sie in einer XML Datei ausgew hlt haben Sie k nnen diese XML Datei jetzt in die eigentliche Zielumgebung importieren Ver ffentlichen von PDF Berichten Config Xpress kann einen Bericht generieren in dem der aktuelle Status einer CA IdentityMinder U
256. hlen Sie im Abschnitt Weitere Eigenschaften die Option Datenquellen aus Erstellen Sie eine Datenquelle mit den folgenden Eigenschaften und klicken Sie auf Anwenden Name User Store Data Source JNDI Name userstore Datenbankname userstore_name Servername db_systemname So erstellen Sie eine JDBC Datenquelle 4 Konfigurieren Sie die selectMethod Eigenschaft wie folgt a W hlen Sie im Abschnitt Weitere Eigenschaften die Option Benutzerdefinierte Eigenschaften aus b Klicken Sie auf die benutzerdefinierte Eigenschaft selectMethod c Geben Sie den folgenden Text in das Feld Wert ein cursor d Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen 5 Konfigurieren Sie einen neuen J2C Authentifizierungsdateneintrag f r die Benutzerspeicher Datenquelle a W hlen Sie im Abschnitt f r verkn pfte Elemente J2EE Connector Architecture Authentifizierungsdateneintr ge J2C aus b Klicken Sie auf Neu c Geben Sie folgende Eigenschaften ein Alias User Store Benutzer ID username Kennwort password Dabei stehen username und password f r den Benutzernamen und das Kennwort des Kontos das Sie beim Erstellen der Datenbank angegeben haben d Klicken Sie auf OK und verwenden Sie dann die Navigationsverkn pfungen oben in dem Fenster um zu der Datenquelle zur ckzukehren die Sie erstellen 6 W hlen Si
257. hlossen wird oder wenn ein der Workflow Steuerung unterliegendes Ereignis einen bestimmten Status annimmt Zum Beispiel kann ein Genehmiger per E Mail dar ber informiert werden dass ein Ereignis genehmigt werden muss Um den Inhalt von E Mail Benachrichtigungen anzugeben k nnen Sie entweder vordefinierte E Mail Vorlagen verwenden oder die Vorlagen an Ihre Anforderungen anpassen Mithilfe der Management Konsole k nnen Sie die folgenden Aufgaben ausf hren m Aktivieren von E Mail Benachrichtigungen f r eine CA IdentityMinder Umgebung m Angeben der Vorlagens tze f r das Erstellen von E Mail Nachrichten m Angeben der Ereignisse und Aufgaben f r die E Mail Benachrichtigungen gesendet werden Ereignis Listener Eine CA IdentityMinder Aufgabe besteht aus einer oder mehreren Aktionen sogenannten Ereignissen die CA IdentityMinder w hrend der Ausf hrung der Aufgabe durchf hrt Die Aufgabe Benutzer erstellen kann beispielsweise die folgenden Ereignisse umfassen m CreateUserEvent Erstellt ein Benutzerprofil in einer Organisation m AddToGroupEvent Optional F gt den Benutzer als Mitglied einer Gruppe hinzu m AssignAccessRole Optional Weist einem Benutzer eine Zugriffsrolle zu Ein Ereignis Listener berwacht die Umgebung auf ein bestimmtes Ereignis und f hrt dann zu einem bestimmten Zeitpunkt im Lebenszyklus eines Ereignisses benutzerdefinierte Business Logic aus Nachdem ein neuer Benutzer in CA IdentityMinder erste
258. hrere Werte unterst tzen Unter Gruppieren bekannter Attribute siehe Seite 83 finden Sie weitere Informationen ber das Attribut GROUP_ADMIN_GROUP Hinweis Wenn Sie als Typ der Admin Gruppe ALL festlegen ohne das bekannte Attribut GROUP_ADMIN_GROUP festzulegen speichert CA IdentityMinder die Administratorgruppen im Attribut GROUP_ADMIN 2 Konfigurieren Sie im Abschnitt f r das Verhalten von Verzeichnisadministratorgruppen das AdminGroupTypes Element wie folgt lt AdminGroupTypes type ALL gt Hinweis Die Standardeinstellung von AdminGroupTypes ist NONE Nachdem Sie die Unterst tzung von Gruppen als Administratoren im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren in der Benutzerkonsole Gruppen als Administratoren von anderen Gruppen angeben Validierundgsregeln Eine Validierungsregel setzt Anforderungen an Daten durch die ein Benutzer in ein Feld des Aufgabenfensters eingibt Die Anforderungen k nnen festlegen dass ein bestimmter Datentyp oder ein bestimmtes Format zu verwenden ist Vergewissern Sie sich daher ob die Daten im Kontext der anderen Daten im Aufgabenfenster g ltig sind Validierungsregeln sind Profilattributen zugeordnet CA IdentityMinder stellt sicher dass die f r ein Profilattribut eingegebenen Daten alle zugeh rigen Validierungsregeln erf llen bevor eine Aufgabe verarbeitet wird Sie k nnen Validierungsregeln definieren und sie Profilatt
259. hten w hlen Sie die entsprechenden Rollendefinitionsdateien aus Hinweis Dieser Schritt ist optional Wenn Sie keine zus tzlichen Standardaufgaben zur Unterst tzung neuer Funktionen erstellen m chten berspringen Sie dieses Fenster 11 Definieren Sie einen Benutzer als Systemmanager f r diese Umgebung wie folgt a Geben Sie im Feld System Manager Systemmanager den Wert ein der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordnet ist oder geben Sie eins der folgenden Benutzerkonten an LDAP Benutzer geben die eindeutige Kennung oder den zugeh rigen DN des Benutzers ein Wenn der DN des Benutzer DN zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin ein Benutzer von relationalen Datenbanken geben die eindeutige Kennung f r den Benutzer ein 196 Konfigurationshandbuch 12 13 14 15 16 17 Erstellen einer CA IdentityMinder Umgebung b Klicken Sie auf Hinzuf gen CA IdentityMinder f gt die vollst ndige Kennung des Benutzers in der Liste mit Benutzern hinzu c Klicken Sie auf Weiter Beachten Sie beim Festlegen des Systemmanagers Folgendes m Der Systemmanager darf nicht der gleiche Benutzer wie der Administrator des Benutzerspeichers sein m Sie k nnen mehrere Systemmanager f r die Umgebung angeben Sie k nnen jedoch nur den ersten Systemmanager in der Management Konsole angeben Um zus tzliche Systemmanager
260. i direkt importieren Die folgenden Felder sind in diesem Fenster verf gbar Name Gibt den Namen des Benutzerverzeichnisses an mit dem Sie Verbindung aufnehmen Beschreibung Gibt eine Beschreibung des Benutzerverzeichnisses an Host Gibt den Hostnamen f r den Computer an wo sich der Benutzerspeicher befindet Kapitel 5 CA IdentityMinder Verzeichnisse 161 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Port Gibt den Port f r den Computer an wo sich der Benutzerspeicher befindet User DN Benutzer DN Gibt den Benutzerdom nennamen zum Zugriff auf den LDAP Benutzerspeicher an JDBC Datenquellen INDI Name Gibt den Namen einer vorhandenen JDBC Datenquelle an die CA IdentityMinder verwendet um mit der Datenbank Verbindung aufzunehmen Benutzername Gibt den Benutzernamen zum Zugriff auf den Provisioning Server an Hinweis Ausschlie lich f r Provisioning Server Dom ne Gibt den Dom nennamen zum Zugriff auf den Provisioning Server an Hinweis Ausschlie lich f r Provisioning Server Kennwort Gibt das Kennwort zum Zugriff auf den LDAP Benutzerspeicher bzw den Provisioning Server an Kennwort best tigen Best tigt das Kennwort zum Zugriff auf den LDAP Benutzerspeicher bzw den Provisioning Server Sichere Verbindung Bei Auswahl wird eine Secure Sockets Layer SSL Verbindung zum LDAP Benutzerverzeichnis erzwungen Suchstamm Gibt den Speicherort in einem LDAP Verzeichn
261. icher zugegriffen wird vormals verschl sselt war und dass eine Entschl sselung erforderlich ist Der eindeutige Textwert wird im Benutzerspeicher gesichert wenn das Objekt gespeichert wird Ungekennzeichnet verschl sselt Zeigt an dass das Attribut vormals im Benutzerspeicher verschl sselt war und dass kein Kennungsname des Verschl sselungsalgorithmus am Anfang des verschl sselten Textes vorliegt Datentyp Gibt den Datentyp des Wertes f r das verwaltete Objektattribut in der Benutzerkonsole an Zur Auswahl stehen folgende Komponenten m READONLY m WRITEONCE m READWRITE Maximum Length Maximale L nge Gibt die maximale L nge des Wertes f r das verwaltete Objektattribut an Standard 0 Validation Rule Set Validierungsregelsatz Gibt die Validierungsregels tze an um den Wert des verwalteten Objektattributs zu validieren Zur Auswahl stehen folgende Komponenten m User Validation Benutzervalidierung m Phone Format Telefonformat m International Phone Format Internationales Telefonformat Schaltfl che Zur ck Klicken Sie auf diese Schaltfl che um zum Modifizieren zum Fenster der grundlegenden Objektattribut Definitionen zur ckzukehren Schaltfl che Weiter Klicken Sie auf diese Schaltfl che um mit dem Fenster zum Konfigurieren der verwalteten Objekte fortzufahren In diesem Fenster k nnen Sie das n chste zu konfigurierende verwaltete Objekt ausw hlen Sobald Sie die verwalteten Objekte konfiguriert
262. icht es Ihnen Anpassungen basierend auf den Gesch ftsanforderungen vorzunehmen Zum Beispiel haben die meisten Unternehmen mehr Benutzer als Gruppen Diese Unternehmen k nnen nur Limits f r Benutzerobjektsuchen festlegen Aufgabensuchfenster Sie k nnen die Anzahl der Suchergebnisse steuern die Benutzern in den Such und Listenfenstern der Benutzerkonsole angezeigt werden Wenn die Ergebnisanzahl die maximale Anzahl von Ergebnissen pro Seite berschreitet die f r die Aufgabe definiert ist werden den Benutzern Links zu weiteren Ergebnisseiten angezeigt Diese Einstellung wirkt sich nicht auf die Anzahl der Ergebnisse aus die von einer Suche zur ckgegeben werden Hinweis Weitere Informationen zum Festlegen der Seitengr e in Such und Listenfenstern finden Sie im Administrationshandbuch Wenn die maximale Zeilenanzahl und Seitengr e an mehreren Positionen definiert werden gilt die jeweils spezifischste Einstellung Zum Beispiel haben Einstellungen f r verwaltete Objekte Vorrang vor Einstellungen auf Verzeichnisebene 98 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server Sun Java System Directory Server unterst tzt Virtual List View VLV eine Methode zum Zur ckgeben von Suchergebnissen in einer bestimmten Reihenfolge oder in bestimmten Teilmengen Diese Methode unterscheidet sich von der Simple Paged Results Methode
263. icht mehr verschl sselt Vorhandene Werte werden entschl sselt wenn Sie das Objekt speichern das dem Attribut zugeordnet wird Hinweis Um den Attributwert zu entschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um zum Beispiel ein Kennwort f r einen vorhandenen Benutzer zu entschl sseln speichern Sie das Benutzerobjekt mit einer Aufgabe die das Kennwortfeld enth lt beispielsweise die Aufgabe Benutzer ndern 76 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Um zu erzwingen dass CA IdentityMinder alle verschl sselten Werte erkennt und entschl sselt die f r das Attribut im Benutzerspeicher verbleiben k nnen Sie eine andere Datenklassifizierung PreviouslyEncrypted angeben Der Klartextwert wird im Benutzerspeicher gespeichert wenn Sie das Objekt speichern Hinweis Durch die Datenklassifizierung PreviouslyEncrypted wird bei jedem Laden des Objekts der Verarbeitungsaufwand erh ht Um Leistungsbeeintr chtigungen zu verhindern k nnen Sie die Datenklassifizierung PreviouslyEncrypted hinzuf gen jedes Objekt dem dieses Attribut zugeordnet ist laden und speichern und anschlie end die Datenklassifizierung wieder entfernen Mit dieser Methode werden alle gespeicherten verschl sselten Werte automatisch in gespeicherten Klartext konvertiert Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniseinstellunge
264. ider gt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 55 Verbindung zum Benutzerverzeichnis Das Anbieter Element umfasst die folgenden Parameter type Gibt den Typ der Datenbank an Geben Sie LDAP Standard f r alle LDAP Benutzerspeicher an userdirectory Gibt den Namen der Benutzerverzeichnisverbindung an Hinweis Geben Sie keinen Namen f r die Benutzerverzeichnisverbindung in der Datei directory xml an CA IdentityMinder fordert Sie auf den Namen anzugeben wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen Hinweis Die Parameter sind optional LDAP Unterelement Das LDAP Unterelement enth lt die folgenden Parameter searchroot Gibt den Speicherort in einem LDAP Verzeichnis an das als Ausgangspunkt f r das Verzeichnis dient blicherweise ist dies eine Organisation O oder eine Organisationseinheit OU sicher Erzwingt eine Secure Sockets Layer SSL Verbindung zum LDAP Benutzerverzeichnis wie folgt m True CA IdentityMinder verwendet eine sichere Verbindung m False CA IdentityMinder stellt ohne SSL Standard eine Verbindung zum Benutzerverzeichnis her Hinweis Die Parameter sind optional Anmeldeinformationen Unterelement Um eine Verbindung zu einem LDAP Verzeichnis herzustellen muss CA IdentityMinder g ltige Anmeldeinformationen bereitstellen Die Anmeldeinformationen werden in dem Anmeldeinformationen Unterelement definiert das dem folgenden Code entspricht
265. ie Bereitstellung Konfigurieren des Inbound Administrators Administrator f r Eingehendes 22220000220000nnennneneennnen 199 Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver uuueneeessseneneneneennnnn 201 Konfigurieren der Synchronisierung im Bereitstellungsmanager Importieren von benutzerdefinierten Bereitstellungsrollen 2u0ss000022222200nuunnnnsnnnnnnnnnnnennnnnnnnnnnnnnnnnennnn Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen uusesesessssssnnnenonensnnnnnnennnnnnnennnn 203 So k nnen Sie Connectors mithilfe von Connector Xpress erstellen und bereitstellen 22222200000 204 Verwalten von Umgeb ngen u arena sende ans ane na sn die arara aada har A AaS Er eaa ENA ia Eai i ndern von CA IdentityMinder Umgebungseigenschaften Umgeb ngseinstellungen ansssnecenn nenne een wherein Exportieren einer CA IdentityMinder Umgebung 2222000000200002nnnnnnnnnensnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Importieren einer CA IdentityMinder Umgebung 22222s0usnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn Neustarten einer CA IdentityMinder Umgebung 22220000000000ssnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn L schen einer CA IdentityMinder Umgebung Verwalten von Konfigurationen een asia ernennen Einrichten von Config Xpress ueesseensessssnn
266. ie Connectors mithilfe von Connector Xpress erstellen und bereitstellen Sie k nnen die Bereitstellung f r eine Umgebung konfigurieren um Konten in anderen Systemen f r Benutzer bereitzustellen die von CA IdentityMinder verwaltet werden Konten bieten Benutzern Zugriff auf zus tzliche Ressourcen wie ein E Mail Konto Sie geben diese zus tzlichen Konten an indem Sie die Bereitstellungsrollen zuweisen die Sie ber CA IdentityMinder erstellen Konfigurieren einer Umgebung f r die Bereitstellung Voraussetzungen berpr fen administrator Bereitstellungs server Zugriff aktivieren Inbound Administrator konfigurieren Verbindung zwischen einer Umgebung und dem Bereitstellungsserver herstellen Synchronisierung im Bereitstellungs manager konfigurieren Benutzerdefinierte Bereitstellungsrollen importieren Kontensynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen Stellen Sie als Administrator folgende Schritte fertig 1 berpr fen der Voraussetzungen siehe Seite 205 204 Konfigurationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung 2 Aktivieren von Bereitstellungsserver Zugriff siehe Seite 174 3 Konfigurieren des Inbound Administrators Administrator f r Eingehendes siehe Seite 199 4 Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver siehe Seite 201 5 Konfigurieren der Synchronisierung im Bereitstellungsmanage
267. ie eine Verschl sselung auf Attributebene f r ein CA IdentityMinder Verzeichnis hinzugef gt haben CA IdentityMinder verschl sselt automatisch vorhandene Klartext Attributwerte wenn Sie das Objekt speichern das dem Attribut zugeordnet ist Wenn Sie zum Beispiel das Kennwortattribut verschl sseln wird beim Speichern des Benutzerprofils das Kennwort verschl sselt Hinweis Um den Attributwert zu verschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um das Kennwortattribut im vorherigen Beispiel zu verschl sseln vergewissern Sie sich dass das Kennwortfeld der Aufgabe hinzugef gt wird die Sie zum Speichern des Objekts verwenden zum Beispiel die Aufgabe Benutzer ndern Alle neuen Objekte werden mit verschl sselten Werten im Benutzerspeicher erstellt 132 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Gehen Sie wie folgt vor 1 F hren Sie eine der folgenden Aufgaben aus m Erstellen Sie ein CA IdentityMinder Verzeichnis m Aktualisieren Sie ein vorhandenes Verzeichnis indem Sie die Verzeichniseinstellungen exportieren 2 F gen Sie dem Attribut das Sie in der directory xml Datei verschl sseln m chten die folgenden Datenklassifizierungs Attribute hinzu AttributeLevelEncrypt Behalten Sie den Attributwert im Benutzerspeicher in verschl sselter Form bei sensitive optional Blendet den Attributwert in CA IdentityM
268. ie f r die Zuordnung zu den LDAP Attributen erforderlich sind Optionale Well Knowns Gibt die bekannten Attribute f r Benutzer Gruppen oder Organisationen an wenn anwendbar die optional zugeordnet werden k nnen Neuer Well Known Gibt ein bekanntes Attribut an auf das ber benutzerdefinierten Code verwiesen wird Schaltfl che Hinzuf gen Klicken Sie hier um ein neues bekanntes Attribut zur Tabelle der optionalen Well Knowns hinzuzuf gen Schaltfl che Zur ck Klicken Sie hier um zum Fenster der ausgew hlten Benutzerattribute zur ckzugehen und weitere Attribute auszuw hlen Die Zuordnungen die Sie bereits vorgenommen haben werden gespeichert und sind verf gbar wenn Sie zu diesem Fenster zur ckkehren Schaltfl che Weiter Klicken Sie hier um mit dem Fenster der grundlegenden Objektattribut Definition fortzufahren und um grundlegende Attributdefinitionen anzugeben Weitere Informationen Bekannte Attribute f r einen LDAP Benutzerspeicher siehe Seite 79 Bekannte Attribute f r Gruppen siehe Seite 83 Bekannte Attribute f r Benutzer siehe Seite 80 Bekannte Attribute zur Organisation siehe Seite 85 Kapitel 5 CA IdentityMinder Verzeichnisse 167 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Fenster der grundlegenden Objektattribut Definition Verwenden Sie dieses Fenster um die in blicher Weise festgelegten Definitionen anzuzeigen und zu ndern
269. ie k nnen ein CA IdentityMinder Verzeichnis durch das Importieren einer vollst ndigen directory xml Datei in der Management Konsole erstellen oder aktualisieren Hinweis Wenn Sie ein Verzeichnis unter Verwendung einer directory xmi Datei anstelle des Assistenten f r Verzeichniskonfiguration erstellen vergewissern Sie sich dass Sie die Standardkonfigurationsvorlage ge ndert haben Weitere Informationen finden Sie im Konfigurationshandbuch Gehen Sie wie folgt vor 1 172 Konfigurationshandbuch ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http hostname port iam immanage Hostname Definiert den voll qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist port Definiert die Portnummer des Anwendungsservers Klicken Sie auf Directories Verzeichnisse Das CA IdentityMinder Verzeichnisfenster wird ge ffnet Klicken Sie auf Create or Update from XML Aus XML erstellen oder aktualisieren Geben Sie den Pfad und Dateinamen der Verzeichniskonfigurations XML Datei f r das Erstellen des CA IdentityMinder Verzeichnisses ein oder suchen Sie nach der Datei Klicken Sie auf Weiter Geben Sie Werte f r die Felder in diesem Fenster folgenderma en an Hinweis Die Felder die in diesem Fenster angezeigt werden h ngen vom Benutzerspeichertyp und der Information ab die Sie in der Verzeichniskonfigurationsdatei in Schritt 4 angegeben haben Wenn Sie Wert
270. ieren der Unterst tzung von Organisationen in der Datenbank Gehen Sie wie folgt vor 1 ffnen Sie eines der folgenden SQL Skripte in einem Editor m Microsoft SQL Server Datenbanken ims_mssql_rdb sql m Oracle Datenbanken ims_oracle_rdb sql Diese Dateien sind in den folgenden Verzeichnissen gespeichert admin_tools directoryTemplates RelationalDatabase admin_tools bezieht sich auf das Installationsverzeichnis der Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools 2 Suchen Sie im SQL Skript nach lt primary organization table gt und ersetzen Sie den Eintrag durch den Namen der prim ren Tabelle f r das Organisationsobjekt Speichern Sie das SQL Skript 3 F hren Sie das SQL Skript in der Datenbank aus Spezifikation der Stammorganisation Die Stammorganisation dient als bergeordnete Organisation im Verzeichnis Alle Organisationen beziehen sich auf diese Stammorganisation In der folgenden Abbildung ist NeteAuto die Stammorganisation Die anderen Organisationen sind Unterorganisationen von NeteAuto NeteAuto Supplier Employee 152 Konfigurationshandbuch Organisationsverwaltung Eine vollst ndige Definition der Stammorganisation entspricht dem folgenden Beispiel lt ImsManagedObject name Organization description M
271. iert oder deaktiviert angibt kann zu Fehlern f hren wenn ein Administrator einen Benutzer erstellt Hinweis Zusatzinformationen ber CA Directory Anforderungen k nnen Sie der CA Directory Dokumentation entnehmen Microsoft Active Directory berlegungen Wenn Sie Attribute f r Active Directory beschreiben beachten Sie die folgenden Punkte Der Fall der in den Attributbeschreibungen spezifizierten Attribute muss mit dem Fall der Attribute unter Active Directory bereinstimmen Wenn Sie zum Beispiel das unicodePwd Attribut als das Attribut zum Speichern von Benutzerkennw rtern ausw hlen geben Sie unicodePwd mit gro em P in der Verzeichniskonfigurationsdatei an Vergewissern Sie sich bei Benutzer und Gruppenobjekten dass Sie das sAMAccountName Attribut einschlie en IBM Verzeichnisserver berlegungen Wenn Sie Attribute f r ein Benutzerverzeichnis des IBM Verzeichnisservers beschreiben m ssen Sie die folgenden Abschnitte ansehen Gruppen in Verzeichnisserver Verzeichnissen siehe Seite 78 Die Objektklasse Top in der Organisationsobjekt Beschreibung siehe Seite 79 Gruppen in Verzeichnisserver Verzeichnissen Der IBM Verzeichnisserver verlangt dass Gruppen mindestens ein Mitglied enthalten Um dieser Anforderung zu entsprechen f gt CA IdentityMinder einen Dummy Benutzer als Mitglied einer neuen Gruppe hinzu wenn die Gruppe erstellt wird Konfigurieren Sie einen Dummy Benutzer Gehen Sie wie folgt vor
272. ierungsverzeichnis im Abschnitt Erweitert der Bereichsdefinition zu Suchen Sie die Antwort Identity Manager Umgebungresponse_ims F gen Sie den Antworten wie folgt Antwortattribute hinzu Wert Web Agent HTTP Header Variable Benutzerattribut sm_userdn SM_USERNAME 10 Speichern Sie die nderungen 374 Konfigurationshandbuch CA IdentityMinder verwendet jetzt unterschiedliche Verzeichnisse f r Authentifizierung und Autorisierung SiteMinder Vorg nge So verbessern Sie die Leistung von LDAP Verzeichnisvorg ngen Das Bearbeiten von Verzeichnisvorg ngen kann l nger dauern weil alle CA IdentityMinder Anfragen f r das LDAP Benutzerverzeichnis durch ein festes Set von Verbindungen geleitet werden Um den Durchsatz von CA IdentityMinder Anfragen an den Benutzerspeicher zu erh hen konfigurieren Sie SiteMinder um mehrere Verbindungen f r das gleiche Verzeichnis zu ffnen F gen Sie dazu den LDAP Server in der Richtlinienserver Benutzeroberfl che mehrmals zum LDAP Verzeichnis Failover und zur Lastenausgleichseinrichtung hinzu Wie oft Sie den LDAP Server eingeben und die Anzahl der zu erstellenden Verbindungen h ngt von der Last auf CA IdentityMinder ab Kapitel 12 Integration von CA SiteMinder 375 Anhang A FIPS 140 2 Kompatibilit t Dieses Kapitel enth lt folgende Themen lt FIPS gt bersicht siehe Seite 377 Kommunikation siehe Seite 378 Installation siehe Seite 378 Herstellen einer Ve
273. iese Verfolgungskomponente Die Datenfelder f r die Sie die Ablaufverfolgung konfigurieren k nnen werden im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch aufgef hrt Kapitel 10 CA IdentityMinder Protokolle 281 Kapitel 11 CA IdentityMinder Schutz Dieses Kapitel enth lt folgende Themen Sicherheit an der Benutzerkonsole siehe Seite 283 Sicherheit an der Management Konsole siehe Seite 284 Schutz vor CSRF Angriffen siehe Seite 289 Sicherheit an der Benutzerkonsole Die Benutzerkonsole ist die Benutzeroberfl che an der Administratoren Objekte wie Benutzer Gruppen und Organisationen in einer CA IdentityMinder Umgebung verwalten k nnen Diesen Objekten wird ein Satz zugeh riger Rollen und Aufgaben zugeordnet Wenn sich ein Administrator an der Benutzerkonsole anmeldet werden die mit dem Administrator verkn pften Aufgaben in dieser Umgebung angezeigt Standardm ig schr nkt CA IdentityMinder den Zugriff auf die Benutzerkonsole mittels einer systemeigenen Authentifizierung ein CA IdentityMinder Administratoren m ssen einen g ltigen Benutzernamen und ein Kennwort eingeben um sich an einer CA IdentityMinder Umgebung anzumelden CA IdentityMinder authentifiziert den Namen und das Kennwort mithilfe des Benutzerspeichers den CA IdentityMinder verwaltet Wenn allerdings CA IdentityMinder mit SiteMinder integriert ist verwendet CA IdentityMinder automatisch die grundlegende SiteMinder Aut
274. igurationshandbuch f r CA SiteMinder Richtlinienserver Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden Erstellen Sie ein Authentifizierungsschema wie im Konfigurationshandbuch f r CA SiteMinder Richtlinienserver beschrieben ndern Sie den Bereich der die entsprechende CA IdentityMinder Umgebung sch tzt um das Authentifizierungsschema zu verwenden das Sie in Schritt 1 erstellt haben Der Bereichsname hat das folgende Format Identity Manager Umgebung_ims_realm Hinweis Wenn Sie Support f r ffentliche Aufgaben konfiguriert haben sehen Sie einen zus tzlichen Bereich Identity Manager Umgebung_pub_realm Dieser Bereich verwendet ein anonymes Authentifizierungsschema um unbekannten Benutzern zu erm glichen die Funktionen f r Selbstregistrierung und vergessene Kennw rter zu verwenden ohne Anmeldeinformationen anzugeben ndern Sie die Authentifizierungsschemen f r diese Bereiche nicht Importieren von Datendefinitionen in den Richtlinienspeicher Sie k nnen den Zugriff eines Benutzers auf Anwendungsfunktionen mithilfe von SiteM
275. ihe von Sternchen an Zum Beispiel k nnen Sie Kennw rter als Sternchen anstelle von Klartext anzeigen Blenden Sie den Attributwert in den Fenstern Gesendete Aufgaben anzeigen aus Mithilfe dieser Option k nnen Sie Attribute ausblenden damit Administratoren sie nicht sehen Zum Beispiel k nnen Gehaltsdetails wie die H he des Gehalts vor Administratoren verborgen werden die den Aufgabenstatus in CA IdentityMinder anzeigen aber keine Gehaltsdetails anzeigen m ssen Ignorieren Sie bestimmte Attribute wenn Sie eine Kopie eines vorhandenen Objekts erstellen Verschl sseln von Attributen Feldtypen in Aufgabenprofilfenstern Wenn Sie ein Attribut nicht in der directory xml Datei ndern m chten legen Sie die Anzeigeeigenschaft f r das Attribut in den Bildschirmdefinitionen fest in denen das vertrauliche Attribut angezeigt wird Mithilfe des Feldtyps k nnen Sie Attribute wie Kennw rter als Reihe von Sternchen anstelle von Klartext anzeigen Hinweis Weitere Informationen zum Feldtyp f r vertrauliche Attribute finden Sie in den Abschnitten zu Feldtypen in der Benutzerkonsolen Hilfe Kapitel 3 Verwaltung des LDAP Benutzerspeichers 71 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Datenklassifizierungs Attribute Das Datenklassifizierungs Element bietet eine Methode f r das Zuordnen von zus tzlichen Eigenschaften zu einer Attributbeschreibung Die Werte in diesem Element legen fe
276. ilfsprogramm pwdtools bat oder pwdtools sh kann w hrend der CA IdentityMinder Installation von der Befehlszeile den Verschl sselungscode generieren Bearbeiten Sie die Datei pwdtools bat pwdtools sh bevor Sie das Kennwort Tool verwenden und legen Sie die JAVA_HOME Variable wie erforderlich fest Wichtig CA IdentityMinder unterst tzt keine Datenmigration oder Wiederverschl sselung Stellen Sie deshalb sicher dass die Verschl sselungscodes nach der Installation nicht ge ndert werden Dieser Befehl hat folgende Syntax pwdtools FIPSKEY JSAFE FIPS RC2 p plain text k lt key file location gt f lt encrypting parameters file gt JSAFE Verschl sselt einen einfachen Textwert unter Verwendung des PBE Algorithmus Beispiel pwdtools JSAFE p mypassword Hinweis In fr heren Versionen wurde das Kennwort f r den bootstrap Administrator als Klartext gespeichert Wenn Sie ein Upgrade oder eine Migration auf CA IdentityMinder r12 6 SP1 oder h her durchf hren dann m ssen Sie das Klartextkennwort manuell verschl sseln Stellen Sie sicher dass die JSAFE Option angegeben wird wenn Sie das Tool verwenden und befolgen Sie diese Schritte 1 Nachdem Sie ein Upgrade oder eine Migration auf CA IdentityMinder r12 6 SP1 oder h her durchgef hrt haben gehen Sie zur CA IdentityMinder Objektspeicherdatenbank und suchen Sie folgende Tabelle IM_AUTH_USER 2 Verschl sseln Sie das Klartextkennwort indem Sie das Kennwort
277. in den Sie unter Als neuer Benutzer registrieren siehe Seite 38 erstellt haben und klicken Sie auf Weiter Beantworten Sie bei jeder Aufforderung die berpr fungsfrage Die Antwort ist derjenige die Sie w hrend der Registrierung angegeben haben Hinweis Auf jede Frage ist die richtige Antwort erforderlich Das Abbrechen der Aufgabe oder das Schlie en des Browsers wird als fehlgeschlagener Versuch gewertet Klicken Sie auf Senden CA IdentityMinder fordert Sie auf ein neues Kennwort bereitzustellen Die Benutzerverwaltung umfasst die folgenden Vorg nge Zugreifen auf die NeteAuto CA IdentityMinder Umgebung ndern eines Benutzers Zuweisen der Gruppen Manager Rolle Erstellen einer Gruppe Verwalten von selbst registrierten Benutzern Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 41 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Zugreifen auf die NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um auf die NeteAuto CA IdentityMinder Umgebung zuzugreifen Gehen Sie wie folgt vor 1 Einen Benutzer ndern Geben Sie die folgende URL in einen Browser ein http hostname iam im neteauto imcss index jsp Hostname Definiert den vollst ndig qualifizierten Dom nennamen wie im folgenden Beispiel http myserver mycompany com iam im neteauto imcss index jsp Hinweis Wenn Sie das NeteAuto Design nicht konfiguriert haben k nnen Sie die folgende URL verwend
278. in der Benutzerobjektdefinition in der Verzeichniskonfigurationsdatei directory xml angegeben ist Wird in diesen Objektklassen kein vorhandener Benutzer gefunden versucht CA IdentityMinder den Benutzer zu erstellen Ist ein Benutzer mit der gleichen eindeutigen Kennung Benutzer ID aber einer anderen Objektklasse vorhanden schl gt die Erstellung des Benutzers am LDAP Server fehl Am LDAP Server wird daraufhin ein Fehler gemeldet CA IdentityMinder erkennt diesen Fehler jedoch nicht Es hat daher den Anschein als w rde CA IdentityMinder den Benutzer erfolgreich erstellen Um dieses Problem zu vermeiden k nnen Sie die Eigenschaft SEARCH_ACROSS_CLASSES konfigurieren durch die CA IdentityMinder bei der berpr fung auf vorhandene Benutzer diese ber alle Objektklassendefinitionen hinweg sucht Hinweis Diese Eigenschaft wirkt sich nur auf Suchen nach doppelten Benutzern aus wenn Aufgaben wie das Erstellen eines Benutzers ausgef hrt werden Bei allen anderen Suchen gelten die Objektklasseneinschr nkungen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 93 Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei directory xml das ImsManagedObject Element das das Benutzerobjekt beschreibt 2 F gen Sie das folgende PropertyDict Element hinzu lt PropertyDict name SEARCH ACROSS CLASSES description allowing checking an attribute acr
279. inder Fenstern aus Ein Kennwort wird zum Beispiel als Reihe von Sternchen angezeigt Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt DataClassification name sensitive gt 3 Wenn Sie ein CA IdentityMinder Verzeichnis erstellt haben ordnen Sie das Verzeichnis einer Umgebung zu 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort verschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Entfernen der Verschl sselung auf Attributebene Wenn im CA IdentityMinder Verzeichnis ein verschl sseltes Attribut enthalten ist dessen Wert als Klartext gespeichert ist k nnen Sie die AttributeLevelEncrypt Datenklassifizierung entfernen Nachdem die Datenklassifizierung entfernt worden ist werden die neuen Attributwerte in CA IdentityMinder nicht mehr verschl sselt Vorhandene Werte werden entschl sselt wenn Sie das Objekt speichern das dem Attribut zugeordnet wird Hinweis Um den Attributwert zu entschl sseln muss die Aufgabe die Sie zum Speichern des Objekts verwenden das Attribut einschlie en Um zum Beispiel ein Kennwort f r einen vorhandenen Benutzer zu entschl sseln speichern Sie das Benutzerobjekt mit eine
280. inder Richtlinien steuern Die Richtlinienserver Installation schlie t die erforderlichen Datendefinitionen ein um diese Steuerung zu erm glichen Importieren Sie die Datei IdmSmObjects xdd von diesem Speicherort siteminder_home xps dd siteminder_home ist der Richtlinienserver Installationspfad 352 Konfigurationshandbuch SiteMinder Vorg nge Planen von Zugriffsrollen Um den Zugriff auf Anwendungen zu steuern erstellen Sie Zugriffsrollen und Aufgaben Eine Zugriffsaufgabe gibt den Zugriff auf eine Funktion in einer Anwendung an Eine Zugriffsrolle enth lt eine oder mehrere Zugriffsaufgaben f r eine oder mehrere Anwendungen Wenn eine Zugriffsrolle einem Benutzer zugewiesen worden ist kann der Benutzer die Funktionen verwenden die in dieser Rolle vorhanden sind Zugriffsrollen f r Anwendungszugriff enth lt weitere Details zum Zweck von Zugriffsrollen Zugriffsrollen erfordern die Konfiguration in Identity Manager und SiteMinder Zwei Administratoren m ssen beteiligt werden m Identity Manager Administrator Muss f hig sein Zugriffsrollen und Aufgaben in Identity Manager zu erstellen Die Standardrollen System Manager und Zugriffsrollen Manager schlie en diese Aufgaben ein m SiteMinder Administrator Muss einen Systemgeltungsbereich haben und System und Dom nenobjekte verwalten k nnen Weitere Informationen dazu finden Sie unter CA eTrust SiteMinder Richtliniendesign Hinweis Die Richtliniendesign Benu
281. inder Umgebung macht es erforderlich dass ein oder mehrere Systemmanager die initialen Rollen und Aufgaben mithilfe der Benutzerkonsole spezifisch anpassen Sobald ein Systemmanager die initialen Rollen und Aufgaben erstellt kann der Manager den Benutzern in dieser Umgebung Administratorrechte gew hren Die Benutzer werden zu Administratoren welche die Benutzer Gruppen oder Organisationen verwalten Weitere Informationen finden Sie im Administrationshandbuch 14 Konfigurationshandbuch Mehrere CA IdentityMinder Umgebungen Mehrere CA IdentityMinder Umgebungen Erstellen Sie mehrere CA IdentityMinder Umgebungen wenn Sie Folgendes m chten Verwalten zus tzlicher Benutzerspeicher Sie k nnen Benutzer in unterschiedlichen Typen von Benutzerspeichern verwalten Beispiel Ihr Unternehmen speichert all seine Benutzerprofile in einem Sun Java System LDAP Verzeichnis Sie gehen ein Joint Venture mit einem Partner ein der eine Oracle Datenbank verwendet um Benutzerinformationen zu speichern Sie m chten jeweils eine andere CA IdentityMinder Umgebung f r jedes Set von Benutzern einsetzen m Verwalten Sie Objekte mit unterschiedlichen LDAP Objektklassen Ziehen Sie dabei in Betracht dass CA IdentityMinder ein LDAP Verzeichnis verwaltet Innerhalb des gleichen Verzeichnisses k nnen Sie Objekte des gleichen Typs mit verschiedenen Objektklassen und attributen verwalten Beispiel Die folgende Abbildung zeigt ein Verzeichnis das zwei Typen von
282. inder Umgebungsassistenten zu beenden Starten Sie die Umgebung Klicken Sie auf den Namen der Umgebung und anschlie end auf Starten Wenn Sie in Schritt 1 Richtlinienserver beendet haben starten Sie diese jetzt neu Kapitel 6 CA IdentityMinder Umgebungen 197 Zugreifen auf eine CA IdentityMinder Umgebung Zugreifen auf eine CA IdentityMinder Umgebung Nachdem Sie eine CA IdentityMinder Umgebung erstellt haben k nnen Sie darauf zugreifen indem Sie eine URL in einem Browser eingeben Hinweis Aktivieren Sie JavaScript in dem Browser den Sie verwenden um auf die Management Konsole zuzugreifen Das Format der URL h ngt davon ab wie Sie die Umgebung konfiguriert haben und auf welche Art von Aufgabe Sie zugreifen m chten 198 Konfigurationshandbuch Um ber die Benutzerkonsole auf gesch tzte Aufgaben zuzugreifen verwenden Sie die folgenden URL http Hostname iam im alias Hostname Definiert den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com alias Definiert den Alias des Umgebungs Alias zum Beispiel employees Melden Sie sich bei der CA IdentityMinder Umgebung mit einem privilegierten Administratorkonto an zum Beispiel mit dem Systemmanager Konto das Sie f r die CA IdentityMinder Umgebung erstellt haben Hinweis Alle CA IdentityMinder Aufgaben sind gesch tzt au er wenn Sie ffentliche Aufgaben konfigurieren Um auf ffen
283. ine Bestellung in einer Finanzanwendung zu generieren Benutzer k nnen diese Aktion ausf hren wenn ihnen eine Zugriffsrolle zugewiesen wird die die Zugriffsaufgabe einschlie t Wichtig Um eine Zugriffsaufgabe zu erstellen m ssen Sie die Zugriffsaufgaben siehe Seite 355 zur Admin Rolle des angemeldeten Benutzers hinzuf gen Gehen Sie wie folgt vor 1 356 Konfigurationshandbuch W hlen Sie Rollen und Aufgaben Zugriffsaufgaben Zugriffsaufgabe erstellen aus W hlen Sie eine der folgenden Optionen aus m Zugriffsaufgabe erstellen m Kopie einer Zugriffsaufgabe erstellen F llen Sie diese Felder aus Name Ein eindeutiger Name den Sie der Aufgabe zuweisen k nnen wie Auftrag generieren Tag Eindeutiger Tag f r die Aufgabe Der Tag muss mit einem Buchstaben oder Unterstrich beginnen und darf nur Buchstaben Ziffern oder Unterstriche enthalten Beschreibung Ein optionaler Hinweis auf den Zweck der Aufgabe Anwendungs ID Ein Bezeichner f r eine Anwendung beispielsweise den Anwendungsnamen der mit der Aufgabe verkn pft ist Die Anwendungs ID kann Leerzeichen oder nicht alphanumerische Zeichen enthalten Notieren Sie sich diese ID Sie ben tigen sie wenn Sie die Rolle in SiteMinder aktivieren Um die Zugriffsaufgabe abzuschlie en klicken Sie auf Senden SiteMinder Vorg nge So erstellen Sie eine Zugriffsrolle Eine Zugriffsrolle enth lt Zugriffsaufgaben die den Zugriff auf Funktionen in
284. ine bestimmte Rolle IM_PolicyServerRules Verfolgt die Auswertung von Mitgliederregeln wie RoleMember RoleAdmin und RoleOwner die der Richtlinienserver aufgel st hat und von Bereichsregeln wie All und AccessTaskfFilter f r Zugriffsaufgaben 280 Konfigurationshandbuch So verfolgen Sie Komponenten und Datenfelder IM_LLSDK_Command Verfolgt die Kommunikation zwischen dem internen CA IdentityMinder SDK und dem Richtlinienserver Der technische Support verwendet diese Verfolgungskomponente IM_LLSDK_Message Verfolgt ob Meldungen mittels Java Code explizit vom internen CA IdentityMinder SDK an den Richtlinienserver gesendet werden Der technische Support verwendet diese Verfolgungskomponente IM_IdentityPolicy Verfolgt die Auswertung und Anwendung von Identit tsrichtlinien IM_PasswordPolicy Verfolgt die Auswertung von Kennwortrichtlinien IM_Version Stellt Informationen zur CA IdentityMinder Version bereit IM_CertificationPolicy Verfolgt die Auswertung von Zertifizierungsrichtlinien IM_InMemoryEval Verfolgt die Verarbeitung von CA IdentityMinder Richtlinien einschlie lich Mitglieder Admin Besitzer und Identit tsrichtlinien Der technische Support verwendet diese Verfolgungskomponente IM_InMemoryEvalDetail Stellt zus tzliche Informationen zur Verarbeitung von CA IdentityMinder Richtlinien bereit einschlie lich Mitglieder Admin Besitzer und Identit tsrichtlinien Der technische Support verwendet d
285. inen Benutzercontainer wie ou People in der Verzeichniskonfigurationsdatei directory xm f r Ihr CA IdentityMinder Verzeichnis konfiguriert haben Die ausgew hlten Benutzer m ssen in dem gleichen Container vorhanden sein in dem Sie den Systemmanager konfigurieren Die Auswahl eines Benutzerkontos das im Benutzercontainer nicht vorhanden ist kann Fehler verursachen Wenn die CA IdentityMinder Umgebung ein Benutzerverzeichnis mit einer flachen Benutzerstruktur verwaltet muss das Profil des ausgew hlten Benutzers auch die Organisation einschlie en Um sicherzustellen dass das Profil eines Benutzers richtig konfiguriert wird f gen Sie dem physischen Attribut das dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei siehe Seite 87 entspricht den Namen der Organisation des Benutzers hinzu Wenn zum Beispiel die Beschreibung des physischen Attributs dem bekannten Attribut ORG_MEMBERSHIP in der directory xml Datei zugeordnet ist und der Benutzer zur Organisation Employees geh rt muss das Profil des Benutzers das Attribut Wertpaar description Employees enthalten Gehen Sie wie folgt vor 1 Klicken Sie im CA IdentityMinder Umgebungsfenster auf den Namen der entsprechenden CA IdentityMinder Umgebung Die Eigenschaften dieses spezifischen Umgebungsfensters werden angezeigt Klicken Sie auf System Manager Systemmanager Der Systemmanager Assistent wird angezeigt Geben Sie den eindeutigen Namen des Benutzers m
286. ines Benutzerspeichers Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 31 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Die CA IdentityMinder Beispielumgebung umfasst Folgendes Beispielbenutzer Rollen Aufgaben und Bildschirmdefinitionen Aufgaben werden in der Benutzerkonsole angezeigt wenn Sie auf eine Kategorie klicken wie etwa f r Benutzer oder Gruppen Die Aufgaben die angezeigt werden basieren auf den Rollen die dem Benutzer zugewiesen sind Hinweis Weitere Informationen zu Rollen und Aufgaben finden Sie im Administrationshandbuch Ein Beispieldesign das die Benutzerkonsole f r NeteAuto Benutzer individuell anpasst Eine Verzeichniskonfigurationsdatei die Sie verwenden um ein CA IdentityMinder Verzeichnis zu erstellen Die Dateien f r das Erstellen der CA IdentityMinder Beispielumgebung werden unter dem folgenden Speicherort installiert admin _tools samples NeteAutoRDB NoOrganization In diesem Pfad bezieht sich admin_tools auf die Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern gespeichert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools So wird die NeteAuto Umgebung installiert Ohne Organisations Support F hren Sie den folgenden Prozess aus um die NeteAuto Umgebung zu installieren Gehen Sie wie folgt vor 1 2 32 Konfigurationshandb
287. inieninformationen verfolgt Hinweis Der Wert des Attributs PASSWORD_DATA wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen 146 Konfigurationshandbuch Bekannte Attribute f r eine relationale Datenbank PASSWORD_HINT Erforderlich Enth lt eine vom Benutzer angegebene Frage und Antwort Die Frage Antwortpaare werden im Fall eines vergessenen Kennworts verwendet Hinweis Der Wert des Attributs PASSWORD_HINT wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen USER_ID Erforderlich Speichert die Anmelde ID eines Benutzers Bekannte Attribute f r Gruppen Die folgende Liste enth lt bekannte Attribute f r Gruppen GROUP_ADMIN Enth lt die Administratoren einer Gruppe Hinweis Das Attribut GROUP_ADMIN muss mehrere Werte zulassen GROUP_DESC Enth lt die Beschreibung einer Gruppe GROUP_ID Enth lt die eindeutige Kennung einer Gruppe GROUP_MEMBERSHIP Erforderlich Enth lt eine Liste der Mitglieder einer Gruppe Hinweis Das Attribut GROUP_MEMBERSHIP muss mehrere Werte zulassen GROUP_NAME Erforderlich Speichert den Namen einer Gruppe ORG_MEMBERSHIP Bei Unterst tzung von Organisationen erforderlich
288. integriert ist Geben Sie die Authentifizierung des Benutzernamens f r Websicherheitsservices mithilfe eines Tokens an Geben Sie mindestens einen der drei m glichen Authentifizierungstypen an Weitere Informationen zum Ausgeben von Remoteanfragen bei CA IdentityMinder durch den Webservice zur externen Ansteuerung von Aufgaben finden Sie im Programmierhandbuch f r Java Kapitel 7 Erweiterte Einstellungen 247 Workflow Properties Workflow Eigenschaften Workflow Properties Workflow Eigenschaften Bei Aktivierung steuert die Workflow Funktion die Ausf hrung einer CA IdentityMinder Aufgabe die einem Workflow Vorgang zugeordnet ist Ein Workflow Vorgang ist ein Satz von Schritten die zur Erf llung eines Gesch ftsziels ausgef hrt werden z B zum Erstellen eines Benutzerkontos Normalerweise beinhaltet einer dieser Schritte dass die Aufgabe genehmigt oder zur ckgewiesen wird Eine Admin Aufgabe ist einem oder mehreren Ereignissen zugeordnet die einen oder mehrere Workflow Vorg nge ausl sen k nnen Nachdem die Workflow Vorg nge abgeschlossen wurden f hrt CA IdentityMinder die Aufgabe aus oder weist sie zur ck je nach Ergebnis der Workflow Vorg nge Die folgende Abbildung zeigt die Beziehung zwischen einer CA IdentityMinder Aufgabe einem zugeordneten Ereignis und einem Workflow Vorgang Aufgabe Ereignis Workflow Prozess Benutzer CreateUserApproveProcess erstellen Workflow Properties Workflow Eigenschaften
289. is an das als Ausgangspunkt f r das Verzeichnis dient blicherweise ist dies eine Organisation O oder eine Organisationseinheit OU Hinweis Ausschlie lich f r die LDAP Benutzerspeicher Search Maximum Rows Maximale Such Zeilen Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutzerverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Das Einstellen der maximalen Zeilenanzahl kann die Einstellungen im LDAP Verzeichnis berschreiben die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung 162 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Search Page Size Suchseiten Gr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie die folgenden Aspekte beim Angeben der Suchseiten Gr e m Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen k nnen zus tzliche Konfiguration erfordern um Paging zu unterst tzen Weitere Informationen finden Sie im Konfigurationshandbuch m Wenn der Benutzerspeicher kein
290. isieren Sie ein vorhandenes Verzeichnis indem Sie die Verzeichniseinstellungen exportieren F gen Sie dem Attribut das Sie in der directory xml Datei verschl sseln m chten die folgenden Datenklassifizierungs Attribute hinzu AttributeLevelEncrypt Behalten Sie den Attributwert im Benutzerspeicher in verschl sselter Form bei sensitive optional Blendet den Attributwert in CA IdentityMinder Fenstern aus Ein Kennwort wird zum Beispiel als Reihe von Sternchen angezeigt Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name AttributeLevelEncrypt gt lt DataClassification name sensitive gt Wenn Sie ein CA IdentityMinder Verzeichnis erstellt haben ordnen Sie das Verzeichnis einer Umgebung zu Um zu erzwingen dass CA IdentityMinder alle Werte sofort verschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch Entfernen der Verschl sselung auf Attributebene Wenn im CA IdentityMinder Verzeichnis ein verschl sseltes Attribut enthalten ist dessen Wert als Klartext gespeichert ist k nnen Sie die AttributeLevelEncrypt Datenklassifizierung entfernen Nachdem die Datenklassifizierung entfernt worden ist werden die neuen Attributwerte in CA IdentityMinder n
291. istet sind versucht CA IdentityMinder eine Verbindung zu den Systemen in der aufgelisteten Reihenfolge herzustellen Geben Sie den Hostnamen und die IP Adresse im Failover Attribut in einer unterteilten Liste wie folgt an failover IPaddress port IPaddress port Beispiel lt Connection host 123 456 789 001 port 20389 failover 123 456 789 002 20389123 456 789 003 20389 gt Hinweis Port 20389 ist der Standard Port f r den Provisioning Server Hinweis Die Parameter sind optional Provisioning Unterelement Wenn die CA IdentityMinder Umgebung eine Bereitstellung umfasst definieren Sie die Provisioning Dom ne folgenderma en lt eTrustadmin domain SMDirProvisioningDomain gt Das Provisioning Unterelement enth lt den folgenden Parameter domain Gibt den Namen der Provisioning Dom ne an die durch CA IdentityMinder verwaltet wird Wenn Sie das CA IdentityMinder Verzeichnis in der Management Konsole erstellen werden Sie nach dem Dom nennamen gefragt berpr fen Sie dass Sie einen Wert f r den Dom nenparameter in der Verzeichniskonfigurationsdatei directory xml angeben Verzeichnissuchparameter Sie k nnen die folgenden Suchparameter im DirectorySearch Element festlegen maxrows Gibt die maximale Zahl an Objekten an die CA IdentityMinder beim Suchen in einem Benutzerverzeichnis zur ckgeben kann Wenn die Anzahl an Objekten das Limit berschreitet wird ein Fehler angezeigt 58 Konfigurationshandb
292. it der Systemmanager Rolle wie folgt ein Geben Sie f r Benutzer von relationalen Datenbanken die eindeutige Kennung f r den Benutzer oder den Wert der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordnet ist ein Geben Sie f r LDAP Benutzer den relativen DN des Benutzers ein Wenn der DN des Benutzers zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin1 ein Hinweis Vergewissern Sie sich dass der Systemmanager nicht der gleiche Benutzer wie der Administrator des Benutzerspeichers ist Klicken Sie auf Validieren um die vollst ndige Kennung des Benutzers anzuzeigen Klicken Sie auf Weiter Kapitel 6 CA IdentityMinder Umgebungen 231 Aufrufen des Status einer CA IdentityMinder Umgebung 6 W hlen Sie auf der zweiten Seite des Assistenten eine Rolle aus um sie dem Benutzer wie folgt zuzuweisen m Wenn Sie die Systemmanager Rolle zuweisen m chten f hren Sie die folgenden Aufgaben aus a W hlen Sie das Optionsfeld neben der Systemmanager Rolle aus b Klicken Sie auf Fertig stellen m Wenn Sie eine andere Rolle als die des Systemmanagers zuweisen m chten f hren Sie die folgenden Aufgaben aus a W hlen Sie in der ersten Liste eine Bedingung aus b Geben Sie im zweiten Listenfeld den Teil eines Rollennamens oder einen vollst ndigen Rollennamen oder ein Sternchen ein Klicken Sie auf Suchen c W hlen Sie die zuzuweisende Roll
293. ite 106 So erstellen Sie ein CA IdentityMinder Verzeichnis siehe Seite 107 So erstellen Sie eine JDBC Datenquelle siehe Seite 107 So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder siehe Seite 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei siehe Seite 115 Verbindung zum Benutzerverzeichnis siehe Seite 138 Bekannte Attribute f r eine relationale Datenbank siehe Seite 144 So konfigurieren Sie selbstabonnierende Gruppen siehe Seite 149 Validierungsregeln siehe Seite 151 Organisationsverwaltung siehe Seite 151 So verbessern Sie die Leistung von Verzeichnissuchen siehe Seite 154 CA IdentityMinder Verzeichnisse Ein CA IdentityMinder Verzeichnis beschreibt wie Objekte z B Benutzer Gruppen und optional Organisationen im Benutzerspeicher gespeichert und in CA IdentityMinder dargestellt werden Ein CA IdentityMinder Verzeichnis ist einer oder mehreren CA IdentityMinder Umgebungen zugeordnet Kapitel 4 Verwaltung relationaler Datenbanken 103 CA IdentityMinder Verzeichnisse Die folgende Abbildung zeigt die Beziehung zwischen einem CA IdentityMinder Verzeichnis und einem Benutzerspeicher Benutzerdatenbank Identity Manager Verzeichnis Benutzerobjekte Tabellen Mitarbeiter ID tblUsers tblAddress Attribute Mitarbeiter ID Vorname Nachname E Mail tblAddress Anmelde ID i R Stra e Mitarbeiter ID Stadt Stra e Bunde
294. itel 2 Beispiel einer CA IdentityMinder Umgebung 43 So wird die NeteAuto CA IdentityMinder Umgebung verwendet 9 Klicken Sie auf OK um zum Hauptbildschirm zur ckzukehren 10 Schlie en Sie CA IdentityMinder Erstellen Sie eine Gruppe F hren Sie den folgenden Vorgang aus um eine Gruppe zu erstellen Gehen Sie wie folgt vor 1 Melden Sie sich wie folgt an CA IdentityMinder als NeteAuto Administrator an m Geben Sie bei LDAP Verzeichnissen den Benutzernamen NeteAuto Administrator ein und f hren Sie den Kennworttest durch m Geben Sie bei relationalen Datenbanken den Benutzernamen NeteAuto Administrator ein und f hren Sie den Kennworttest durch Die Liste der Aufgaben die der NeteAuto Administrator ausf hren kann wird angezeigt Da der NeteAuto Administrator nur eine beschr nkte Anzahl von Aufgaben ausf hren kann listet CA IdentityMinder die Aufgaben anstelle von Kategorien auf 2 Klicken Sie auf Gruppe erstellen 3 Stellen Sie sicher dass die Option zum Erstellen einer neuen Gruppe ausgew hlt wird und klicken Sie auf OK 4 Implementieren Sie einen der folgenden Schritte der zu Ihrem Fall passt m Wenn die NeteAuto Umgebung Organisationen unterst tzt a Klicken Sie im Feld f r den Organisationsnamen auf das Ellipsensymbol um die Organisation auszuw hlen in der CA IdentityMinder die Gruppe erstellt b Erweitern Sie NeteAuto unten im Fenster zum Ausw hlen der Organisation c W h
295. ityMinder verwaltete Objekt eindeutig an z B Benutzer Gruppe oder Organisation sofern unterst tzt Die eindeutige Kennung eines Benutzers kann zum Beispiel eine Anmelde ID sein Hinweis Vergewissern Sie sich dass die eindeutige Kennung in einer einzelnen Spalte gespeichert ist CA IdentityMinder erfordert einige mehrwertige Attribute die als eine begrenzte Liste in einer einzelnen Zelle oder in mehreren Zeilen in einer separaten Tabelle gespeichert werden k nnen In der folgenden tblGroupMembers Tabelle sind zum Beispiel die Mitglieder einer Gruppe gespeichert Mitglieder dmason Research Research rsavory dmason Marketing awelch Marketing Die ID Spalte enth lt die eindeutige Kennung f r eine Gruppe und die Mitglieder Spalte enth lt die eindeutige Kennung f r ein Gruppenmitglied Zum Beispiel sind dmason und rsavory Mitglieder der Gruppe Research Wenn diese Gruppe um ein neues Mitglied erweitert wird wird tblGroupMembers eine weitere Zeile hinzugef gt Kapitel 4 Verwaltung relationaler Datenbanken 105 Erstellen einer Oracle Datenquelle f r WebSphere Wenn Ihre Umgebung Organisationen beinhaltet f hren Sie den folgenden Schritt aus Bearbeiten Sie ein in CA IdentityMinder enthaltenes SQL Skript und f hren Sie es in der Datenbank aus um die Unterst tzung f r Organisationen zu konfigurieren siehe Seite 152 CA IdentityMinder erfordert eine bergeordnete Organisation die als
296. k nnen den Benutzer zur Erinnerung an seinen Zweck inbound nennen Konfigurieren einer Umgebung f r die Bereitstellung W hlen Sie Admin Rollen Admin Rolle ndern und anschlie end eine Rolle aus die die Aufgaben enth lt die Sie f r die Synchronisierung verwenden m Bereitstellung Benutzer erstellen m Provisioning Enable Disable User Bereitstellung Benutzer aktivieren deaktivieren m Bereitstellung Benutzer ndern Hinweis Wenn Sie die Standardsynchronisierungsaufgaben nicht ge ndert haben verwenden Sie die Rolle Manager f r Bereitstellungssynchronisierung F gen Sie auf der Registerkarte Mitglieder eine Mitgliederrichtlinie hinzu die Folgendes einschlie t Ein Mitgliederregel welcher der neue Benutzer entspricht m Eine Umfangsregel die allen Benutzern Zugriff gibt die von nderungen am Bereitstellungsverzeichnis betroffen sind die eine eingehende Synchronisierung ausl sen Profile Tasks Members Administrators Owners Owners ch modify the role Owner Rules Owner Rule ale Den In der Managementkonsole a W hlen Sie die Umgebung aus b W hlen Sie Advanced Settings Erweiterte Einstellungen Provisioning Bereitstellung aus c Geben Sie die Organisation f r das Feld Creating Inbound Users Eingehende Benutzer erstellen ein wenn das CA IdentityMinder Verzeichnis eine Organisation enth lt Diese Organisation ist diejenige in der Benutzer erstellt werden wenn
297. kolldatei h ngen vom Typ des verwendeten Verzeichnisservers ab Weitere Informationen finden Sie in der Dokumentation zum Verzeichnisserver Richtlinienserver Protokolldatei Zeigt die folgenden Informationen an wenn CA IdentityMinder mit SiteMinder integriert ist m SiteMinder Verbindungsprobleme m SiteMinder Authentifizierungsprobleme m Information zu verwalteten Objekte von CA IdentityMinder im SiteMinder Richtlinienspeicher m Kennwortrichtlinienauswertung Weitere Informationen zum Konfigurieren von SiteMinder Protokollen finden Sie im CA SiteMinder Web Access Manager Policy Server Administrationshandbuch Richtlinienserver Profiler 278 Konfigurationshandbuch Erm glicht Ihnen bei einer Integration von CA IdentityMinder mit SiteMinder die Nachverfolgung von Diagnose und Verarbeitungsfunktionen des internen Richtlinienservers einschlie lich auf CA IdentityMinder bezogener Funktionen Weitere Informationen finden Sie unter So verfolgen Sie Komponenten und Datenfelder siehe Seite 279 So verfolgen Sie Komponenten und Datenfelder Web Agent Protokolldateien Wenn CA IdentityMinder mit SiteMinder integriert ist schreiben die Web Agenten Informationen in die beiden folgenden Protokolle m Fehlerprotokolldatei Diese enth lt Fehler auf Programm und Betriebsebene zum Beispiel wenn der Web Agent keine Verbindung mit dem Richtlinienserver herstellen kann m Verfolgungsprotokolldatei Diese enth lt Warnungen und In
298. ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools Statusinformationen werden auf dem Ausgabebildschirm der Verzeichniskonfiguration angezeigt Stellen Sie auf der zweiten Seite des Assistenten die folgenden Werte bereit Name NeteAutoRDB Directory Beschreibung NeteAuto Beispielverzeichnis ohne Organisations Support Connection Object Name Name des Verbindungsobjekts NeteAutoRDB JDBC Data Source JDBC Datenquelle neteautoDS Benutzername neteautoadmin Kennwort test Klicken Sie auf Weiter Klicken Sie auf Fertigstellen um den Assistenten zu beenden Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 35 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Erstellen der NeteAuto CA IdentityMinder Umgebung F hren Sie den folgenden Vorgang aus um die NeteAuto CA IdentityMinder Umgebung zu erstellen Gehen Sie wie folgt vor 1 2 36 Konfigurationshandbuch Klicken Sie in der Managementkonsole auf Umgebungen Klicken Sie im CA IdentityMinder Umgebungs Fenster auf Neu Der CA IdentityMinder Umgebungs Assistent wird ge ffnet Geben Sie auf der ersten Seite des Assistenten die folgenden Werte ein m Umgebungsname NeteAuto Umgebung m Beschreibung NeteAuto stellt eine Beispielumgebung dar m Alias neteautoRDB Das Alias wird der URL hinzugef gt um auf die CA IdentityMinder Umgebung zugreifen zu k nnen Die URL zum Zugriff auf die Neteauto Umgeb
299. le an b Wechseln Sie zu Deployments Bereitsellungen Application Anwendung IdentityMinder W hlen Sie auf der Registerkarte Deploy Bereitstellen die Option Deploy Re Deploy Application Anwendung erneut bereitstellen aus Migrieren der Datei iam_im ear f r WebSphere Gehen Sie wie folgt vor 1 272 Konfigurationshandbuch Kopieren Sie das Skript imsInstall jacl aus dem Verzeichnis was_im_tools_dir WebSphere tools in das Verzeichnis deployment_manager_dir bin Dabei gilt m was_im_tools_dir ist das Verzeichnis auf dem Entwicklungssystem in dem die CA IdentityMinder Tools f r WebSphere installiert sind m deployment_manager_dir ist das Verzeichnis in dem der Bereitstellungsmanager installiert ist Kopieren Sie auf dem Entwicklungssystem auf dem Sie die CA IdentityMinder Anwendung konfiguriert haben die Datei was_im_tools_dir Websphere tools imsExport bat oder imsExport sh in das Verzeichnis was_home bin Navigieren Sie in der Befehlszeile zu was_home bin Stellen Sie sicher dass der WebSphere Anwendungsserver ausgef hrt wird Migrieren der Datei iam_im ear f r WebSphere 5 Exportieren Sie die bereitgestellte CA IdentityMinder Anwendung wie folgt Geben Sie unter Windows den folgenden Befehl ein imsExport bat path to exported ear Dabei steht path to exported ear f r den vollst ndigen Pfad und Dateinamen die vom imsExport Dienstprogramm erstellt wurden Verwenden Sie f r Wi
300. len sind a b W hlen Sie Import Rollen aus der Datei Navigieren Sie zu einem der folgenden Speicherorte F r einen Benutzerspeicher des Sun Java System Verzeichnisservers admin_tools samples NeteAuto RoleDefinitions xml So wird das NeteAuto Beispiel mit Organisations Support konfiguriert F r einen Benutzerspeicher des Microsoft SQL Servers admin_tools samples NeteAutoRDB Organization mssqlRoleDefinitions x ml F r einen Benutzerspeicher von Oracle admin_tools samples NeteAutoRDB Organization oracleRoleDefinitions x ml admin_tools bezieht sich auf die Administrations Tools die standardm ig unter folgendem Speicherort installiert sind Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools 7 Geben Sie einen Benutzer an der als Systemmanager f r diese Umgebung fungieren soll und klicken Sie auf Weiter a Geben Sie SuperAdmin im Systemmanager Feld ein b Klicken Sie auf Hinzuf gen CA IdentityMinder f gt die eindeutige Kennung des Superadmin Benutzers zur Liste der Benutzer hinzu c Klicken Sie auf Weiter 8 berpr fen Sie die Einstellungen f r die Umgebung und f hren Sie die folgenden Aufgaben aus m Optional Klicken Sie zum ndern auf Vorherige m Klicken Sie auf Fertigstellen um die CA IdentityMinder Umgebung mit den aktuellen Einstellungen zu erstellen Der Ausgabebildschir
301. len und Aufgabendefinitionen migriert Wenn die Rollen an Organisationen gebunden wurden sollten Sie eine Migration der gesamten CA IdentityMinder Umgebung in Betracht ziehen Wichtig Wenn Sie Rollen oder Aufgabendefinitionen in der Produktionsumgebung ge ndert haben gehen diese nderungen beim Importieren der Rollen oder Aufgabendefinitionen aus einer Entwicklungsumgebung verloren Beim Importieren von Rollen und Aufgabendefinitionen werden vorhandene Rollen und Aufgabendefinitionen mit den selben Namen berschrieben Kapitel 9 Produktionsumgebungen 265 So migrieren Sie Admin Rollen und Aufgabendefinitionen So exportieren Sie Admin Rollen und Aufgabendefinitionen Wenn nderungen direkt in der Datei roledefinition xml vorgenommen wurden kann diese Datei unmittelbar in die Produktionsumgebung importiert werden Gehen Sie andernfalls zum Exportieren der Rollen und Aufgabendefinitionen wie folgt vor 1 Wenn Sie ein Richtlinienserver Cluster verwenden m ssen Sie berpr fen dass nur ein Richtlinienserver ausgef hrt wird Halten Sie bis auf einen alle CA IdentityMinder Knoten an Melden Sie sich bei der Management Konsole an Klicken Sie auf CA IdentityMinder Umgebungen W hlen Sie die CA IdentityMinder Umgebung aus aus der die Rollen und Aufgabendefinitionen exportiert werden sollen Klicken Sie auf Rollen und anschlie end auf Exportieren und geben Sie einen Namen f r die Datei ein F hren Sie die Anw
302. len Sie die H ndler Organisation aus m Wenn die NeteAuto Umgebung keine Organisationen unterst tzt fahren Sie mit dem n chsten Schritt fort 5 Geben Sie die folgenden Informationen f r die Gruppe ein m Gruppenname H ndler Administratoren m Gruppen Beschreibung Administratoren f r NeteAuto Verkaufsvertretung 6 Klicken Sie auf die Registerkarte Mitgliedschaft und anschlie end auf die Option zum Hinzuf gen eines Benutzers Das Fenster Benutzer ausw hlen wird angezeigt 44 Konfigurationshandbuch 7 8 9 So wird die NeteAuto CA IdentityMinder Umgebung verwendet Klicken Sie auf Suchen Markieren Sie den NeteAuto Administrator und klicken Sie auf Ausw hlen Klicken Sie auf Senden um die Gruppe zu erstellen Verwalten Sie die selbst registrierten Benutzer F hren Sie den folgenden Vorgang aus wenn Sie selbst registrierte Benutzer verwalten m chten Gehen Sie wie folgt vor 1 Melden Sie sich mithilfe der folgenden Anmeldeinformationen am CA IdentityMinder als NeteAuto Administrator an m F r LDAP Verzeichnisse Benutzername NeteAuto Administrator Kennwort test m F r relationale Datenbanken Benutzername NeteAuto Admin Kennwort test Die Liste auf Aufgaben die der NeteAuto Administrator ausf hren kann wird auf der linken Seite der Benutzerkonsole angezeigt Da der NeteAuto Administrator nur eine beschr nkte Anzahl von Aufgaben ausf hren kann listet CA IdentityMinder die Aufg
303. lichen Informationen anzugeben suchen nach doppelten Rautenzeichen und ersetzen Sie sie durch entsprechende Werte Beispielweise kennzeichnet PASSWORD_HINT dass Sie ein Attribut angeben m ssen in dem eine Frage gespeichert ist die der Benutzer zum Erhalt eines tempor ren Kennworts beantworten muss wenn er sein Kennwort vergessen hat 116 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Kennzeichnet Werte die von CA IdentityMinder ausgef llt werden Diese Werte d rfen in der Verzeichniskonfigurationsdatei nicht ge ndert werden CA IdentityMinder fordert Sie beim Import der Verzeichniskonfigurationsdatei auf diese Werte anzugeben Bevor Sie die Verzeichniskonfigurationsdatei ndern ben tigen Sie die folgenden Informationen Tabellennamen f r die Benutzer Gruppen und Organisationsobjekte wenn Ihre Struktur Organisationen einschlie t Eine Liste von Attributen in Benutzer Gruppen und Organisationsprofilen wenn Ihre Struktur Organisationen einschlie t ndern der Verzeichniskonfigurationsdatei F hren Sie das folgende Verfahren aus um die Verzeichniskonfigurationsdatei zu ndern Gehen Sie wie folgt vor 1 2 Konfigurieren Sie eine Verbindung zur Datenbank Geben Sie an wie lange CA IdentityMinder ein Verzeichnis suchen soll bevor die Suche beendet wird Definieren Sie die von CA IdentityMinder verwalteten Objekte siehe Seite 118 f r
304. lient eta2_clientkey pem cs_install ccs data tls client eta2_clientcert pem cs_install ccs data tls client eta2_clientkey pem cs_install jes conf eta2_client p12 cadir_install config ssId impd_trusted pem cadir_install config ssld personalities impd co p em cadir_install config ssld personalities impd inc pem cadir_install config ssid personalities impd mai n pem cadir_install config ssld personalities impd noti fy pem cadir_install config ssld personalities impd rout er pem 386 Konfigurationshandbuch Beschreibung Vom Bereitstellungsserver im pem Format und von CA IAM CS im p12 Format verwendet einschlie lich signiertes Zertifikat privater Schl ssel und Stamm CA Zertifikat Von CA Directory im pem Format verwendet Es muss Zertifikatsinhalt in der folgenden Struktur enthalten Von CA Directory im pem Format verwendet FIPS Modus Protokollierung Zertifikate Root CA Zertifikat Installationspfad Bereitstellungsserver Installationsverzeichnis d ata tls et2_cacert pem Bereitstellungsmanager Installationsverzeichnis data tls et2_cacert pem cs_install ccs data tls et2_cacert pem conxp_install lib jiam jar Anwendungsserver Installationsverzeichnis ia m_im ear library jiam jar Beschreibung Zertifikat wird in Connector Xpress Schl sselspeicher unter Connector Xpress Installationsverzeichnis conf ssl keystore importiert Das Zertifikat muss auch in den jiam jar Schl
305. llt wurde kann beispielsweise ein Ereignis Listener die Informationen zum Benutzer einer Datenbank in einer anderen Anwendung hinzuf gen Hinweis Weitere Informationen zum Konfigurieren von Ereignis Listenern finden Sie im Programmierhandbuch f r Java 238 Konfigurationshandbuch Identit tsrichtlinien Identit tsrichtlinien Eine Identit tsrichtlinie wendet einen Satz von Gesch fts nderungen auf Benutzer an die bestimmte Regeln oder Bedingungen erf llen Sie k nnen Identit tsrichtlinien f r die folgenden Aufgaben verwenden m Automatisieren bestimmter Identit tsmanagementaufgaben wie z B Zuweisen von Rollen und Gruppenmitgliedschaften Zuordnen von Ressourcen oder ndern von Attributen von Benutzerprofilen m Durchsetzen dass Pflichten getrennt werden Sie k nnen zum Beispiel eine Identit tsrichtlinie erstellen die verhindert dass Mitglieder der Rolle Scheckunterzeichner gleichzeitig die Rolle Scheckgenehmiger haben m Konformit t durchsetzen Sie k nnen zum Beispiel Benutzer berpr fen die einen bestimmten Titel haben und mehr als 100 000 verdienen Sie erstellen und verwalten Identit tsrichtliniens tze in der Benutzerkonsole Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch Bevor Sie Identit tsrichtlinien verwenden f hren Sie in der Management Konsole die folgenden Aufgaben aus m Aktivieren Sie Identit tsrichtlinien f r eine CA IdentityMinder Umgebung
306. ls siehe Seite 371 Kapitel 12 Integration von CA SiteMinder 341 Fehlerbehebung Kein Benutzerkontext in CA IdentityMinder Symptom Kein Benutzerkontext in CA IdentityMinder Wenn ein Benutzer versucht auf CA IdentityMinder ohne einen SMSESSION Cookie zuzugreifen kann CA IdentityMinder den Benutzer nicht authentifizieren In diesem Fall k nnen Sie eine leere CA IdentityMinder Benutzeroberfl che erwarten Wenn Sie den Workflow f r Ihre Umgebung aktiviert haben sehen Sie etwa folgenden Fehler Exception during page display java lang IllegalArgumentException 342 Konfigurationshandbuch at com netegrity webapp bean WorkList WorkList java 84 at com netegrity webapp bean WorkList WorkList java 70 at com netegrity webapp bean WorkList getConsoleWorkListFromRequest WorkList java 109 at com netegrity taglib skin TagUtilLocal getWorkltems TagUtilLocal java 660 at com netegrity taglib skin TagUtilLocal hasWorkltems TagUtillLocal java 846 at com netegrity taglib skin lWorkltemsTag doStartTag lfWorkltemsTag java 73 at idm_jsp app ca12 home_jsp _jspService Unknown Source at org apache jasper runtime HttpJspBase seriice HttpJspBase java 70 at javax senlet http HttpSenlet service HttpSenvlet java 803 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 290 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at org apache catalina c
307. lt ausf hrliche Funktionsbeschreibungen f r die Migration bestimmter Funktionskomponenten Stellen Sie sicher dass diese M glichkeit nur genutzt wird wenn in der Entwicklungsumgebung lediglich geringf gige nderungen vorgenommen wurden und diese nderungen bekannt sind Dieses Kapitel enth lt folgende Themen So migrieren Sie Admin Rollen und Aufgabendefinitionen siehe Seite 265 So migrieren Sie CA IdentityMinder Designs siehe Seite 267 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung siehe Seite 268 Migrieren der Datei iam im ear f r JBoss siehe Seite 270 Migrieren der Datei iam im ear f r WebLogic siehe Seite 271 Migrieren der Datei iam im ear f r WebSphere siehe Seite 272 Migrieren von Workflow Prozessdefinitionen siehe Seite 274 So migrieren Sie Admin Rollen und Aufgabendefinitionen Sie k nnen CA IdentityMinder Rollen und Aufgaben an die spezifischen Anforderungen Ihres Unternehmens anpassen Diese Anpassungen beinhalten das Erstellen oder ndern von Admin Rollen und Aufgaben oder die Nutzung einer Erstellungs bzw nderungsaufgabe f r eine Admin Rolle oder Aufgabe Eine andere Methode besteht darin die Rollen und Aufgaben in der Datei roledefinition xml zu ndern allerdings wird diese nicht empfohlen Aufgrund der Gefahr von Bearbeitungsfehlern sollten Sie diese Methode nur f r sehr beschr nkte nderungen nutzen Bei diesem Prozess werden nur administrative Rol
308. lter lt filter class gt lt init param gt lt param name gt Enable lt param name gt lt param value gt false lt param value gt lt init param gt lt filter gt Speichern Sie die Datei web xml Starten Sie den CA IdentityMinder Server neu Die Management Konsole ist nicht mehr durch die systemeigene Sicherheit gesch tzt Sch tzen der Management Konsole mit SiteMinder Um die Management Konsole von Anfang an zu sch tzen k nnen Sie eine SiteMinder Richtlinie erstellen Eine SiteMinder Richtlinie kennzeichnet eine Ressource die Sie sch tzen m chten z B die Management Konsole und erteilt einer Gruppe von Benutzern Zugriff auf diese Ressource 286 Konfigurationshandbuch Sicherheit an der Management Konsole Gehen Sie wie folgt vor 1 Deaktivieren Sie die systemeigene Sicherheit siehe Seite 286 f r die Management Konsole Melden Sie sich bei einer der folgenden Schnittstellen als Administrator mit Dom nenberechtigungen an m F r CA SiteMinder r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m Melden Sie sich bei CA SiteMinder 6 0 SPx an der Benutzeroberfl che des Richtlinienservers an Hinweis Weitere Informationen zur Verwendung dieser Schnittstellen finden Sie in der Dokumentation der SiteMinder Version die Sie verwenden Suchen Sie die Richtliniendom ne f r die jeweilige CA IdentityMinder Umgebung Diese Dom ne wird automatisch erstellt wenn CA IdentityMind
309. m Attribute ausw hlen Verwenden Sie dieses Fenster um Struktur oder Hilfsklassen f r Ihren Benutzer Ihre Gruppe oder Ihre Organisationsobjekte zu ndern oder hinzuzuf gen Dieses Fenster wird mit Werten vorkonfiguriert die auf gebr uchlichen Verzeichnisschemen und auf Best Practices f r den Verzeichnistyp basieren den Sie verwenden Ein Administrator kann die Strukturklasse ndern indem er eine neue Klasse aus dem Drop down Men ausw hlt Beim Ausw hlen aktualisiert eine Klasse die Tabelle mit Attributen die zur neuen Strukturklasse geh ren Eine Hilfsklasse kann hinzugef gt werden indem diese aus dem Drop down Men ausgew hlt wird Beim Ausw hlen aktualisiert eine Klasse die Tabelle mit Attributen die zur neuen Hilfsklasse geh ren Die folgende Liste steht f r die Felder die auf diesem Bildschirm angezeigt werden Struktureller Klassenname Gibt die Strukturklasse des zu konfigurierenden Attributs an nderungs Schaltfl che Klicken Sie hier um die Strukturklasse zu ndern Kapitel 5 CA IdentityMinder Verzeichnisse 165 Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Auxiliary Class Name Name der Hilfsklasse Gibt die Hilfsklasse des zu konfigurierenden Attributs an Schaltfl che Hinzuf gen Klicken Sie hier um eine zu konfigurierende Hilfsklasse hinzuzuf gen Objektklasse Gibt die Objektklasse des Containers an Gibt die Container ID an Name Gibt den Namen des
310. m F r LDAP Benutzer Konfigurieren Sie ein LDAP Benutzerverzeichnis siehe Seite 23 m F r Benutzer von relationalen Datenbanken Konfigurieren Sie eine relationale Datenbank 3 Erstellen Sie das NeteAuto CA IdentityMinder Verzeichnis 4 Erstellen Sie die NeteAuto CA IdentityMinder Umgebung 5 Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder Benutzeroberfl che f r NeteAuto Benutzer siehe Seite 39 Konfigurieren Sie ein LDAP Benutzerverzeichnis Das LDAP Verzeichnis ist in Abh ngigkeit von Ihrer Installation verf gbar Sie k nnen mit dem folgenden Verfahren berpr fen ob das Verzeichnis vorhanden ist oder Sie k nnen das Verzeichnis erstellen Gehen Sie wie folgt vor 1 Erstellen Sie in der Verzeichnisserverkonsole eine Instanz von LDAP mit folgendem Stamm dc security dc com Notieren Sie die Port Nummer f r zuk nftige Referenzzwecke Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 23 So wird das NeteAuto Beispiel mit Organisations Support konfiguriert Importieren Sie die NeteAuto ldif Datei in den Verzeichnisserver von samples NeteAuto in den Administrations Tools Die Verwaltungstools werden in den folgenden Standardordnern installiert m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA ldentityManager lAM_Suite ldentity_Manager tools Hinweis Wenn Sie beim Import der LDIF Datei oder beim Erstellen des CA IdentityMinder Verzeichnisses Pr
311. m Legen Sie die Rekursionsebene fest optional Logical Attribute Handler Mithilfe von logischen Attributen in CA IdentityMinder k nnen Sie Attribute eines Benutzerspeichers sogenannte physische Attribute in einem benutzerfreundlichen Format in den Aufgabenfenstern anzeigen CA IdentityMinder Administratoren verwenden Aufgabenfenster um Funktionen in CA IdentityMinder auszuf hren Logische Attribute sind in Benutzerspeichern nicht vorhanden In der Regel stellen sie mindestens ein physisches Attribut dar um die Darstellung zu vereinfachen Das logische Attribut date kann beispielsweise die physischen Attribute month day und year darstellen Kapitel 7 Erweiterte Einstellungen 239 Sonstiges Sonstiges Logische Attribute werden durch Logical Attribute Handler verarbeitet Hierbei handelt es sich um Java Objekte die mit der Logical Attribute API geschrieben werden Wenn zum Beispiel ein Aufgabenfenster angezeigt wird kann ein Logical Attribute Handler die Daten eines physischen Attributs aus dem Benutzerspeicher in logische Attributdaten konvertieren Sie k nnen die vordefinierten logischen Attribute und Logical Attribute Handler verwenden die in CA IdentityMinder enthalten sind oder mit der Logical Attribute API neue erstellen Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java Benutzerdefinierte Eigenschaften die in diesem Fenster definiert werden beziehen sich auf die gesamte CA IdentityMinder U
312. m der Umgebungskonfiguration zeigt den Fortschritt der Umgebungserstellung an 9 Klicken Sie auf Fortfahren um den CA IdentityMinder Umgebungsassistenten zu verlassen 10 Starten Sie die CA IdentityMinder Umgebung Wenn Sie die NeteAuto Umgebung erstellen k nnen Sie folgendes tun m Erstellen Sie ein Design f r diese CA IdentityMinder Umgebung siehe Seite 39 m Greifen Sie auf die Umgebung zu siehe Seite 37 Kapitel 2 Beispiel einer CA IdentityMinder Umgebung 29 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Das Konfigurieren des NeteAuto Beispiels ohne Organisations Support beinhaltet die folgenden Schritte Installieren der erforderlichen Software siehe Seite 22 Installieren der CA IdentityMinder Beispielumgebung Konfigurieren der Datenbank Erstellen der JDBC Datenquelle Erstellen des CA IdentityMinder Verzeichnisses Erstellen der NeteAuto CA IdentityMinder Umgebung Beschreibung der CA IdentityMinder Beispielumgebung F r Microsoft SQL Server und Oracle Datenbanken enth lt CA IdentityMinder eine Version der NeteAuto Umgebung die keine Organisationen umfasst Diese CA IdentityMinder Umgebung schlie t die folgenden drei Benutzer ein 30 Konfigurationshandbuch Superadmin stellt das Administratorkonto mit der Systemmanager Rolle f r diese CA IdentityMinder Umgebung dar Als Superadmin k nnen Sie alle sta
313. m zu bestimmen ob eine Identit tsrichtlinie auf einen Benutzer angewandt werden muss Wenn f r die Richtlinie die Einstellung Apply Once Einmal bernehmen aktiviert ist und die Richtlinie im Attribut IDENTITY_POLICY aufgef hrt ist wendet CA IdentityMinder die nderungen in der Richtlinie nicht auf den Benutzer an Hinweis Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch LAST_CERTIFIED_DATE F r die Verwendung der Benutzerzertifizierungsfunktion erforderlich Enth lt das Datum an dem die Rolle eines Benutzers zertifiziert wurde Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch LAST_NAME Enth lt den Nachnamen eines Benutzers ORG_MEMBERSHIP Bei Unterst tzung von Organisationen erforderlich Enth lt die eindeutige Kennung der Organisation der der Benutzer angeh rt ORG_MEMBERSHIP_NAME Bei Unterst tzung von Organisationen erforderlich Enth lt den benutzerfreundlichen Namen der Organisation der der Benutzer angeh rt PASSWORD Enth lt ein Benutzerkennwort Hinweis Der Wert des Attributs PASSWORD wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen PASSWORD_DATA F r die Unterst tzung von Kennwortrichtlinien erforderlich Gibt das Attribut an das Kennwortrichtl
314. mgebung Sie werden als Namen Wertpaare an die init Methode jedes benutzerdefinierten Java Objekts bergeben das Sie mit den CA IdentityMinder APis erstellen Ein benutzerdefiniertes Objekt kann diese Daten auf beliebige Weise entsprechend den Anforderungen der Business Logic des Objekts verwenden Benutzerdefinierte Eigenschaften werden auch f r ein bestimmtes benutzerdefiniertes Objekt definiert Nehmen Sie zum Beispiel an dass die benutzerdefinierten Eigenschaften im Eigenschaftsfenster f r den Ereignis Listener MyListener definiert werden Die objektspezifischen benutzerdefinierten Eigenschaften und die in den sonstigen Fenstern definierten umgebungsweiten Eigenschaften werden in einem einzelnen Aufruf an MyListener init bergeben Um eine benutzerdefinierte Eigenschaft hinzuzuf gen geben Sie einen Eigenschaftsnamen und wert an und klicken Sie auf Hinzuf gen Wenn Sie eine oder mehrere benutzerdefinierte Eigenschaften l schen m chten aktivieren Sie das Kontrollk stchen neben jedem zu l schenden Namen Wertpaar und klicken Sie auf L schen Nachdem Sie die nderungen durchgef hrt werden klicken Sie auf Speichern Starten Sie den Anwendungsserver neu damit die nderungen wirksam werden Hinweis Alle sonstigen Eigenschaften beachten die Gro Kleinschreibung Wenn Sie also eine Eigenschaft SelfRegistrationLogoutUrl und eine andere Eigenschaft selfregistrationlogouturl definieren werden beide Eigenschafte
315. mgebung dokumentiert wird Sie k nnen diesen Bericht verwenden um einen Snapshot einer Produktionsumgebung zu erstellen Wenn Sie den Bericht generieren w hlen Sie aus ob Sie die vollst ndige Konfiguration oder nur die nderungen seit der Installation erfassen m chten Dieser Bericht ist als zuk nftige Referenz oder als Teil eines Systemwiederherstellungsplans hilfreich Gehen Sie wie folgt vor 1 Laden Sie eine Umgebung in Config Xpress 2 Klicken Sie auf Generate Report Bericht generieren Im Dialogfeld Generate PDF Report PDF Bericht generieren k nnen Sie die Schriftgr e ndern und Text f r den Titel oder Deckbl tter eingeben Sie k nnen hier auch ausw hlen ob Sie alle Konfigurationselemente oder nur neue bzw ge nderte Elemente einschlie en m chten Wichtig Wenn Sie nicht auf das Feld Only include details of new or modified tasks screens roles Nur Details zu neuen oder ge nderten Aufgaben Fenstern Rollen einschlie en klicken enth lt der Bericht die gesamte Umgebung Die PDF Datei ist dann ca 2 000 Seiten lang und ber 40 MB gro 3 Klicken Sie auf OK 4 Geben Sie einen Dateinamen ein und speichern Sie den Bericht Der Speichervorgang kann ein paar Minuten dauern oder viel l nger wenn Sie die gesamte Umgebung ver ffentlichen Der Bericht wird in einem PDF Reader ge ffnet Kapitel 6 CA IdentityMinder Umgebungen 225 Verwalten von Konfigurationen Anzeigen der XML Konfigurati
316. mit Organisations Support konfiguriert 28 Konfigurationshandbuch Alias NeteAuto Das Alias wird der URL hinzugef gt um auf die CA IdentityMinder Umgebung zugreifen zu k nnen Die URL zum Zugriff auf die Neteauto Umgebung kann beispielsweise wie folgt lauten http server_name iam im neteauto server_name Definiert den vollst ndig qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist Beispiel http myserver mycompany org iam im neteauto Hinweis Beim Alias muss die Gro Kleinschreibung beachtet werden Klicken Sie auf Weiter W hlen Sie das CA IdentityMinder Verzeichnis aus das mit der Umgebung zu verkn pfen ist die Sie erstellen Verwenden Sie f r den Verzeichnisserver des Sun Java Systems das NeteAuto Verzeichnis Verwenden Sie f r Microsoft SQL Server oder die Oracle Datenbank das NeteAutoRDB Verzeichnis Klicken Sie auf Weiter Konfigurieren Sie den Support f r ffentliche Aufgaben wie die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern wie folgt a Geben Sie folgenden Alias f r ffentliche Aufgaben ein Neteautopublic Geben Sie SelfRegUser als anonymes Benutzerkonto ein Klicken Sie auf Best tigen um die f r den Benutzer eindeutige Kennung anzuzeigen Hinweis Benutzer m ssen sich nicht anmelden um ffentliche Aufgaben verwenden zu k nnen W hlen Sie die Aufgaben und Rollen die f r die NeteAuto Umgebung zu erstel
317. mit den Standardabfrageschemen vertraut Hinweis Weitere Informationen zu den SQL Abfrageschemen finden Sie im CA SiteMinder Web Access Manager Policy Server Konfigurationshandbuch Sammeln Sie umfassende Erfahrungen mit der Entwicklung von SQL Abfragen ndern der Standardabfrageschemen F hren Sie das folgende Verfahren aus um die Standardabfrageschemen zu ndern Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniskonfigurationsdatei CA IdentityMinder generiert eine Verzeichniskonfigurationsdatei die alle aktuellen Einstellungen f r das CA IdentityMinder Verzeichnis enth lt einschlie lich der generierten Abfrageschemen Speichern Sie die Verzeichniskonfigurationsdatei Hinweis Wenn Sie eine Sicherung der urspr nglichen Verzeichniskonfigurationsdatei erstellen m chten speichern Sie die Datei unter einem anderen Namen oder in einem anderen Verzeichnis bevor Sie die exportierte Datei speichern Suchen Sie das von CA IdentityMinder generierte Abfrageschema das Sie ndern m chten Kapitel 4 Verwaltung relationaler Datenbanken 143 Bekannte Attribute f r eine relationale Datenbank 4 Geben Sie in den Abfrageparameter das Abfrageschema oder die gespeicherte Prozedur ein das bzw die ausgef hrt werden soll Hinweis ndern Sie nicht den Abfragenamen 5 Speichern Sie die Verzeichniskonfigurationsdatei nachdem Sie die erforderlichen nderungen vorgenommen haben Importieren Sie die Datei um
318. mit den Systemkomponenten siehe Seite 225 m Zeigen Sie die XML Konfiguration f r eine bestimmte Komponente an siehe Seite 226 220 Konfigurationshandbuch Verwalten von Konfigurationen Einrichten von Config Xpress Die Installationsdateien f r Config Xpress sind auf dem Installationslaufwerk enthalten aber das Tool ist nicht installiert F r Config Xpress gelten die folgenden Softwarevoraussetzungen m CA lIdentityMinder r12 0 und h her m indows Betriebssystem m Adobe Air Laufzeitumgebung m PDF Reader f r die Anzeige von Berichte Gehen Sie wie folgt vor 1 Laden Sie die Adobe Air Laufzeitumgebung von http get adobe com air herunter und installieren Sie sie 2 Stellen Sie sicher dass die Verwaltungstools installiert sind 3 Suchen Sie im folgenden Verzeichnis nach der Installationsdatei f r Config Xpress C Programme CA Identity Manager IAM Suite Identity Manager tools ConfigXpress 4 F hren Sie Config Xpress air aus um Config Xpress zu installieren 5 Wenn die Installation abgeschlossen ist wird Config Xpress gestartet Kapitel 6 CA IdentityMinder Umgebungen 221 Verwalten von Konfigurationen Laden einer Umgebung in Config Xpress Um Config Xpress verwenden zu k nnen m ssen Sie mindestens eine Umgebung in das Tool laden Diese Aufgabe erm glicht es Ihnen mit der Umgebung in Config Xpress zu arbeiten Sie k nnen eine Umgebung direkt von einem CA IdentityMinder Live Server in
319. module modules mod_wl_20 so Bearbeiten Sie den Servernamen mit dem Namen des Apache Serversystems F gen Sie einen If Block am Ende der Datei hinzu wie folgt lt IfModule mod weblogic c gt WebLogicHost weblogic_server com WebLogicPort 7001 MatchExpression iam MatchExpression castylesr5 1 1 lt IfModule gt Speichern Sie die Datei http conf Starten Sie den Apache Webserver neu Ordnen Sie den SiteMinder Agenten einer CA IdentityMinder Dom ne zu Ordnen Sie den SiteMinder Adenten einer CA IdentityMinder Dom ne zu Der Richtlinienadministrator f hrt diese Aufgabe aus nachdem er die CA IdentityMinder Aufgaben abgeschlossen hat W hrend Sie Ihre Umgebungen in CA IdentityMinder laden verweisen Sie auf den 4 X Agenten SiteMinder verwendet diesen Agenten wenn er die Dom ne bzw den Bereich auf dem SiteMinder Richtlinienserver erstellt Dieser Agent validiert SMSESSION Cookies Aktualisieren Sie die Dom ne bzw den Bereich und verweisen Sie auf den voll funktionsf higen Agenten der sich auf dem Webserver befindet und verwendet wird um auf CA IdentityMinder zuzugreifen Dieser Webserver handelt als Zugriffspunkt f r CA IdentityMinder und erstellt SMSESSION Cookies Gehen Sie wie folgt vor 1 2 3 Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Navigieren Sie zu Richtlinien Dom nen ndern Sie die Dom ne f r Ihre Umgebung Bearbeiten Sie auf der Registerkarte Bereiche den ersten a
320. n Sie k nnen den Generator f r Rollendefinitionen f r jeden dynamischen Connector verwenden um Aufgaben und Fensterdefinitionen f r Kontoverwaltungsfenster zu erstellen die in der Benutzerkonsole angezeigt werden Nachdem Sie den Generator f r Rollendefinitionen ausgef hrt haben importieren Sie die sich ergebende Rollendefinitionsdatei siehe Seite 229 in die Management Konsole Hinweis Weitere Informationen zum Generator f r Rollendefinitionen finden Sie im Connector Xpress Handbuch ndern des Systemmanager Kontos Ein Systemmanager ist f r die Einrichtung und Verwaltung von CA IdentityMinder Umgebungen verantwortlich Zu den typischen Aufgaben eines Systemmanagers geh ren m Erstellen und Verwalten der anf nglichen Umgebung m Erstellen und ndern von Admin Rollen m Erstellen und ndern von anderen Administratorkonten Sie erstellen ein Systemmanagerkonto wenn Sie eine CA IdentityMinder Umgebung erstellen Wenn dieses Konto gesperrt ist zum Beispiel wenn der Systemmanager das Kennwort vergessen hat k nnen Sie das Konto mithilfe des Systemmanager Assistenten erneut erstellen 230 Konfigurationshandbuch ndern des Systemmanager Kontos Der Systemmanager Assistent leitet Sie schrittweise durch den Vorgang zum Zuweisen einer Systemverwaltungsrolle zu einem Benutzer Beachten Sie vor dem ndern eines Systemmanagerkontos Folgendes Vergewissern Sie sich dass Sie einen LDAP Benutzerspeicher verwenden und e
321. n um neue Aufgaben und Rollen in der Benutzerkonsole zu erstellen Kapitel 6 CA IdentityMinder Umgebungen 195 Erstellen einer CA IdentityMinder Umgebung Create only the system manager role Nur die Rolle des Systemmanagers erstellen Erstellt nur die Rolle des Systemmanagers und die der Rolle zugeordneten Aufgaben Die Rolle des Systemmanagers ist erforderlich um auf die Umgebung zuzugreifen Ein Systemmanager kann neue Aufgaben und Rollen in der Benutzerkonsole erstellen Import roles from the file Rollen aus der Datei importieren Importiert eine Rollendefinitionsdatei die Sie aus einer anderen CA IdentityMinder Umgebung exportiert haben Hinweis Damit die CA IdentityMinder Umgebung verwendet werden kann muss die Rollendefinitionsdatei mindestens die Rolle des Systemmanagers oder eine Rolle mit hnlichen Aufgaben umfassen W hlen Sie die Optionsschaltfl che Import roles from the file Rollen aus der Datei importieren aus und geben Sie den Pfad und Dateinamen der Rollendefinitionsdatei ein oder suchen Sie nach der zu importierenden Datei 10 W hlen Sie Rollendefinitionsdateien aus um S tze von Standardaufgaben f r Ihre Umgebung zu erstellen und klicken Sie auf Weiter Rollendefinitionsdateien sind XML Dateien die einen Satz von Aufgaben und Rollen definieren die f r die Unterst tzung bestimmter Funktionen erforderlich sind Wenn Sie zum Beispiel Active Directory und UNIX NIS Endpunkte verwalten m c
322. n zum JK Connector finden Sie auf der Jakarta Projektwebsite Die CA IdentityMinder Verwaltungstools schlie en Beispielkonfigurationsdateien ein die Sie verwenden k nnen um den JK Connector zu konfigurieren Anweisungen finden Sie in der readme txt Datei in dem in der folgenden Tabelle angegebenen Verzeichnis Standort C Programme CA ldentity Manager IAM Suite ldentity Manager tools samples ConnectorConfiguration windows IIS_JBoss Sun Java System Webserver auf opt CA IdentityManager lAM_Suite Identity_Manager tools samples Co einem Solaris System nnectorConfiguration solaris lplanet_JBoss Apache Webserver auf einem opt CA IdentityManager lAM_Suite Identity_Manager tools samples Co Solaris System nnectorConfiguration solaris apache_JBoss Installieren und Konfigurieren eines JBoss Anwendungs Plug ins IIS 7 x Dieser Vorgang beschreibt die Konfiguration des JBoss Apache Plug ins ab IIS 7 0 Gehen Sie wie folgt vor 1 Stellen Sie ISAPI Filter auf dem Dateisystem bereit und aktualisieren Sie sie Stellen Sie den ISAPI Ordner im Stammverzeichnis des Laufwerks C bereit 2 Bearbeiten Sie die Datei jakarta reg im entpackten Ordner Wenn Sie den ISAPI Ordner im Stammverzeichnis von C platziert haben ndern Sie diese Datei nicht Wenn Sie sie in einem anderen Ordner abgelegt haben geben Sie diesen Ordner in den Zeilen 9 11 und 12 an 3 Speichern Sie Ihre nderungen und doppelklicken Sie dann um die Registri
323. n Rollen eines Administrators durch Das physische Attribut das zu ADMIN_ROLE_CONSTRAINT zuordnet muss mehrwertig sein um mehrere Rollen aufzunehmen Es wird empfohlen das LDAP Attribut zu indizieren welches zu ADMIN_ROLE_CONSTRAINT zugeordnet wird CERTIFICATION_STATUS F hrt Zuordnungen zum Zertifizierungsstatus eines Benutzers durch Dieses Attribut ist erforderlich um die Funktion der Benutzerzertifizierung zu verwenden Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch DELEGATORS Wird einer Liste mit Benutzern zugeordnet die Arbeitselemente an den aktuellen Benutzer delegiert haben Dieses Attribut ist f r die Verwendung der Delegierung erforderlich Das physische Attribut das DELEGATORS zugeordnet ist muss mehrere Werte umfassen und es muss Zeichenfolgen enthalten k nnen Wichtig Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder Aufgaben oder einem externen Tool hat betr chtliche Auswirkungen auf die Sicherheit EMAIL F hrt Zuordnungen zur E Mail Adresse eines Benutzers durch Macht es erforderlich die Funktion der E Mail Benachrichtigung zu verwenden 80 Konfigurationshandbuch Bekannte Attribute f r einen LDAP Benutzerspeicher ENABLED_STATE Erforderlich F hrt Zuordnungen zum Status eines Benutzers durch Hinweis Dieses Attribut muss mit dem Attribut des Benutzerverzeichnisses mit deaktiviertem Kennzeichen in der SiteMinde
324. n Sie die Reihenfolge von Plug ins in iplanet_home https instance config magnus conf f r IPlanet 6 0 Webserver Kopieren Sie die folgenden Zeilen von iplanet_home https instance config magnus conf nach iplanet_home https instance config obj conf IPlanet 5 x Webserver Init fn load modules funcs as_init as_handler as_term shlib export WebSphere AppServer bin libns41_http so Init fn as_init bootstrap properties export WebSphere AppServer config cells plugin cfg xml F gen Sie nach AuthTrans fn SiteMinderAgent in der obj conf Datei den folgenden Code hinzu Service fn as_handler Stellen Sie sicher dass das SiteMinder Web Agent Plug in mod2_sm so auf Apache Webservern vor dem WebSphere Plug in mod_ibm_app_server_http so geladen wird Dieser Befehl befindet sich im Abschnitt Dynamic Shared Object DSO Support von apache_home config httpd conf Starten Sie den Webserver neu Installieren des Web Proxyserver Plug ins Installieren Sie das Proxy Plug in f r JBoss Plattform IIS Webserver auf einem Windows System Nachdem der SiteMinder Web Agent eine Anfrage f r eine CA IdentityMinder Ressource authentifiziert und genehmigt hat leitet der Webserver die Anfrage an den Anwendungsserver weiter der den CA IdentityMinder Server hostet Um diese Anfragen weiterzuleiten installieren und konfigurieren Sie einen JK Connector auf dem System wo der SiteMinder Web Agent installiert ist Weitere Informatione
325. n Sie die Struktur auf der linken Seite bis Sie die Standardwebsite sehen Klicken Sie mit der rechten Maustaste auf Standardwebsite Virtuelles Verzeichnis hinzuf gen um das Verzeichnis mit einer Standardinstallation zu erstellen Geben Sie setPlugins in das Feld Alias im Fenster Alias f r virtuelles Verzeichnis des Assistenten zum Erstellen virtueller Verzeichnisse ein Navigieren Sie zum Verzeichnis c plugin im Feld Physischer Pfad des Assistentenfensters Verzeichnis des Websiteinhalts und klicken Sie auf OK Klicken Sie auf die angezeigte Schaltfl che um die Einstellungen zu testen Wenn der Einstellungstest fehlschl gt k nnen Sie die Berechtigungen des physischen Verzeichnisses ndern W hlen Sie alternativ Verbinden als aus und lassen Sie IIS die Verbindung als ein Windows Benutzerkonto herstellen das Berechtigungen f r die Dateien in diesem physischen Pfad hat Klicken Sie auf OK um das virtuelle Verzeichnis setPlugins zu Ihrer Website hinzuzuf gen W hlen Sie das virtuelle Verzeichnis setPlugins aus das Sie gerade in der Navigationsstruktur erstellt haben Doppelklicken Sie auf Handlerzuordnungen und dann im Bereich Aktionen auf Featureberechtigungen bearbeiten Aktivieren Sie Skripta und Ausf hren wenn diese Optionen nicht bereits ausgew hlt sind Klicken Sie auf OK Kehren Sie zum IIS Manager Fenster zur ck und blenden Sie den Websites Ordner in der Navigationsstr
326. n Sie dieses Fenster um eine Verzeichnis XML Datei f r LDAP auszuw hlen und einen Benutzerspeicher oder Bereitstellungsserver zu konfigurieren Klicken Sie auf Durchsuchen um die Konfigurationsdatei mit der der Benutzerspeicher oder der Bereitstellungsserver konfiguriert wird im folgenden Standardverzeichnis auszuw hlen admin tools directoryTemplates directory Hinweis admin_tools bezeichnet das Verzeichnis in dem die Verwaltungstools installiert sind und directory gibt den Namen des LDAP Anbieters an Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite Identity_Manager tools Nachdem Sie die Verzeichnis XML Datei ausgew hlt haben klicken Sie auf Weiter um das Fenster Verbindungsdetails anzuzeigen Fenster Verbindundsdetails Verwenden Sie dieses Fenster um die Konfigurationsanmeldeinformationen f r Ihren Benutzerspeicher einzugeben Sie k nnen auch die Verzeichnissuchparameter eingeben und Failover Verbindungen hinzuf gen Nachdem Sie die Verbindungsinformationen eingegeben haben klicken Sie auf Weiter um die zu verwaltenden Objekte auszuw hlen Hinweis Die Felder die auf diesem Fenster angezeigt werden h ngen vom Typ des Benutzerspeichers ab und davon ob Sie die Verbindung mithilfe des Assistenten f r die Verzeichniskonfiguration herstellen oder eine XML Date
327. n der Datei directory xml angeben CA IdentityMinder fordert Sie beim Import der Datei directory xml auf den DSN Namen anzugeben Kapitel 4 Verwaltung relationaler Datenbanken 141 Verbindung zum Benutzerverzeichnis Definieren Sie mehrere DSN Elemente um ein Failover zu konfigurieren Wenn die prim re Datenquelle auf eine Anfrage nicht reagiert wird die Anfrage von der n chsten definierten Datenquelle beantwortet Nehmen Sie zum Beispiel an dass Sie das Failover wie folgt konfiguriert haben lt DSN name DSN1 gt lt DSN name DSN2 gt CA IdentityMinder verwendet die Datenquelle DSN1 um eine Verbindung mit der Datenbank herzustellen Wenn ein Problem mit DSN1 besteht versucht CA IdentityMinder mithilfe von DSN2 eine Verbindung mit der Datenbank herzustellen Hinweis Die Anmeldeinformationen die Sie im Credentials Element siehe Seite 140 angeben m ssen f r alle definierten DSNs gelten SQL Abfrageschemen CA IdentityMinder verwendet Abfrageschemen um Benutzer und Gruppeninformation in einer relationalen Datenbank zu suchen Hinweis Dieses Element wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In Umgebungen die SiteMinder nicht einschlie en wird dieser Parameter ignoriert Wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsbole erstellen generiert CA IdentityMinder einen Satz von Abfrageschemen die auf den erforderlichen Abfrageschemen in SiteMinder basieren Ausf
328. n f r das entsprechende CA IdentityMinder Verzeichnis 2 Entfernen Sie in der directory xml Datei die Datenklassifizierung AttributeLevelEncrypt f r Attribute die Sie entschl sseln m chten 3 Wenn Sie erzwingen m chten dass CA IdentityMinder zuvor verschl sselte Werte entfernt f gen Sie das Datenklassifizierungs Attribut PreviousiyEncrypted hinzu Beispiel lt ImsManagedObjectAttr physicalname salary displayname Salary description salary valuetype String required false multivalued false maxlength 0 searchable false gt lt DataClassification name PreviouslyEncrypted gt 4 Um zu erzwingen dass CA IdentityMinder alle Werte sofort entschl sselt ndern Sie alle Objekte mithilfe des Massendatenladers Hinweis Weitere Informationen zum Massendatenlader finden Sie im Administrationshandbuch CA Directory berlegungen Wenn Sie Attribute f r einen CA Directory Benutzerspeicher beschreiben m ssen Sie die folgenden Punkte beachten m Bei Attributnamen wird die Gro Kleinschreibung ber cksichtigt m Die Verwendung des seeAlso Attributs als das Attribut welches eine selbstabonnierende Gruppe angibt kann zu Fehlern f hren wenn Administratoren Gruppen erstellen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 77 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Die Verwendung des Foto Attributs als das Attribut welches den Status eines Benutzerkontos aktiv
329. n hinzugef gt 240 Konfigurationshandbuch Benachrichtigungsregeln Benachrichtigungsredeln Eine Benachrichtigungsregel kennzeichnet Benutzer die E Mail Benachrichtigung erhalten Wenn eine Aufgabe abgeschlossen wird oder ein Ereignis in einer Aufgabe einen gewissen Status annimmt z B Genehmigung ausstehend genehmigt oder abgelehnt erhalten die Benutzer eine E Mail Benachrichtigung entsprechend der Benachrichtigungsregel Hinweis Weitere Informationen zur E Mail Benachrichtigungsfunktion finden Sie im Administrationshandbuch CA IdentityMinder beinhaltet die folgenden vordefinierten Benachrichtigungsregeln ADMIN_ADAPTER Sendet eine E Mail Nachricht an den Administrator der die Aufgabe initiiert hat USER_ADAPTER Sendet eine E Mail Nachricht an den Benutzer der von der Aufgabe betroffen ist USER_MANAGER Sendet eine E Mail Nachricht an den Manager des Benutzers im aktuellen Kontext Verwenden Sie zum Erstellen benutzerdefinierter Benachrichtigungsregeln die Benachrichtigungsregel API Hinweis Weitere Informationen zu Benachrichtigungsregeln finden Sie im Programmierhandbuch f r Java Organisationsauswahl Eine Organisationsauswahl ist ein benutzerdefinierter Logical Attribute Handler der basierend auf den vom Benutzer w hrend der Registrierung eingegebenen Informationen bestimmt wo CA IdentityMinder das Profil eines selbst registrierten Benutzers erstellt Zum Beispiel kann das Profil von Benutzern die bei der Regist
330. n von SiteMinder aus einer vorhandenen CA IdentityMinder Bereitstellung 0 02222220000eneneeenn 350 SiteMinder Vork ange ansen na ea EE a E aT E ENN AE ENE T Na 350 Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten AuthentifizierungsschemMaS imeona a a aR eaaa ANE AAAA EREA ET EAR iE 351 Importieren von Datendefinitionen in den Richtlinienspeicher ssssssssssssssssenssrersssnsrerersssssrrrerensssnererensssesee 352 Inhalt 11 Planen von Zugriffsrollen u en a sernaesene nenne bannen Konfigurieren d amp es L9g 0 URl san end inneren hanenes samen no hdengen onen Te gende nhdess ek Aliasnamen in SiteMinder Bereichen 0us442440sssnnnnnennnnnnnnnnnennnnnnnennnnnnnnnnnnnonennnnnnnsnnnnnnsnnnonsnsnsnensnsnnnn ndern eines SiteMinder Kennworts oder gemeinsamen geheimen Schl ssels Konfigurieren einer CA IdentityMinder Umgebung zur Verwendung von unterschiedlichen Verzeichnissen f r Authentifizierung und Autorisierung cussssssessensnenssnnnnnnennnensnnnnnnnnnnnnnnnnnnensnsnnnnsnnn ann 373 So verbessern Sie die Leistung von LDAP Verzeichnisvorg ngen uunsessssseeessnenensnnnnnnnennnnnnnnnnnensnnnnennnnnnnnn 375 Anhang A FIPS 140 2 Kompatibilit t 377 lt FIPS gt bersicht eaeseeeneseenenanennnnennennnnnnnnnnnnnnnnnnnnnnnnennnnnnennnnnnnnnenenenennnnennenenensnnenennenenennenenennennsennenenensenesensenesensenenenn 377 Kommunikationens aara EE aa ETEA PE EEE EAE E
331. n zu erm glichen k nnen Sie in der Verzeichniskonfigurationsdatei die Unterst tzung selbstabonnierender Gruppen konfigurieren Gehen Sie wie folgt vor 1 F gen Sie im Abschnitt f r selbstabonnierende Gruppen das Element SelfSubscribingGroups wie folgt hinzu lt SelfSubscribingGroups type search type org org_dn gt Kapitel 4 Verwaltung relationaler Datenbanken 149 So konfigurieren Sie selbstabonnierende Gruppen 2 Geben Sie Werte f r die folgenden Parameter ein type Gibt an wo CA IdentityMinder nach selbstabonnierenden Gruppen sucht Die folgenden Werte sind g ltig m NONE CA IdentityMinder sucht nicht nach Gruppen Geben Sie NONE an wenn Sie verhindern m chten dass Benutzer selbst Gruppen abonnieren m ALL CA IdentityMinder durchsucht alle Gruppen im Benutzerspeicher Geben Sie ALL an wenn Benutzer alle Gruppen abonnieren k nnen m INDICATEDORG nur f r Umgebungen die Organisationen unterst tzen CA IdentityMinder sucht nach selbstabonnierenden Gruppen in der Organisation eines Benutzers und deren Unterorganisationen Wenn zum Beispiel das Profil eines Benutzers der Marketingorganisation angeh rt sucht CA IdentityMinder nach selbstabonnierenden Gruppen in der Marketingorganisation und in allen Unterorganisationen m SPECIFICORG nur f r Umgebungen die Organisationen unterst tzen CA IdentityMinder sucht in einer bestimmten Organisation Geben Sie die eindeutige Kennung der jeweiligen Organis
332. n zu sch tzen geben Sie im Feld Basis URL keine Portnummer an Wenn Sie einen Web Agenten verwenden und die Basis URL eine Portnummer enth lt funktionieren die Links zu CA IdentityMinder Aufgaben nicht ordnungsgem Weitere Informationen zum Schutz von CA IdentityMinder Ressourcen finden Sie im Installationshandbuch f r Ihren Anwendungsserver Klicken Sie auf Weiter W hlen Sie ein CA IdentityMinder Verzeichnis aus um es der Umgebung zuzuordnen die Sie erstellen und klicken Sie auf Weiter 194 Konfigurationshandbuch Erstellen einer CA IdentityMinder Umgebung Wenn die CA IdentityMinder Umgebung die Bereitstellung unterst tzt w hlen Sie den entsprechenden Bereitstellungsserver f r die Verwendung aus Hinweis Sie werden nicht aufgefordert einen Bereitstellungsserver auszuw hlen wenn Sie ein Bereitstellungsverzeichnis als CA IdentityMinder Verzeichnis ausgew hlt haben Konfigurieren Sie die Unterst tzung von ffentlichen Aufgaben Diese Aufgaben sind in der Regel Self Service Aufgaben wie Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennw rter Benutzer m ssen sich nicht anmelden um auf ffentliche Aufgaben zuzugreifen Hinweis Damit Benutzer Self Service Aufgaben verwenden k nnen konfigurieren Sie die Unterst tzung von ffentlichen Aufgaben a Geben Sie einen eindeutigen Namen an der zur URL f r den Zugriff auf ffentliche Aufgaben hinzugef gt wird Beispiel Mithilfe de
333. nagement Konsole sch tzt Information zum Aktivieren der systemeigenen Sicherheit oder zur Verwendung einer anderen Sicherheitsmethode finden Sie im Konfigurationshandbuch Export siehe Seite 187 Exportiert die Verzeichnisdefinition als XML Datei Nachdem Sie die Verzeichniseinstellungen exportiert haben k nnen Sie die XML Datei ndern und dann erneut importieren um das Verzeichnis zu aktualisieren Sie k nnen auch die XML Datei in ein anderes Verzeichnis importieren um die gleichen Einstellungen f r dieses Verzeichnis zu konfigurieren Aktualisieren siehe Seite 188 180 Konfigurationshandbuch Erm glicht Administratoren das Hinzuf gen oder ndern von verwalteten Objektdefinitionen wie die Attribute eines Objekts Festlegen von Suchparametern und ndern von Verzeichniseigenschaften CA IdentityMinder Verzeichniseigenschaften Anzeigen von verwalteten Objekteigenschaften und Attributen Ein verwaltetes Objekt beschreibt einen Eintragstyp im Benutzerspeicher wie ein Benutzer Gruppe oder Organisation Die Eigenschaften und Attribute die sich auf ein verwaltetes Objekt beziehen beziehen sich auf alle Eintr ge dieses Typs Zum Beispiel besteht ein Benutzerprofil aus allen Eigenschaften und Attributen des verwalteten Objekts Benutzer Um die Details eines verwalteten Objekts anzuzeigen klicken Sie auf den Namen des Objekts um das Fenster Managed Object Properties Eigenschaften von verwalteten Objekten zu ffnen
334. namen uusssssenssnnnensnnnnnensennnnnnnnnnannnenn 46 Kapitel 3 Verwaltung des LDAP Benutzerspeichers 47 CA IdentityMlinder Verzeichnisse ansssessstenseresnsentsunnetsesnennend a erste engeren eher sta NEEE EE RE ERE egaa raaa 47 So erstellen Sie ein CA IdentityMinder Verzeichnis usssssssssessennnnssnnnenenennnnnennnnnnnnnnnannnnnnnonsennnnnnnsnanensnsnnnennnnnnn 48 Inhalt 5 Verzeichnisstruktur a me anna lan dene le ON nee au ern EE acer E Verzeichniskonfigurationsdatei So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus uueeeeeeneecnanneeunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnensnnnnnnnn So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben 2222200000022222nnnnnennnnnnnnnnnnnennnnnnnensnnnennnn 53 So wird die Verzeichniskonfigurationsdatei ge ndert uuseeesessesssnnsnennnnnnsnnnnnnnnnonnnnnnnnnnnennnnnnnnnnnnnennnnnnnennnnnnnnn 53 Verbindung zum Benutzerverzeichnis Provider Element Verzeichnissuchparameter Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte uussssensssssnsnnenennneennnne 60 Beschreibung von verwalteten Objekten ueeeeesessssseeensnssnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnnnnnsnnsnnnnnnnnnnnnnnn 60 Attributbeschreib ngen u RR INA Verwalten vertraulicher Attribute CA Directory berlegungen uuunnnneasenennennnnnnnnnnnnnnnnnnnnnnnnnnnnannnnnnnannnn
335. nd zugeordneten Endpunktkonten Enable Accumulation of Provisioning Role Membership Events Ansammlung von Bereitstellungsrollen Mitgliedschaft erm glichen Wenn Sie dieses Kontrollk stchen aktivieren f hrt CA IdentityMinder Ereignisse im Zusammenhang mit der Bereitstellungsrollen Mitgliedschaft in einer bestimmten Reihenfolge aus Alle Hinzuf gungsaktionen werden zu einem einzelnen Vorgang zusammengefasst und zur Verarbeitung an den Bereitstellungsserver gesendet Im Anschluss an die Verarbeitung dieser Hinzuf gungsaktionen kombiniert CA IdentityMinder die Entfenrungsaktionen zu einem einzelnen Vorgang und sendet diesen ebenfalls an den Bereitstellungsserver Ein einzelnes Ereignis namens AccumulatedProvisioningRoleEvent wird generiert um die Ereignisse in dieser Reihenfolge auszuf hren Hinweis Weitere Informationen zu AccumulatedProvisioningRoleEvent finden Sie im Administrationshandbuch 242 Konfigurationshandbuch Bereitstellung Organization for Creating Inbound Users Organisation zum Erstellen von Inbound Benutzern Definiert den vollst ndig qualifizierten Pfad zu dem Benutzerspeicher den CA IdentityMinder verwendet Dieses Feld wird nur angezeigt wenn der Benutzerspeicher eine Organisation enth lt Innenadministrator Definiert ein CA IdentityMinder Administratorkonto mit dem Aufgaben im Zusammenhang mit eingehenden Zuordnungen ausgef hrt werden Diese Aufgaben sind in die Rolle Manager f r Bereitstellungss
336. ndardm ig exportiert CA IdentityMinder alle Ereignisinformationen in die Audit Datenbank Um Typ und Umfang der von CA IdentityMinder aufgezeichneten Ereignisinformationen zu steuern f hren Sie die folgenden Aufgaben aus m Aktivieren Sie die berpr fung f r CA IdentityMinder Admin Aufgaben m Aktivieren Sie die berpr fung f r einige oder alle von Admin Aufgaben generierten CA IdentityMinder Ereignisse m Zeichnen Sie Ereignisinformationen bei verschiedenen Status auf zum Beispiel wenn ein Ereignis abgeschlossen oder abgebrochen wird m Protokollieren Sie Informationen zu Attributen die an einem Ereignis beteiligt sind Sie k nnen zum Beispiel Attribute protokollieren die sich w hrend eines ModifyUserEvent Ereignisses ndern m Legen Sie die berpr fungsebene f r Ereignisse und Attribute fest Business Logic Task Handler Ein Business Logic Task Handler f hrt benutzerdefinierte Business Logic aus bevor eine CA IdentityMinder Aufgabe zur Verarbeitung bergeben wird Normalerweise validiert die benutzerdefinierte Business Logic die Daten Zum Beispiel kann ein Business Logic Task Handler die Mitgliedschaftsbeschr nkung einer Gruppe berpr fen bevor CA IdentityMinder der Gruppe ein Mitglied hinzuf gt Wenn die Gruppenmitgliedschaftsbeschr nkung erreicht wird zeigt der Business Logic Task Handler eine Meldung an die den Gruppenadministrator dar ber informiert dass das neue Mitglied nicht hinzugef gt werden konnte
337. ndardm igen Admin Aufgaben ausf hren Hinweis Informationen ber eine Beschreibung der standardm igen Admin Aufgaben k nnen Sie dem Administrationshandbuch entnehmen SelfRegUser stellt das Administratorkonto dar das CA IdentityMinder verwendet um die Selbstregistrierung f r die CA IdentityMinder Umgebung zu aktivieren NeteAuto Administrator besitzt keine Berechtigungen wenn Sie die NeteAuto Umgebung installieren Sie k nnen jedoch dem NeteAuto Administratorkonto die Gruppen Manager Rolle zuweisen So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Die folgende Abbildung beschreibt das NeteAuto Beispiel f r eine relationale Datenbank jedoch ohne Organisationen tblUserRoles Wlusend T rote tblUserExtraAttrs a userid tblGroupMembers groupid userid tblUserAddress description selfsubscribing tblGroupAdmins groupid userid Installationsdateien f r die NeteAuto Umgebung CA IdentityMinder enth lt ein Set von Dateien die Sie verwenden k nnen um eine CA IdentityMinder Beispielumgebung einzurichten Eine CA IdentityMinder Umgebung stellt die Ansicht eines Verwaltungs Namespace dar der CA IdentityMinder Administratoren zum Verwalten von Objekten bef higt Diese Objekte wie Benutzer und Gruppen gehen mit einem Set von verkn pften Rollen und Aufgaben einher Die CA IdentityMinder Umgebung steuert die Verwaltungs und Grafikpr sentation e
338. nder Administratoren Objekte wie Benutzer Gruppen oder Organisationen verwalten k nnen Diesen Objekten wird ein Satz zugeh riger Rollen und Aufgaben zugeordnet Die CA IdentityMinder Umgebung steuert die Verwaltung und die grafische Darstellung eines Verzeichnisses Ein einzelner Benutzerspeicher kann mehrere CA IdentityMinder Umgebungen siehe Seite 15 verkn pfen um unterschiedliche Ansichten des Verzeichnisses zu definieren Allerdings ist eine CA IdentityMinder Umgebung nur mit einem Benutzerspeicher verkn pft CA IdentityMinder Umgebungen enthalten folgende Elemente Verzeichnis Beschreibt einen Benutzerspeicher f r CA IdentityMinder Ein Verzeichnis Element umfasst Folgendes Ein Zeiger zu einem Benutzerspeicher in dem verwaltete Objekte wie Benutzer Gruppen und Organisationen gespeichert werden Metadaten die beschreiben wie verwaltete Objekte im Verzeichnis gespeichert werden und deren Darstellung in CA IdentityMinder Provisioning Verzeichnis optional Speichert Daten die f r den Provisioning Server relevant sind um zus tzliche Konten in verwalteten Endpunkten zu verwalten Es kann nur ein Provisioning Verzeichnis mit einer Umgebung verkn pft werden Hinweis Weitere Informationen zum Provisioning Server oder zum Provisioning Verzeichnis k nnen Sie dem Installationshandbuch entnehmen Kapitel 1 Einf hrung in CA IdentityMinder Umgebungen 13 Komponenten der CA IdentityMinder Umgebung Benutzerk
339. nder Richtlinienserver F gen Sie dem Verzeichnis die entsprechende LDIF Schemadatei hinzu Der Standardspeicherort f r die LDIF Dateien unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas F gen Sie die folgenden Schemadateien f r Ihr Verzeichnis hinzu m IBM Directory Server 1BMDirectoryServer V3 identityminder8 m Sun Java Systems Directory Server iPlanet SunJavaSystemDirectoryServer sundirectory_ims8 ldif Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Microsoft Active Directory Um einen Microsoft Active Directory Richtlinienspeicher zu konfigurieren wenden Sie das Skript activedirectory_imsd ldif an Gehen Sie wie folgt vor 1 3 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver ndern Sie die Schemadatei activedirectory_ims8 ldif wie folgt a C ffnen Sie die Datei activedirectory_ims8 ldif in einem Texteditor Der Standardspeicherort unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas MicrosoftActiveDirectory Ersetzen Sie alle Instanzen von root durch die Stammorganisation f r das Verzeichnis Die Stammorganisation muss mit der Stammorganisation bereinstimmen die Sie beim Konfigurieren de
340. nder beginnt mit der Suche nach Gruppen im Stammverzeichnis Geben Sie ALL an wenn Benutzer im gesamten hierarchischen Verzeichnis Gruppen abonnieren k nnen 88 Konfigurationshandbuch So konfigurieren Sie Gruppen m INDICATEDORG CA IdentityMinder sucht nach selbstabonnierenden Gruppen in der Organisation eines Benutzers und den zugeh rigen Unterorganisationen Wenn zum Beispiel das Profil eines Benutzers der Marketingorganisation angeh rt sucht CA IdentityMinder nach selbstabonnierenden Gruppen in der Marketingorganisation und in allen Unterorganisationen m SPECIFICORG CA IdentityMinder sucht in einer bestimmten Organisation Geben Sie den definierten Namen DN der jeweiligen Organisation im Parameter org an org Gibt die eindeutige Kennung der Organisation an in der CA IdentityMinder nach selbstabonnierenden Gruppen sucht Hinweis Stellen Sie sicher dass Sie den Parameter org angeben wenn type SPECIFICORG festgelegt ist Nachdem Sie die Unterst tzung f r selbstabonnierende Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche Gruppen in der Benutzerkonsole selbstabonnierend sind Hinweis Weitere Informationen zur Verwaltung von Gruppen finden Sie im Administrationshandbuch Konfigurieren von dynamischen und verschachtelten Gruppen Wenn Sie einen LDAP Benutzerspeicher verwalten k nnen Sie Unterst tzung f r die folgenden Typen von Gruppen
341. ndows Systeme Schr gstriche anstelle von umgekehrten Schr gstrichen wenn Sie den Pfad zur Datei was_im ear angeben Beispiel imsExport bat c program files CA CA Identity Manager exported_ear iam im ear Geben Sie unter UNIX den folgenden Befehl ein wsadmin f imsExport jacl conntype RMI port 2809 path to exported ear Dabei steht path to exported ear f r den vollst ndigen Pfad einschlie lich Dateinamen der exportierten EAR Datei 6 Kopieren Sie die exportierte EAR Datei von dem Verzeichnis auf dem Entwicklungssystem in das Sie diese exportiert haben in ein Verzeichnis auf dem System auf dem der Bereitstellungsmanager installiert ist 7 Ersetzen Sie die Datei was_im_tools_dir WebSphere ear iam_im ear policyserver_rar META INF ra xml durch die aus der Produktionsumgebung Die Datei ra xml enth lt die Verbindungsinformationen f r den Richtlinienserver 8 Stellen Sie auf dem System auf dem der Bereitstellungsmanager installiert ist die EAR Datei von IdentityMinder bereit a Navigieren Sie in der Befehlszeile zu deployment_manager_dir bin b Stellen Sie sicher dass der WebSphere Anwendungsserver ausgef hrt wird c F hren Sie das Skript imsinstall jacl wie folgt aus Hinweis Die Ausf hrung des Skripts imsiInstall jacl kann mehrere Minuten in Anspruch nehmen Windows wsadmin f imsinstall jacl path to copied ear cluster_name Dabei steht path to copied ear f r den vollst ndigen
342. nehmeraufl sung ist ein Java Objekt das Teilnehmer einer Workflow Aktivit t bestimmt und eine Liste an CA IdentityMinder zur ckgibt CA IdentityMinder bergibt die Liste dann an die Workflow Engine Normalerweise erstellen Sie nur dann eine benutzerdefinierte Teilnehmeraufl sung wenn keine der Standardteilnehmeraufl sungen die Teilnehmerliste liefern kann die f r die Aktivit t erforderlich ist Hinweis Weitere Informationen zum Erstellen benutzerdefinierter Teilnehmeraufl sungen finden Sie im Programmierhandbuch f r Java Weitere Informationen zu den standardm ige Teilnehmeraufl sungen finden Sie im Administrationshandbuch Importieren Exportieren von benutzerdefinierten Einstellungen Im Fenster Advanced Settings der Management Konsole k nnen Sie wie folgt erweiterte Einstellungen auf mehrere Umgebungen anwenden m Konfigurieren Sie erweiterte Einstellungen in einer Umgebung m Exportieren Sie die erweiterten Einstellungen in eine XML Datei m Importieren Sie die XML Datei in die erforderlichen Umgebungen Kapitel 7 Erweiterte Einstellungen 249 Fehler wegen unzureichendem Speicher in Java Virtual Machine Fehler wegen unzureichendem Speicher in Java Virtual Machine Symptom In Zeiten hoher Belastung oder hoher Last werden Fehler wegen unzureichendem Speicher in JVM ausgegeben die sich auf die Funktionalit t des CA IdentityMinder Servers auswirken L sung Wir empfehlen die JVM Debugoptionen so festzulegen
343. nfigurationshandbuch Provider Element Verbindung zum Benutzerverzeichnis Konfigurationsinformationen werden im Anbieter Element und dessen Unterelementen in der directory xml Datei gespeichert Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie keine Verzeichnisverbindungsinformationen in der Datei directory xml angeben Die Verbindungsinformationen werden im Assistenten f r CA IdentityMinder Verzeichnisse in der Management Konsole angegeben ndern Sie das Provider Element nur f r Aktualisierungen Das Provider Element beinhaltet die folgenden Unterelemente LDAP Beschreibt das Benutzerverzeichnis zu dem Sie eine Verbindung herstellen Anmeldeinformationen Gibt den Benutzernamen und das Kennwort f r den Zugriff auf den LDAP Benutzerspeicher an Verbindung Gibt den Hostnamen und den Port f r den Computer an auf dem sich der Benutzerspeicher befindet Bereitstellungsdom ne Definiert die Provisioning Dom ne die durch CA IdentityMinder verwaltet wird ausschlie lich f r Provisioning Benutzer Ein abgeschlossenes Anbieter Element entspricht dem folgenden Code lt Provider type LDAP userdirectory SMDirName gt lt LDAP searchroot SMDirSearchRoot secure SMDirSecure gt lt Credentials user SMDirUser cleartext true gt SMDirPassword lt Credentials gt lt Connection host SMDirHost port SMDirPort gt lt eTrustAdmin domain SMDirETrustAdminDomain gt lt Prov
344. nfigurationsvorlage So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus CA IdentityMinder liefert Verzeichniskonfigurationsvorlagen die unterschiedliche Verzeichnistypen und strukturen unterst tzen Um ein CA IdentityMinder Verzeichnis zu erstellen ndern Sie die Vorlage die Ihrer Verzeichnisstruktur am n chsten kommt Kapitel 3 Verwaltung des LDAP Benutzerspeichers 51 So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus Die in der folgenden Tabelle beschriebenen Vorlagen werden mit den Administrations Tools installiert admin_tools directoryTemplates directory_type Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Die Typen von Verzeichnissen und die entsprechenden Konfigurationsvorlagen werden in der folgenden Tabelle angezeigt Verzeichnistyp Active Directory ADSI LDAP Verzeichnis mit einer hierarchischen Struktur Vorlage ActiveDirectory directory xml Microsoft ADAM Verzeichnis mit einer hierarchischen Struktur ADAM directory xml IBM Directory Server Verzeichnis mit einer hierarchischen Struktur 1BMDirectoryServer directory xml Novell eDirectory Benutzerverzeichnis mit einer hierarchischen Struktur eDirectory directory xml Oracle Internet Directory mit einer hierarchischen Struktur OraclelnternetDirecto
345. ngsverzeichnis k nnen Sie LDAP Attribute ausw hlen bekannte Attribute verbinden und Metadaten f r die Attribute eingeben Wenn Sie die Attribute verbunden haben klicken Sie auf Fertig stellen um das Verzeichnis zu erstellen 158 Konfigurationshandbuch Erstellen von Verzeichnissen mithilfe des Verzeichniskonfigurations Assistenten Starten des Verzeichniskonfigurations Assistenten ber den Verzeichniskonfigurations Assistenten k nnen Administratoren eine CA IdentityMinder Vorlage ausw hlen und diese Vorlage f r die Verwendung in der eigenen Umgebung ndern Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Directories Verzeichnisse und w hlen Sie Create from Wizard ber Assistenten erstellen aus Sie werden aufgefordert eine Verzeichniskonfigurationsdatei auszuw hlen um den Benutzerspeicher zu konfigurieren Klicken Sie auf Durchsuchen um die Konfigurationsdatei mit der der Benutzerspeicher oder der Bereitstellungsserver konfiguriert wird im folgenden Standardverzeichnis auszuw hlen und klicken Sie auf Weiter admin tools directoryTemplates directory Hinweis admin_tools bezeichnet das Verzeichnis in dem die Verwaltungstools installiert sind und directory gibt den Namen des LDAP Anbieters an Die Verwaltungstools werden in den folgenden Standardordnern gespeichert m Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools m UNIX opt CA Identity
346. nisierung F gen Sie auf der Registerkarte Mitglieder eine Mitgliederrichtlinie hinzu die Folgendes einschlie t Ein Mitgliederregel welcher der neue Benutzer entspricht m Eine Umfangsregel die allen Benutzern Zugriff gibt die von nderungen am Bereitstellungsverzeichnis betroffen sind die eine eingehende Synchronisierung ausl sen Profile Tasks Members Administrators Owners Owners ch modify the role Owner Rules Owner Rule n E E In der Managementkonsole a W hlen Sie die Umgebung aus b W hlen Sie Advanced Settings Erweiterte Einstellungen Provisioning Bereitstellung aus c Geben Sie die Organisation f r das Feld Creating Inbound Users Eingehende Benutzer erstellen ein wenn das CA IdentityMinder Verzeichnis eine Organisation enth lt Diese Organisation ist diejenige in der Benutzer erstellt werden wenn eingehende Synchronisierung auftritt Wenn zum Beispiel ein Benutzer im Bereitstellungsverzeichnis hinzugef gt wird f gt CA IdentityMinder den Benutzer zu dieser Organisation hinzu Konfigurieren einer Umgebung f r die Bereitstellung d Geben Sie in das Feld Administrator f r Eingehendes die Benutzer ID des Benutzers ein den Sie in Schritt 2 erstellt haben e Klicken Sie auf Validieren um zu best tigen dass die Benutzer ID akzeptiert wurde wie im folgenden Beispiel zu sehen ist in dem die vollst ndige Benutzer ID unter der eingegebenen Benutzer ID angezeigt
347. nnennnnnnnenennnnnnnn 30 Beschreibung der CA IdentityMinder Beispielumgebung u 442400440ssssnnennnennnnnnnensnnnnnnnennnonenennenennnann 30 Installationsdateien f r die NeteAuto Umgebung uuursssersnnersnnensnnnennnonsnnnnnnnensnnnennnonnnnennnnensnnnnnnnennnennnnen 31 So wird die NeteAuto Umgebung installiert Ohne Organisations Support euseeeseneeensneneeennnnnnnnnnennnnnnnennnnnennnn 32 Erf rderliche Software nn nenne ed CON EAEE AAEE AAE AREA 33 Konfigurieren einer relationalen Datenbank usuuu02222222ssseeennnsnennnnennnnnnnnnnnnnnnnnnnnnennnnnennnnnnnnnnnnsnnnnnnennnnnnnn 33 Erstellen des CA IdentityMinder Verzeichnisses uueeeeesessssssseennnnsnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnn 34 Erstellen der NeteAuto CA IdentityMinder Umgebung 2uurs24ursnnnrsnnonsnnnnnnnensnnnnnnnonnnnnnnnnensnnnennnen enorm 36 So wird die NeteAuto CA IdentityMinder Umgebung verwendet usssssssensssssnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnensnnnnnnnn 37 Verwaltung der Self Service Aufgaben 2220s000222222snnnennnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnennnnnnennnnnsnnnnnnsnensnnnnnnnn 38 Ben tzerverWaltung ussassansenenee ine a nenne nenne 41 So werden zus tzliche Funktionen konfiguriert uuseseesssssssssnnnnnnnnsnnnnnnnennnnnnnennnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnennnnnnnenssnnnnnn 46 Einschr nkung beim SiteMinder Anmeldenamen f r globalen Benutzer
348. nnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenssnnnnnnnnnnnsssnnnsnnnnnsnnssnssnnenennnsssnnnn Laden einer Umgebung in Config Xpress eeeeeeeenensnsnnnenunnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnennnnnnsnnnnnnnnsnnnnnn Verschieben von Komponenten aus einer Umgebung in eine andere Ver ffentlichen von PDF Berichten Anzeigen der XML Konfiguration uusssesssessssnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnennnnnnnnnnnnnnnnsnnnsnnnnnnnssnsnennnn Optimieren der Auswertung von Richtlinienregeln u 00002222222200unnnensnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnennnnnnne Role and Task Settings Rollen und Aufgabeneinstellungen 2200022222000220nnensnensennnnnnennnnnnnennnnnnnnnnnennn Exportieren von Rollen und Aufgabeneinstellungen 22222222000000nenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnennnn 8 Konfigurationshandbuch Importieren von Rollen und Aufgabeneinstellungen 000222222202000nnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn Erstellen von Rollen und Aufgaben f r dynamische Endpunkte ndern des Systemmanager KontoOSs uusssssensnnsnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnn Aufrufen des Status einer CA IdentityMinder Umgebung 22222222s00onensssennnnnennnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnensnnnennnn Fehlerbehebung in CA IdentityMinder Umgebungen
349. nnnnnnnnnnn 270 Migrieren der Datei iam_im ear f r JBOSS eeeeeeececesneneneennnnssnnnnnennnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnensnnsnnnnnnnnsnnnssnennnnnnnennnn 270 Migrieren der Datei iam_im ear f r WebLogic uussseesessssnnnneennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn 271 Migrieren der Datei iam_im ear f r WebSphere uuneesssssssssssnennnnnsnsnnnnnnnnnnnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenennnn 272 Migrieren von Workflow Prozessdefinitionen 22sss000222220ssnnnnnnnnnnnnnnnnnnnnnnenennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnsnnnn 274 Exportieren von Prozessdefinitionen uuseeseeseesnannneennnnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnsnnnnnnnnsnennnn 274 Importieren von Prozessdefinitionen uuseesssssssssnsnnnnnnnnennnnennnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn 275 Kapitel 10 CA IdentityMinder Protokolle 277 So verfolgen Sie Probleme in CA IdentityMinder uueeseesesssssnseennnnnnssnnnnnnnnonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnennnn 277 So verfolgen Sie Komponenten und Datenfelder ueneeessssssenensssssnnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnennnnnnnensnnnennnn 279 Kapitel 11 CA IdentityMinder Schutz 283 Sicherheit an der Benutzerkonsole uu u2ssssssnenenennnnennennnnnnnnnnnnnnennnnnnnnnnunnnnnnnunenennnnsnnnnnnnsnnnonsesnsnensnssnnnnsnsnensnnnnen 283 Sicherheit an der Mana
350. nnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnanannnnnann Microsoft Active Directory berlegungen uunenensenennensennnnennnnnnnnnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnennnnnanennnnnnnennnnnnnennnnnn 78 IBM Verzeichnisserver berlegungen uueensnssensnnennennennnnnnnnnnnnnnennnnnnnennnnnnnennnnnanennnnnanennnnnanennnnnnnennnnnanennnnnn 78 Oracle Internet Directory berlegungen uneenannnsennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 79 Bekannte Attribute f r einen LDAP Benutzerspeicher eueeeeeeeeessnnenennnssnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 79 Bekannte Attribute f r Benutzer uessessssnsnnesnnnensennnonnnnnnnnnnnnnnnnnnnnnennnnnnnensnsnnnnsnnnonnnsnnnensnssnnssnsnenensnsnnnensnnnnn 80 Bekannte Attribute f r Gruppen sasacsaseciesnaneensaesseennehandnnnsene nenne sans anaenar tens nun che hasst a aneda a adraia ES ana 83 Bekannte Attribute zur Organisation 22 2 0s00s2002222000n000onnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnsnnnnnnnnennnnsnnnnnunnnnnnannnnnnnnnannnnnnsnne 85 Attribut YADMIN_ROLE_CONSTRAINT uueneeensseneennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnonnnnnnnnnnennnnnnnnnnnssnnnnnnsnensnsnennnn 86 Konfigurieren von bekannten Attributen uueeeeeeeessssseensnsssnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnensnnsnnnnnnnnsnsnnsnnnnnnnnnnnnnnn 86 Beschreiben der Benutzerverzeichnisstruktur uuesusssssnnsesnnnensennnennennnnensennnnnenn
351. nnnnnsnnnnnnnensnsnnnnnnsnnnsnnsnennnnnenennnn 264 Inhalt 9 Kapitel 9 Produktionsumgebungen 265 So migrieren Sie Admin Rollen und Aufgabendefinitionen 222000002222200nnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnensnnnnnnnn 265 So exportieren Sie Admin Rollen und Aufgabendefinitionen 2222222220000000200nnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 266 So importieren Sie Admin Rollen und Aufgabendefinitionen uuuueeseesesssnennnsssnnnnnennnnnnnennnnnennnnnnnnnnnnnennnn 266 So pr fen Sie den Rollen und Aufgabenimport 222sss0sns2ssnnnnnnenonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 267 So migrieren Sie CA IdentityMinder Designs uussssssesssssnnnnenennnensnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnensnnnennnnnnnennnnnnnnnn 267 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung 222222220000nsnsnnnnnnnennnnnnnennnnnnnnnnnnnennnnnnnnnn 268 So migrieren Sie eine CA IdentityMinder Umgebung 22222222000uonnnnnnnnnnnennnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 268 So exportieren Sie eine CA IdentityMinder Umgebung uuue2usssssseennnssnnnnnnnennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnensnnnnnnnn 269 So importieren Sie eine CA IdentityMinder Umgebung 222222200uunnnsnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 270 So pr fen Sie die Migration einer CA IdentityMinder Umgebung 2222200000sn20onnnnnnnnnnnnnnnnnnnnnnnnnn
352. nschlie lich Richtliniendom nen und Authentifizierungsschemen ndern um CA IdentityMinder zu unterst tzen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas siehe Seite 351 ndert die Methode die CA IdentityMinder verwendet um Anmeldeinformationen f r Benutzer zu erfassen die versuchen auf eine CA IdentityMinder Umgebung zuzugreifen Konfigurieren von Zugriffsrollen siehe Seite 353 Legt den Zugriff auf Funktionen in einer Anwendung fest Konfigurieren der LogOff URL siehe Seite 368 Verhindert unbefugten Zugriff auf eine CA IdentityMinder Umgebung durch das Erzwingen einer vollst ndigen Abmeldung 350 Konfigurationshandbuch SiteMinder Vorg nge Aktualisieren eines Alias in SiteMinder Bereichen siehe Seite 370 Aktualisiert die Bereiche die eine CA IdentityMinder Umgebung sch tzen wenn Sie den Aliasnamen der Umgebung ndern SiteMinder Kennw rter siehe Seite 371 L sst Sie das Kennwort f r das Administratorkonto das CA IdentityMinder verwendet um mit SiteMinder zu kommunizieren und den gemeinsamen geheimen Schl ssel f r den SiteMinder Agenten ndern der eine CA IdentityMinder Umgebung sch tzt Konfigurieren der CA IdentityMinder Agent Einstellungen siehe Seite 346 Optimiert die Leistung des CA IdentityMinder Agenten der mit dem SiteMinder Richtlinienserver kommuniziert Verwenden von unterschiedlichen Verzeichnissen f r Authentifizie
353. nsole die sich unter den Verwaltungstools befindet Klicken Sie auf die Registerkarte System DSN Klicken Sie auf Hinzuf gen und w hlen Sie den entsprechenden SiteMinder Treiber f r Ihre Datenbank aus Geben Sie die ben tigten Informationen an um auf den Benutzerspeicher der relationalen Datenbank zu verweisen Testen Sie die Konnektivit t bevor Sie fortfahren 312 Konfigurationshandbuch Importieren der Verzeichnisdefinitionen Importieren der Verzeichnisdefinitionen Um das Importieren der Umgebungen vorzubereiten importiert der Identit tsadministrator die Verzeichnisse auf die die Umgebungen verweisen Beim Importieren der Verzeichnisdefinition in CA IdentityMinder werden au erdem die Verzeichnisinformationen zum SiteMinder Richtlinienspeicher hinzugef gt Gehen Sie wie folgt vor 1 Stellen Sie sicher dass CA IdentityMinder ausgef hrt wird und mit SiteMinder verbunden ist Navigieren Sie zur CA IdentityMinder Management Konsole Klicken Sie auf Directories Verzeichnisse und dann auf Create or Update from XML Aus XML erstellen oder aktualisieren W hlen Sie Ihre Verzeichniskonfigurationsdatei aus directory xml Diese Datei ist diejenige welche Sie in Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen siehe Seite 308 exportiert haben Klicken Sie auf Weiter Klicken Sie auf Fertig stellen und berpr fen Sie die Lastausgabe Vergewissern Sie sich dass das Verzeichni
354. nstallation iam_im ear management_console war WEB INF w eb xml in einem Texteditor b Legen Sie den Wert des Parameters Enable f r ManagementConsoleAuthfFilter wie folgt auf true fest lt filter gt lt filter name gt ManagementConsoleAuthFilter lt filter name gt lt filter class gt com netegrity ims manage filter ManagementCon soleAuthFilter lt filter class gt lt init param gt lt param name gt Enable lt param name gt lt param value gt true lt param value gt lt init param gt lt filter gt c Speichern Sie die Datei web xml Erstellen Sie die Tabelle IM_AUTH_USER im CA IdentityMinder Objektspeicher In der Tabelle IM_AUTH_USER werden Informationen zu den Administratoren in der Management Konsole gespeichert a Wechseln Sie in das Verzeichnis CA ldentity Manager IAM Suite ldentity Manager tools db objectstore b F hren Sie eines der folgenden Skripte f r den Objektspeicher aus m saql_objectstore sql m oracle_objectstore sql Hinweis Weitere Informationen zum Ausf hren eines Skripts f r eine vorhandene Datenbank finden Sie in der Herstellerdokumentation zur jeweiligen Datenbank 3 Schutz vor CSRF Angriffen Verwenden Sie das Kennwort Tool um das Kennwort zu verschl sseln Das Kennwort Tool ist mit den CA IdentityMinder Tools im folgenden Speicherort installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager tools PasswordTool UNIX opt CA IdentityManager lAM
355. nt Konsole k nnen Sie die folgenden Aufgaben ausf hren m Erstellen ndern oder L schen einer CA IdentityMinder Umgebung m Exportieren und Importieren einer CA IdentityMinder Umgebung m Konfigurieren der erweiterten Einstellungen m Importieren von Rollen und Aufgaben m Zur cksetzen des Systemmanager Kontos Kapitel 6 CA IdentityMinder Umgebungen 191 Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen Voraussetzungen f r das Erstellen von CA IdentityMinder Umgebungen Bevor Sie anfangen verwenden Sie das Arbeitsblatt in der folgenden Tabelle um die erforderlichen Informationen zu erfassen Arbeitsblatt f r die Konfiguration einer CA IdentityMinder Umgebung Erforderliche Informationen Wert Ein von Ihnen gew hlter aussagekr ftiger CA IdentityMinder Umgebungsname Beispiel MeineUmgebung Eine Basis URL die CA IdentityMinder verwendet um eine Umleitungs URL f r die Standardkennwortrichtlinie f r die Umgebung zu bilden Beispiel http server yourcompany org Ein Alias der der URL f r den Zugriff auf gesch tzte Aufgaben in der Umgebung hinzugef gt wird Beispiel http server yourcompany org iam im alias Ein Alias der der URL f r den Zugriff auf ffentliche Aufgaben zum Beispiel Selbstregistrierungsaufgaben und Aufgaben in Bezug auf vergessene Kennw rter hinzugef gt wird Beispiel http server yourcompany org iam im public_alias index js p task tag SelfRegistration Hinw
356. ntity_Manager 100 Konfigurationshandbuch So verbessern Sie die Leistung von Verzeichnissuchen Gehen Sie wie folgt vor 1 F gen Sie dem DirectorySearch Element siehe Seite 58 in der Datei directory xml f r das CA IdentityMinder Verzeichnis den folgenden Parameter hinzu minsortrules 1 Hinweis Weitere Informationen zum ndern eines vorhandenen CA IdentityMinder Verzeichnisses finden Sie unter Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis siehe Seite 187 2 Legen Sie die folgenden Berechtigungen f r die Datei vlventrl ldif fest ldapmodify D cn Directory Manager w password p port f vlventrl ldif 3 Importieren Sie wie folgt VLV Suchdefinitionen und Indexdefinitionen ldapmodify D cn Directory Manager w password p port f vlvindex ldif 4 Halten Sie das Verzeichnis wie folgt an stop slapd 5 Erstellen Sie die Indizes mithilfe von runvlvindex 6 Starten Sie das Verzeichnis wie folgt start slapd Konfigurieren von MaxPageSize in Active Directory Active Directory verwendet als Standardeinstellung f r MaxPageSize den Wert 1000 Nehmen wir an der Wert f r das Attribut maxpagesize in der Datei directory xml ist gr er als oder gleich 1000 In diesem Fall zeigt CA IdentityMinder keine Warnung an wenn die Anzahl der Suchergebnisse die maximale Zeilenanzahl in der Datei directory xml berschreitet Administratoren die die Suche ausf hren wissen daher
357. nunensnnnnnsnnnnnnnnnnannnsnsnonsessnnnnnnsnannnnnn 87 So beschreiben Sie eine hierarchische Verzeichnisstruktur u eessesssssssssnnnensnennnensnnnnnnnnnnnnnnnnnnnensnnnannennnnnnenn 87 So beschreiben Sie eine flache Benutzerverzeichnisstruktur esssssensssssnnnsnnnennnennnonsnnnnannnnnnnnnnnnnnensnnnnannnnnannnenn 87 So beschreiben Sie eine flache Verzeichnisstruktur uusssssssussssnnensnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnsnnnonsensnnnnnnnannnnnn 87 So beschreiben Sie ein Benutzerverzeichnis das keine Organisationen unterst tzt eeesensessesenenennnenennnenennnn 88 So k nfigunieren Sie gruppen anne ehem ken ein Inmitten EENE EEEN R a Konfigurieren von selbstabonnierenden Gruppen uueeessssssssssnsennnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnsnnnnnnnnnsnnnnnnnnnnnnnnnnnn Konfigurieren von dynamischen und verschachtelten Gruppen zsssssssssssssnnnnennnnnnennnnnennnnnnnnnnnnnnnnnnnnnnnnnnn Hinzuf gen von Unterst tzung f r Gruppen als Gruppenadministrator Validierungsregeln uueseeseesssssssnnenunnsnssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnssnnnnnnnnnnnnnnsnnnnnnnsnsnsnsnsnnnnnsssssnsssnnnnnsnsnsnssnnnnn Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses uuuu0000222222ssnoonnnnnnnnnnnennnnnnennnnnnennnnnnnnnnnnnnnnnn Konfigurieren der Sortierreihenfolge 22222220000000nnnennnnnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenenennnn Suchen ber mehre
358. o beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Die ImsManagedObjectAttr Parameter lauten wie folgt Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist physicalname Erforderlich Gibt den physischen Namen des Attributs an und muss eines der folgenden Details enthalten m Name und Verzeichnis in dem der Wert gespeichert ist Format tablename columnname Wenn zum Beispiel ein Attribut in der Spalte id der Tabelle tblUsers gespeichert ist lautet der physische Name dieses Attributs wie folgt tblUsers id Sie m ssen jede Tabelle die ein Attribut enth lt in einem Table Element siehe Seite 119 definieren m Ein bekanntes Attribut Ein bekanntes Attribut kann einen berechneten Wert darstellen Sie k nnen zum Beispiel ein bekanntes Attribut verwenden um auf ein Attribut zu verweisen das mithilfe eines benutzerdefinierten Vorgangs siehe Seite 134 berechnet wurde displayName Erforderlich Gibt einen eindeutigen Namen f r das Attribut an In der Benutzerkonsole wird der Anzeigename in der Liste der verf gbaren Attribute angezeigt die einem Aufgabenfenster hinzugef gt werden k nnen Hinweis Sie d rfen den Anzeigenamen eines Attributs in der Verzeichniskonfigurationsdatei directory xml nicht ndern Um den Namen des Attributs in einem Aufgabenfenster zu ndern geben Sie in der Aufgabenfensterdefinition eine Bezeichnung f r das Attribut an Weitere In
359. objekt oder Gruppenobjekt Abschnitt ausfindig 2 Geben Sie Werte f r die folgenden Parameter an objectclass Legt die LDAP Objektklasse des Containers fest in dem die Objekte eines bestimmten Typs erstellt werden Zum Beispiel ist der Standardwert f r den Benutzercontainer top organizationalUnit was anzeigt dass Benutzer in LDAP Organisationseinheiten ou erstellt werden Wenn Sie dynamische oder verschachtelte Gruppen verwalten m ssen Sie sicherstellen dass Sie eine Objektklasse angeben die diese Gruppentypen unterst tzt siehe Seite 89 Hinweis Dieser Parameter ist erforderlich Attribut Gibt das Attribut an das den Containernamen zum Beispiel ou speichert Das Attribut wird paarweise mit dem Wert angeordnet um das relative DN des Containers zu bilden wie im folgenden Beispiel dargestellt ou People Hinweis Dieser Parameter ist erforderlich value Gibt den Namen des Containers an Hinweis Dieser Parameter ist erforderlich Hinweis Sie k nnen keine Container f r Organisationen angeben Attributbeschreibungen Ein Attribut speichert Information zu einer Eingabe wie etwa eine Telefonnummer oder Adresse Ein Eingabeattribut bestimmt das entsprechende Profil Kapitel 3 Verwaltung des LDAP Benutzerspeichers 65 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte In der Verzeichniskonfigurationsdatei werden Attribute in ImsManagedObjectAttr Elementen beschrieben In den
360. obleme feststellen f gen Sie den folgenden Text am Anfang der LDIF Datei hinzu dn dc security dc com objectClass top objectClass domain dc security Speichern Sie die Datei und wiederholen Sie die Schritte 1 und 2 Konfigurieren einer relationalen Datenbank F hren Sie den folgenden Vorgang aus um eine relationale Datenbank zu konfigurieren Gehen Sie wie folgt vor 1 2 24 Konfigurationshandbuch Erstellen Sie eine Datenbankinstanz mit der Bezeichnung NeteAuto Erstellen Sie einen Benutzer names neteautoadmin mit dem Kennwort test Gew hren Sie NeteAuto neteautoadmin Rechte wie etwa public oder db_owner Rechte indem Sie die Eigenschaften des Benutzers bearbeiten Hinweis Um eine NeteAuto Datenbank zu erstellen muss die Neteautoadmin Rolle mindestens minimale Berechtigungen ausw hlen einf gen aktualisieren und l schen f r alle Tabellen besitzen die ber by sql Skript erstellt werden Au erdem muss neteautoadmin in der Lage sein gegebenenfalls alle gespeicherten Prozeduren auszuf hren die in diesen Skripten definiert sind Wenn Sie Benutzereigenschaften bearbeiten machen Sie NeteAuto zur Standarddatenbank f r neteautoadmin So wird das NeteAuto Beispiel mit Organisations Support konfiguriert F hren Sie die folgenden Skripte in der aufgelisteten Reihenfolge aus m db_type rdbuserdirectory sql Konfiguriert die Tabellen f r das NeteAuto Beispiel und erstellt die Benutzereingaben
361. on EdConfig Xpress a Load Environment ritsp7base Show Source XML Inveronment 4 Event Listeners 2 Dumas Loge Task n togal Attribute Har Werkfien Participant imat 21 Workflow Mapping 1 Provisioning Screens 1621 Ped gt Approve Certify e v Approve Delete Fields gt Config gt Anne Dalaran Tasks 568 Modiba Admin Poles 86 m Access Roles 0 Provworneng Roles 9 Identity Pobcies Policy Xpress 19 q Med G Mn Config Xpress kann die XML Konfiguration f r eine bestimmte Komponente anzeigen Die Informationen in dieser XML Datei helfen Ihnen dabei sich mit einem System vertraut zu machen Gehen Sie wie folgt vor 1 Laden Sie eine Umgebung in Config Xpress 2 Klicken Sie auf eine Komponente im Config Xpress Fenster 3 Klicken Sie auf XML anzeigen Die XML Konfiguration wird angezeigt un Show XML Generate Report 4 Compare Screen name Approve Delete Group Profile tag ApproveDeleteGroupProfile seraendefinition StandardProfile objet GROUP xmlins xsi http wuw w3 org 2001 KMLSchema instance xmlins iims http imsenvironmentobjects xsd xmlinsiimsrule http imsmemberrule xsd xmins imsscope http imsscoperula xsd xmlins imschange http imschangeaction xsd gt lt ScreenFieldGroup name Flelds gt lt ScreenField name Organization permission R attribute 60ORG_MEMBERSHIP gt lt PropertyDict name Config g
362. on enth lt zu der die Gruppe geh rt CA IdentityMinder verwendet dieses bekannte Attribut um die Struktur des Verzeichnisses siehe Seite 87 zu bestimmen Dieses Attribut wird nicht ben tigt wenn das Benutzerverzeichnis keine Organisationen einschlie t ORG_MEMBERSHIP_NAME Zeigt an welches Attribut den benutzerfreundlichen Namen der Organisation enth lt in der die Gruppe vorhanden ist Dieses Attribut ist nicht f r Benutzerverzeichnisse g ltig die keine Organisationen einschlie en SELF_SUBSCRIBING 84 Konfigurationshandbuch Zeigt an welches Attribut entscheidet ob Benutzer sich einer Gruppe siehe Seite 86 anschlie en k nnen Bekannte Attribute f r einen LDAP Benutzerspeicher NESTED_GROUP_MEMBERSHIP Zeigt an welches Attribut eine Liste von Gruppen speichert die wiederum als Mitglieder einer Gruppe fungieren k nnen Wenn zum Beispiel die Gruppe 1 ein Mitglied der Gruppe A ist wird Gruppe 1 im NESTED_GROUP_MEMBERSHIP Attribut gespeichert Wenn Sie kein NESTED_GROUP_MEMBERSHIP Attribut angeben speichert CA IdentityMinder verschachtelte Gruppen im GROUP_MEMBERSHIP Attribut Um Gruppen als Mitglieder anderer Gruppen einzubinden konfigurieren Sie den Support f r verschachtelte Gruppen wie in den Anweisungen zum Konfigurieren von dynamischen und verschachtelten Gruppen beschrieben DYNAMIC_GROUP_MEMBERSHIP Zeigt an welches Attribut die LDAP Abfrage speichert die eine dynamische Gruppe
363. on gro en Suchen Wenn CA IdentityMinder einen gro en Benutzerspeicher verwaltet reicht bei Suchen die viele Ergebnisse zur ckgeben der Systemspeicher m glicherweise nicht aus Um Speicherprobleme zu vermeiden k nnen Sie Beschr kungen f r gro e Suchen definieren Die beiden folgenden Einstellungen bestimmen wie CA IdentityMinder gro e Suchen verarbeitet m Maximale Zeilenanzahl Gibt die maximale Anzahl von Ergebnissen an die CA IdentityMinder beim Durchsuchen eines Benutzerverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt m Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie beim Angeben der Seitengr e die folgenden Punkte Damit Sie die Option zur Festlegung der Seitengr e von Suchen verwenden k nnen muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigurationsschritte damit sie Paging unterst tzen Weitere Informationen finden Sie in den folgenden Themen Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server siehe Seite 99 Konfigurieren von Paging Unterst tzung f r Active Directory Wenn der Benutzerspeicher kein Paging unterst tzt und ein W
364. onManager2 ConnectionManagerProxy allocateConnection BaseConnectionManager2 java 849 338 Konfigurationshandbuch Fehlerbehebung Gehen Sie wie folgt vor 1 berpr fen Sie die Eigenschaft UserName in ra xml lt config property value gt smserver forwardinc ca 44441 44442 44443 lt co lt config property gt lt ceonfig property gt lt config property name gt UserName lt config property name gt lt config property type gt java lang String lt config property type gt lt eonfig property value gt Sitellinder lt config property valus gt lt config property gt lt The property password has been removed AdminSecret is used in This is due to the fact that we have added algorithm name padding in th the algorithm name for ex PBES with its own handlers This crashes 2 Geben Sie in der Eigenschaft UserName das Konto an das verwendet wird um mit CA SiteMinder zu kommunizieren Verwenden Sie zum Beispiel das SiteMinder Konto Standardwert Falscher geheimer Admin Schl ssel Symptom Falscher geheimer Admin Schl ssel L sung Wird ein falscher geheimer Admin Schl ssel angegeben wird in ra xml der Fehler ber ung ltige Anmeldeinformationen Cannot connect to policy server Invalid credentials wie in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 35 52 965 WARN ims default HRRRRRHHHHHRRRRRRRHHHREHRRRRREHHHHRRERR HHHERBRE 2010 12 13 10 35 52 965 WARN ims default
365. ondarytable attribute Zum Beispiel zeigt tblUsers id tblUserAddress userid an dass das id Attribut in der prim ren Tabelle tblUsers zum userid Attribut in der Tabelle tblUserAddress zugeordnet wird Attributeigenschaften im Fenster Managed Object Properties Die folgenden Eigenschaften werden f r Attribute im Fenster Managed Object Properties Eigenschaften von verwalteten Objekten angezeigt Anzeigename Der benutzerfreundliche Name des Attributs Dieser Name wird in der Liste der verf gbaren Attribute angezeigt wenn Sie ein Aufgabenfenster f r eine bestimmte Aufgabe in der Benutzerkonsole entwerfen Physischer Name Der Name des Attributs im Benutzerspeicher Benutzername Well Known Der bekannte Benutzername Well Known zeigt Attribute an die eine besondere Bedeutung in CA IdentityMinder haben wie das Attribut das verwendet wird um Benutzerkennw rter zu speichern Kapitel 5 CA IdentityMinder Verzeichnisse 183 CA IdentityMinder Verzeichniseigenschaften Attributeigenschaften in den Attributeigenschaften Fenstern Sie k nnen zus tzliche Details ber ein Attribut anzeigen indem Sie auf seinen Namen klicken um das Attributeigenschaften Fenster zu ffnen Die folgenden Attributeigenschaften werden im Fenster Attribute Properties Attributeigenschaften angezeigt Beschreibung Geben Sie eine Beschreibung des Attributs ein Physischer Name Gibt den Namen des Attributs im Benutzerspeicher an Objektkla
366. onsole Erm glicht CA IdentityMinder Administratoren Aufgaben in einer CA IdentityMinder Umgebung auszuf hren Aufgaben und Rollendefinitionen Bestimmen Sie Benutzerberechtigungen in CA IdentityMinder und anderen Anwendungen Die Aufgaben und Rollendefinitionen sind anf nglich in der CA IdentityMinder Umgebung verf gbar wo sie Benutzern zugewiesen werden k nnen Sie k nnen die Standardrollen und aufgaben mithilfe der Benutzerkonsole anpassen Self Service Damit k nnen Benutzer ihre eigenen Konten zum Zugriff auf Ressourcen wie etwa eine Kundenwebseite erstellen und verwalten Mit dem Self Service k nnen Benutzer au erdem ein tempor res Kennwort f r den Fall anfordern dass das aktuelle Kennwort vergessen wurde Workflow Definitionen CA IdentityMinder schlie t Standard Workflow Definitionen ein die die Genehmigung und Benachrichtigung f r Benutzerverwaltungsaufgaben wie etwa Erstellen von Benutzerprofilen oder Zuweisen von Benutzern zu Rollen oder Gruppen automatisieren Sie k nnen die Standard Workflow Vorg nge in CA IdentityMinder ndern um s mtliche Unternehmensanforderungen zu unterst tzen Designs Bestimmen Sie die Anzeige der CA IdentityMinder Benutzeroberfl che Benutzerdefinierte Funktionen Sie k nnen CA IdentityMinder ndern um Ihre Gesch ftsanforderungen mithilfe des CA IdentityMinder APlIs anzupassen Weitere Informationen finden Sie im Programmierhandbuch f r Java Jede CA IdentityM
367. ore ApplicationDispatcher invoke ApplicationDispatcher java 654 at org apache catalina core ApplicationDispatcher dolnclude ApplicationDispatcher java 557 at org apache catalina core ApplicationDispatcher include ApplicationDispatcher java 481 at org apache jasper runtime JspRuntimeLibrary include JspRuntimeLibrary java 968 at idm_jsp app ca12 index_jsp _jspx_meth_skin_ifnomepage_0 Unknown Source at idm_jsp app ca12 index_jsp _jspService Unknown Source at org apache jasper runtime HttpJspBase serice HttpJspBase java 70 at javax serlet http HttpServlet service HttpSenvlet java 803 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 290 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at org apache catalina core ApplicationDispatcher invoke ApplicationDispatcher java 654 at org apache catalina core ApplicationDispatcher processRequest ApplicationDispatcher java 445 at org apache catalina core ApplicationDispatcher doForward ApplicationDispatcher java 379 at org apache catalina core ApplicationDispatcher forward ApplicationDispatcher java 292 at com netegrity webapp filter ConsolePagefilter doFilter ConsolePagefilter java 521 at org apache catalina core ApplicationFilterChain internalDoFilter ApplicationFilterChain java 235 at org apache catalina core ApplicationFilterChain doFilter ApplicationFilterChain java 206 at com netegrity webapp page js
368. oss classes gt lt Property name ENABLE gt true lt Property gt lt PropertyDict gt Hinweis Das PropertyDict Element muss das letzte Element im ImsManagedObject Element sein wie im folgenden Beispiel dargestellt lt ImsManagedObject name User description My Users objectclass top person organizationalperson inetorgperson customClass objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name SEARCH ACROSS CLASSES description allow checking an attribute across classes gt lt Property name ENABLE gt true lt Property gt lt PropertyDict gt Angeben der Wartezeit f r Replikationen In einer Bereitstellung die eine Replikation zwischen Master und Slave LDAP Verzeichnissen beinhaltet k nnen Sie den SiteMinder Richtlinienserver so konfigurieren dass er mit einem Slaveverzeichnis kommuniziert Der Richtlinienserver erkennt in einer solchen Konfiguration automatisch Verweise auf das Masterverzeichnis wenn Vorg nge ausgef hrt werden bei denen Daten in das LDAP Verzeichnis geschrieben werden Die Daten werden im Master LDAP Verzeichnis gespeichert und entsprechend dem Replikationsschema Ihrer Netzwerkressourcen im Slave LDAP Verzeichnis repliziert Wenn Sie in einer solchen Konfiguration ein Objekt in CA IdentityMinder erstellen wird dieses im M
369. oten aktiviert sein wenn Sie nderungen in der Management Konsole vornehmen Halten Sie alle au er einen CA IdentityMinder Knoten an bevor Sie ein CA IdentityMinder Verzeichnis erstellen oder ndern Gehen Sie wie folgt vor 1 Exportieren Sie die aktuellen CA IdentityMinder Verzeichniseinstellungen in eine XML Datei 2 ndern Sie die XML Datei um Ihre nderungen widerzuspiegeln 3 Klicken Sie auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 4 Klicken Sie auf den Namen des zu aktualisierenden Verzeichnisses Die Eigenschaften f r das CA IdentityMinder Verzeichnis werden angezeigt 5 Klicken unten im Eigenschaftsfenster auf Aktualisieren 6 Geben Sie den Pfad und Dateinamen der XML Datei f r das Aktualisieren des CA IdentityMinder Verzeichnisses ein oder suchen Sie nach der Datei Klicken Sie auf Fertig stellen Statusinformationen werden im Verzeichniskonfigurations Ausgabefeld angezeigt 7 Klicken Sie auf Fortfahren 188 Konfigurationshandbuch Aktualisieren von Einstellungen f r ein CA IdentityMinder Verzeichnis L schen von CA IdentityMinder Verzeichnissen Bevor Sie ein CA IdentityMinder Verzeichnis l schen l schen Sie CA IdentityMinder Umgebungen die ihm zugeordnet sind Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Directories Verzeichnisse Die Liste von CA IdentityMinder Verzeichnissen wird angezeigt 2 Aktivieren Si
370. oxy dil Erweiterung wlforward 2 Konfigurieren Sie das Proxy Plug in f r CA IdentityMinder wie in einem der folgenden Abschnitte beschrieben m Proxy Plug in f r IIS siehe Seite 330 m Proxy Plug in f r iPlanet siehe Seite 331 m Proxy Plug in f r Apache siehe Seite 334 Konfigurieren des Proxy Plug Ins f r IIS 7 x Folgender Vorgang durchl uft die Bereitstellung und Konfiguration des Weblogic Proxy Plug ins f r IIS 7 x Hinweis Diese Anweisungen sind f r 32 Bit Umgebungen Die gleichen Anweisungen gelten f r 64 Bit Umgebungen Der Speicherort der dIl Installationsdatei ist unterschiedlich m WL_HOME server plugin win 32 m WL_HOME server plugin win 64 Gehen Sie wie folgt vor 1 Installieren Sie den Web Agent auf IIS7 und konfigurieren ihn 2 Erstellen Sie einen Ordner mit dem Namen plugin auf dem Laufwerk C 3 Kopieren Sie die folgenden Dateien zum Ordner plugin m lisforward dll m lisproxy dll m iisproxy ini Sie finden diese Dateien unter lodimmaple ca com RegressionHarness thirdparty weblogic Weblogic_Proxy_Fil es_IIS7 Kapitel 12 Integration von CA SiteMinder 327 Installieren des Web Proxyserver Plug ins 10 11 12 13 14 15 16 17 18 19 328 Konfigurationshandbuch Installieren Sie die Anwendungsentwicklungs und Verwaltungstools Rollendienste auf IIS7 ffnen Sie Inet Manager und w hlen Sie die Standardwebsite aus Klicken Sie auf Han
371. pitel 4 Verwaltung relationaler Datenbanken 139 Verbindung zum Benutzerverzeichnis Eine abgeschlossene Datenbankverbindung entspricht dem folgenden Beispiel lt Provider type RDB userdirectory SMDirName gt lt JDBC datasource SMDirJDBCDataSource gt lt Credentials user SMDirUser cleartext true gt SMDirPassword lt Credentials gt lt DSN name SMDirDSN gt lt SiteMinderQuery name AuthenticateUser query SELECT TBLUSERS LOGINID FROM TBLUSERS WHERE TBLUSERS LOGINID s AND TBLUSERS PASSWORD S gt lt provider gt Die Attribute f r das Provider Element lauten wie folgt type Gibt den Typ der Datenbank an Geben Sie f r Microsoft SQL Server und Oracle Datenbanken RDB an Standardeinstellung userdirectory Gibt den Namen der Benutzerverzeichnisverbindung an Dieser Parameter entspricht dem Namen des Verbindungsobjekts den Sie w hrend der Erstellung des Verzeichnisses angegeben haben Wenn CA IdentityMinder und SiteMinder f r Authentifizierungszwecke integriert sind wird in SiteMinder eine Benutzerverzeichnisverbindung mit dem Namen erstellt den Sie w hrend der Installation f r das Verbindungsobjekt angegeben haben Wenn Sie eine Verbindung mit einem vorhandenen SiteMinder Benutzerverzeichnis herstellen m chten geben Sie an der Eingabeaufforderung f r das Verbindungsobjekt den Namen dieses Benutzerverzeichnisses ein CA IdentityMinder f gt den angegebenen Namen in den Parameter user
372. ptom Falscher SiteMinder Richtlinienserver Speicherort L sung Wird ein falscher Speicherort angegeben wird in ra xml der Fehler Cannot connect to policy server xxx in der folgenden Abbildung dargestellt angezeigt 2010 12 13 10 26 23 293 WARN ims default HHHRRHHHEHHRRRRHENHHRRRRHNEHERRRRHENHRRRRRHNENER 2010 12 13 10 26 23 293 WARN ims default HHRRRHHHRHHRRHRRHHNHHRHRHHNEHHRRRRHNNHHRRRRRNNNER 2010 12 13 10 26 23 293 WARN ims default CA Identity Manager 12 5 4 0 461 2010 12 13 10 26 23 293 WARN ims default HHHRRHHHHHHHRHHHHEHHRHRHHNHHHRRRHHHNHHHRRRRHHRHHR 2010 12 13 10 23 293 WARN ims default CA IAM FU Startup Sequence Initiated 2010 12 13 10 26 23 293 WARN ims default Startup Step 1 Attempting to start Servicelocator 2010 12 13 10 465 WARN ims tmt CresteDatabaseSchema t Schema for Task Persistence is up to date 2010 12 13 10 497 WARN ims tmt CresteDatabase chema Schema for Archive is up to date 2010 12 13 10 26 23 528 WARN ims tmt CreateDatabaseSchema Schema for Auditing is up to date 2010 12 13 10 26 23 559 WARN ims tmt CreateDatabaseSchema Schema for Report Snapshot is up to date 2010 12 13 10 26 23 559 WARN ims default Startup Step 2 Attempting to start PolicyServer ervice 2010 12 13 10 26 25 809 WARN org jboss resource connectionmanager JBossManagedConnectionPool Throwable while attempting to get a new connection null javax resource spi EISSystemExc
373. r eneessssssenensnssnnnnnnennnnnneennnn 300 Konfigurieren von Microsoft Active Directory uuuensesssnesssnnnensennnnnnnnnnnnnnennnnnennnnnnnsnnnnnnnnnnnonnennnnensnsnsnnnsnsnensnsnnen 301 10 Konfigurationshandbuch Konfigurieren von Microsoft ADAM uessseesssssssnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnsnnesnnsnnnnnnnnsnennnn Konfigurieren von CA Directory Server Konfigurieren von Novell eDirectory Server eeeeeseassseeennnsnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnensnsnnsnnnnnnnnsnennnn Konfigurieren von Oracle Internet Directory OID u0 22200uussssseeenssssennnnnsnnnnnnnennnnnnnnnnnnnnnnnnnnennnnnnnennnnnenn Pr ren des Richtlinienspeichers u seu88rseeneee kennen in aan Importieren des CA IdentityMinder Schemas in den Richtlinienspeicher Erstellen eines SiteMinder 4 X Agentenobjekts Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen L schen aller Verzeichnis und Umgebungsdefinitionen uuss00222222222ssnnnnnenennnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn Aktivieren des SiteMinder Richtlinienserver Ressourcenadapters ussssesesssssensnnnnonnnnnnnnnnennnnnnnennnnnennnnnnnensnnnnnnnn Deaktivieren des systemeigenen CA IdentityMinder Framework Authentifizierungsfilter Neustarten des AnwendungsserverSs ueeeeeenessssssnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnnnnnnnnnensnnsennnnnnnsnsnsnnnnnn Konfigurieren einer Datenquelle f
374. r Geheimer Wert f r Bereitstellungsserver R ckruf Workflow Sitzungsinformationen Richtlinienserver Verbindungsinformationen FIPS Modus Protokollierung Die folgenden CA Identity Manager Komponenten zeigen in Protokolldateien an ob der FIPS Modus aktiviert ist Identity Manager Server Bereitstellungsserver Anhang A FIPS 140 2 Kompatibilit t 383 FIPS Modus Protokollierung m C Connector Server m Java Connector Server m Bereitstellungs Manager m Agent f r die Kennwortsynchronisierung In allen F llen endet der Protokolleintrag der anzeigt dass der FIPS Modus aktiviert ist mit der folgenden Zeichenfolge FIPS 140 2 MODE ON 384 Konfigurationshandbuch Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate SHA 2 SSL Zertifikat Hashing ist ein kryptografischer Algorithmus der vom National Institute of Standards and Technology NIST und der National Security Agency NSA entwickelt wurde SHA 2 Zertifikate sind sicherer als alle vorherigen Algorithmen In CA IdentityMinder k nnen Sie SHA 2 signierte SSL Zertifikate anstelle von Zertifikaten konfigurieren die mit der SHA 1 Hash Funktion signiert wurden Hinweis Weitere Informationen zur Konfiguration von SSL Zertifikaten finden Sie im Installationshandbuch Die folgende Tabelle zeigt den Pfad auf dem CA IdentityMinder Server an wo Sie die SHA 2 signierten Zertifikate speichern k nnen Zertifikate Installationspfad Be
375. r Verzeichniskonfigurationsdatei directory xml definiert wird Ein g ltiges Attribut das f r das ORGANIZATION Objekt in der Verzeichniskonfigurationsdatei directory xml definiert wird Kapitel 8 berpr fung 257 So konfigurieren und generieren Sie Audit Datenberichte G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp RELATIONSHIP USER NONE G ltige Attribute m CONTAINER Eindeutige Kennung des bergeordneten Objekts Wenn zum Beispiel das RELATIONSHIP Objekt eine Rollenmitgliedschaft beschreibt w re der Container die Rolle m amp CONTAINER_NAME F r den Benutzer sichtbarer Name der bergeordneten Gruppe m ITEM Eindeutig Kennung des Objekts das im bergeordneten Objekt enthalten ist Wenn zum Beispiel das RELATIONSHIP Objekt eine Rollenmitgliedschaft beschreibt w ren die Elemente die Rollenmitglieder m ITEM_NAME F r den Benutzer sichtbarer Name der verschachtelten Gruppe Ein g ltiges Attribut das f r das USER Objekt in der Verzeichniskonfigurationsdatei directory xml definiert wird Keine Attribute Hinweis Folgende Punkte beziehen sich auf die vorangehende Tabelle F r enabled assignable auditable workflow hidden webservice und public wird entweder true oder false protokolliert Beim berpr fen von Aufgaben f r Rollen wird der f r Benutzer sichtbare Name protokolliert In der Datenbank sind Mitglieds Administrator und Be
376. r siehe Seite 201 6 Importieren von benutzerdefinierten Bereitstellungsrollen siehe Seite 203 7 Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen siehe Seite 203 berpr fen der Voraussetzungen Bevor Sie die Umgebung f r die Bereitstellung konfigurieren stellen Sie sicher dass das Bereitstellungsverzeichnis auf CA Directory installiert ist Weitere Informationen dazu finden Sie im Installationshandbuch Aktivieren von Bereitstellungsserver Zugriff Sie aktivieren den Zugriff auf den Bereitstellungsserver durch die Verwendung des Links Directories Verzeichnisse in der Management Konsole Hinweis Eine Voraussetzung f r diesen Vorgang ist das Bereitstellungsverzeichnis auf CA Directory zu installieren Weitere Informationen dazu finden Sie im Installationshandbuch Gehen Sie wie folgt vor 1 ffnen Sie die Management Konsole indem Sie die folgende URL in einen Browser eingeben http hostname port iam immanage Hostname Definiert den voll qualifizierten Hostnamen des Systems auf dem der CA IdentityMinder Server installiert ist port Definiert die Portnummer des Anwendungsservers 2 Klicken Sie auf Directories Verzeichnisse Das CA IdentityMinder Verzeichnisfenster wird ge ffnet 3 Klicken Sie auf Create from Wizard ber Assistenten erstellen Kapitel 6 CA IdentityMinder Umgebungen 205 Konfigurieren einer Umgebung f r die Bereitstellung Geben Sie den Pfad un
377. r siehe Seite 304 Konfigurieren von Oracle Internet Directory OID siehe Seite 305 Kapitel 12 Integration von CA SiteMinder 299 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren einer relationalen Datenbank Nach der Konfiguration k nnen Sie die relationale Datenbank als SiteMinder Richtlinienspeicher verwenden Gehen Sie wie folgt vor 1 Konfigurieren Sie die Datenbank als einen unterst tzten SiteMinder Richtlinienspeicher Hinweis Anweisungen zur Konfiguration finden Sie im Installationshandbuch zum SiteMinder Richtlinienserver F hren Sie das entsprechende Skript f r Ihre Datenbank aus m SQL C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas MicrosoftSQLServer ims8_mssql_ps sql Oracle opt CA IdentityManager lAM_Suite ldentity_Manager tools policystore sch emas OracleRDBMS ims8_oracle_ps sql Die vorangehenden Pfade sind die Standardinstallationsverzeichnisse Der Speicherort f r Ihre Installation kann hiervon abweichen Konfigurieren von Sun Java Systems Directory Server oder IBM Directory Server Zum Konfigurieren eines Java oder IBM Verzeichnisservers wenden Sie die entsprechende Schemadatei an Gehen Sie wie folgt vor 1 300 Konfigurationshandbuch Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMi
378. r um Rollen und Aufgabeneinstellungen zu importieren Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste von CA IdentityMinder Umgebungen wird angezeigt 2 Klicken Sie auf den Namen der CA IdentityMinder Umgebung in die Sie die Rollen und Aufgabeneinstellungen importieren m chten Das Eigenschaftsfenster f r diese Umgebung wird angezeigt 3 Klicken Sie auf Role and Task Settings Rollen und Aufgaben Einstellungen und anschlie end auf Importieren 4 F hren Sie eine der folgenden Aktionen aus m W hlen Sie eine oder mehrere Rollendefinitionsdateien aus um Standardrollen und aufgaben f r die Umgebung zu erstellen Um alle verf gbaren Rollendefinitionsdateien auszuw hlen klicken Sie auf Select Deselect All Alle ausw hlen Gesamte Auswahl aufheben m Geben Sie den Pfad und Dateinamen f r die zu importierende Rollendefinitionsdatei ein oder suchen Sie nach der Datei Klicken Sie dann auf Fertig stellen 5 Klicken Sie auf Fertig stellen Der Status wird im Ausgabefenster der Rollenkonfiguration angezeigt 6 Klicken Sie zum Beenden auf Fortfahren Kapitel 6 CA IdentityMinder Umgebungen 229 ndern des Systemmanager Kontos Erstellen von Rollen und Aufgaben f r dynamische Endpunkte Mithilfe von Connector Xpress k nnen Sie dynamische Connector konfigurieren um die Bereitstellung und Verwaltung von SQL Datenbanken und LDAP Verzeichnissen zu erm gliche
379. r Aufgabe die das Kennwortfeld enth lt beispielsweise die Aufgabe Benutzer ndern Kapitel 4 Verwaltung relationaler Datenbanken 133 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Um zu erzwingen dass CA IdentityMinder alle verschl sselten Werte erkennt und entschl sselt die f r das Attribut im Benutzerspeicher verbleiben k nnen Sie eine andere Datenklassifizierung PreviouslyEncrypted angeben Der Klartextwert wird im Benutzerspeicher gespeichert wenn Sie das Objekt speichern Hinweis Durch die Datenklassifizierung PreviouslyEncrypted wird bei jedem Laden des Objekts der Verarbeitungsaufwand erh ht Um Leistungsbeeintr chtigungen zu verhindern k nnen Sie die Datenklassifizierung PreviouslyEncrypted hinzuf gen jedes Objekt dem dieses Attribut zugeordnet ist laden und speichern und anschlie end die Datenklassifizierung wieder entfernen Mit dieser Methode werden alle gespeicherten verschl sselten Werte automatisch in gespeicherten Klartext konvertiert Gehen Sie wie folgt vor 1 Exportieren Sie die Verzeichniseinstellungen f r das entsprechende CA IdentityMinder Verzeichnis 2 Entfernen Sie in der directory xml Datei die Datenklassifizierung AttributeLevelEncrypt f r Attribute die Sie entschl sseln m chten 3 Wenn Sie erzwingen m chten dass CA IdentityMinder zuvor verschl sselte Werte entfernt f gen Sie das Datenklassifizierungs Attribut PreviousiyEncrypted hinzu
380. r Benutzerverzeichnisverbindung bereinstimmen FIRST_NAME F hrt Zuordnungen zum Vornamen eines Benutzers durch FULL_NAME F hrt Zuordnungen zum Vor und zum Nachnamen eines Benutzers durch IDENTITY_POLICY Gibt die Liste von Identit tsrichtlinien an die auf ein Benutzerkonto angewendet werden sowie eine Liste von eindeutigen Policy Xpress Richtlinien IDs die f r das Benutzerobjekt Aktionen zum Hinzuf gen oder zum Entfernen durchgef hrt haben CA IdentityMinder verwendet dieses Attribut um festzulegen ob die Anwendung einer Identit tsrichtlinie auf einen Benutzer erforderlich ist oder nicht Es sei davon auszugehen dass f r die Richtlinie die Einstellung der einmaligen Anwendung aktiviert ist und dass die Richtlinie im Attribut IDENTITY_POLICY aufgelistet ist CA IdentityMinder wendet die nderungen in der Richtlinie nicht auf den Benutzer an Hinweis Weitere Informationen zu Identit tsrichtlinien finden Sie im Administrationshandbuch LAST_CERTIFIED_DATE F hrt Zuordnungen zu dem Datum durch an dem die Rollen f r einen Benutzer zertifiziert werden Die Verwendung der Benutzerzertifizierungsfunktion ist erforderlich Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch LAST_NAME F hrt Zuordnungen zum Nachnamen eines Benutzers durch Kapitel 3 Verwaltung des LDAP Benutzerspeichers 81 Bekannte Attribute f r einen LDAP Benutzerspeicher MEMBER_OF
381. r Verzeichnisses in der Management Konsole zur Eingabe der Anmelde ID auf cleartext Legt fest ob das Kennwort wie folgt im Flie text in der directory xmi Datei angezeigt wird m True Das Kennwort wird als unverschl sselter Text angezeigt m False Das Kennwort wird verschl sselt Standardeinstellung Hinweis Die Parameter sind optional Verbindungs Unterelement Das Verbindungs Unterelement beschreibt den Speicherort des Benutzerspeichers den CA IdentityMinder verwaltet Dieses Unterelement enth lt die folgenden Parameter Host Gibt den Hostnamen oder die IP Adresse des Systems an in dem sich das Benutzerverzeichnis befindet Hinweis Wenn das verbundene System eine IPv6 Adresse aufweist f gen Sie die IP Adresse innerhalb der Klammern wie folgt bei lt Connection host 2 9255 214 22ff fe72 525a port 20389 failover 2 9255 214 22ff fe72 5253 20389 gt port Gibt die Port Nummer f r das Benutzerverzeichnis an Kapitel 3 Verwaltung des LDAP Benutzerspeichers 57 Verzeichnissuchparameter Failover Gibt den Hostnamen und die IP Adresse des Systems an in dem redundante Benutzerspeicher vorhanden sind Dies ist f r den Fall vorgesehen dass das Prim rsystem nicht verf gbar ist Wenn das Prim rsystem wieder verf gbar ist kann das Failover System wieder verwendet werden Um zur Verwendung des Prim rsystems zur ckzukehren starten Sie das sekund re System neu Wenn mehrere Server aufgel
382. r dynamische Gruppen m NESTED CA IdentityMinder unterst tzt nur verschachtelte Gruppen Nachdem Sie die Unterst tzung f r dynamische und verschachtelte Gruppen im CA IdentityMinder Verzeichnis konfiguriert haben k nnen CA IdentityMinder Administratoren angeben welche Gruppen in der Benutzerkonsole dynamisch und welche verschachtelt sind Hinweis Beachten Sie dass Sie den Gruppentyp auf NESTED oder ALL festgelegt haben ohne den bekannten Parameter NESTED_GROUP_MEMBERSHIP festzulegen In diesem Fall speichert CA IdentityMinder sowohl die verschachtelten Gruppen als auch die Benutzer in dem bekannten Parameter GROUP_MEMBERSHIP Die Verarbeitung von Gruppenmitgliedschaften kann geringf gig langsamer sein 90 Konfigurationshandbuch Validierungsregeln Hinzuf gen von Unterst tzung f r Gruppen als Gruppenadministrator Bei Verwaltung eines LDAP Benutzerspeichers k nnen Sie festlegen dass Gruppen als Administratoren anderer Gruppen fungieren k nnen Wenn Sie eine Gruppe als Administrator zuweisen sind nur die Administratoren dieser Gruppe Administratoren der anderen angegebenen Gruppe Die Mitglieder der angegebenen Administratorgruppe sind nicht berechtigt die Gruppe zu verwalten Gehen Sie wie folgt vor 1 Ordnen Sie das bekannte Attribut GROUP_ADMIN_GROUP einem physischen Attribut zu in dem die Liste der Gruppen gespeichert ist die als Administratoren dienen Hinweis Das ausgew hlte physische Attribut muss me
383. r folgenden URL k nnen Sie auf die standardm ige Selbstregistrierungsaufgabe zugreifen http myserver mycompany com iam im alias index jsp task tag SelfRegistra tion In dieser URL ist alias der eindeutige Name den Sie angeben b Geben Sie eins der folgenden vorhandenen Benutzerkonten an das als ffentliches Benutzerkonto dient CA IdentityMinder erm glicht mit diesem Konto unbekannten Benutzern den Zugriff auf ffentliche Aufgaben ohne die Angabe von Anmeldeinformationen LDAP Benutzer geben die eindeutige Kennung oder den zugeh rigen DN des ffentlichen Benutzerkontos ein Vergewissern Sie sich dass dieser Wert dem bekannten Attribut AUSER ID siehe Seite 79 zugeordnet ist Wenn der DN des Benutzer DN zum Beispiel uid Admin1 ou People ou Employees ou NeteAuto lautet geben Sie Admin1 ein Benutzer von relationalen Datenbanken geben den Wert der dem bekannten Attribut USER_ID in der Verzeichniskonfigurationsdatei zugeordnet ist oder die eindeutige Kennung f r den Benutzer ein Klicken Sie auf Validieren um die vollst ndige Kennung des Benutzers anzuzeigen W hlen Sie die Aufgaben und Rollen aus die f r diese Umgebung erstellt werden sollen Sie k nnen die folgenden Aufgaben ausf hren m Create default roles Standardrollen erstellen Erstellt einen Satz von Standardaufgaben und rollen die in der Umgebung verf gbar sind Administratoren k nnen diese Aufgaben und Rollen als Vorlagen verwende
384. rbindung mit SiteMinder siehe Seite 379 Schl sseldatei Speicherung siehe Seite 379 Das Kennwort Tool siehe Seite 380 FIPS Modus Erkennung siehe Seite 382 Verschl sselte Textformate siehe Seite 383 Verschl sselte Informationen siehe Seite 383 FIPS Modus Protokollierung siehe Seite 383 lt FIPS gt bersicht Die FIPS Ver ffentlichung Federal Information Processing Standards 140 2 ist ein Sicherheitsstandard f r die kryptographischen Bibliotheken und Algorithmen die ein Produkt f r die Verschl sselung verwenden sollte Die FIPS 140 2 Verschl sselung wirkt sich auf die bermittlung aller sensiblen Daten zwischen verschiedenen CA Produktkomponenten sowie zwischen CA Produkten und Produkten von Drittanbietern aus In der FIPS Ver ffentlichung 140 2 sind die Anforderungen festgelegt die erf llt werden m ssen um innerhalb eines Sicherheitssystems zum Schutz von sensiblen nicht klassifizierten Daten kryptographische Algorithmen zu verwenden CA Identity Manager verwendet den von der US Regierung angepassten Advanced Encryption Standard AES CA Identity Manager integriert die kryptografischen Bibliotheken RSA Crypto v3 5 und Crypto C ME v2 0 f r die best tigt wurde dass sie die Sicherheitsanforderungen f r kryptografische Module gem FIPS 140 2 erf llen Anhang A FIPS 140 2 Kompatibilit t 377 Kommunikation Kommunikation Installation FIPS Verschl sselung deckt alle Datenkommunikationen
385. rdnen um die Reihenfolge f r den Failover Befehl festzulegen Wenn es sich um die erste Umgebung handelt geben Sie in die Felder Gemeinsamer geheimer Schl ssel das Kennwort ein das w hrend der CA IdentityMinder Installation f r den Benutzer f r eingebettete Komponenten eingegeben wurde Hinweis Diese Felder gelten nicht wenn FIPS in dieser Installation aktiviert ist Legen Sie die Protokollebene folgenderma en fest m Kein Protokoll Keine Informationen werden in die Protokolldatei geschrieben m Fehler Es werden nur Fehlermeldungen protokolliert m Info Fehler und Informationsmeldungen werden protokolliert Standard m Warnung Fehler Warn und Informationsmeldungen werden protokolliert m Debug Alle Informationen werden protokolliert Starten Sie den Anwendungsserver neu bevor Sie sich bei der Umgebung anmelden Hinweis Ein Protokoll zu eingehenden Synchronisierungsvorg ngen und allen Problemen die w hrend der Synchronisierung aufgetreten sind finden Sie in der folgenden Datei PSHOME logs etanotify lt Datum gt log 202 Konfigurationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung Importieren von benutzerdefinierten Bereitstellungsrollen Wenn Sie die Umgebung erstellen k nnen Sie die Standardrollen oder eine benutzerdefinierte Rollendefinitionsdatei verwenden die Sie erstellen Wenn Sie benutzerdefinierte Rollendefinitionen importieren importieren Sie auch die Rollendefinitionen
386. re Objektklassen 0222222220ssnnnnssnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnsnssennnnnsnensnnsennnn Angeben der Wartezeit f r Replikationen Angeben von LDAP Verbindungseinstellungen 220s00022200000snnnnonenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnensnnsennnn 95 So verbessern Sie die Leistung von Verzeichnissuchen uuusssssessennsnnnnonnnenennnnnnnnnnnnnnnnnnnnennnnnnennnnnnnnnnnnnnnsnsnnnnn 96 So verbessern Sie die Leistung von gro en Suchen uussseessossensnnnnnnnnnenennnnnnnnnonnnnnnnnnnnennnnnnnnnnnnnennnnnsnensnnnennnn 97 Konfigurieren von Paging Unterst tzung f r Sun Java System Directory Server eeseeesesessnsneennnnnsnnnnnenennnnnnennnnn 99 Konfigurieren von Paging Unterst tzung f r Active Directory 6 Konfigurationshandbuch Kapitel 4 Verwaltung relationaler Datenbanken 103 CA IdentityMinder Verzeichnisse s 000002 2s000420000000200008000000 Hansa a sans na araa Ead a a aaraa a a nnd 103 Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken nnee 105 Erstellen einer Oracle Datenquelle f r WebSphere uueeeeseessssssesnnnsssssennnnnnnnnnennnnennnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnennnn 106 So erstellen Sie ein CA IdentityMinder Verzeichnis 22220000000snsnnnnnnnnnonnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnn 107 So erstellen Sie eine JDBC Datenquelle uuuueeeeeees
387. reibungen in den Benutzerobjekt und Gruppenobjekt Abschnitten der directory xml Datei angezeigt lt ImsManagedObjectAttr physicalname someattribute description Organization displayname Organization valuetype String required true wellknown ORG MEMBERSHIP maxlength 0 permission WRITEONCE searchable false gt F r hierarchische Benutzerspeicher Strukturen werden die physicalname Parameter und die bekannten Parameter wie folgt zum bekannten Attribut zugeordnet lt ImsManagedObjectAttr physicalname ORG MEMBERSHIP amp description Organization displayname Organization valuetype String required true wellknown ORG MEMBERSHIP maxlength 0 permission WRITEONCE searchable false gt Das Beispiel zeigt an dass CA IdentityMinder automatisch den Container DN und den benutzerfreundlichen Namen aus anderen Informationen in der directory xml Datei ableitet Stellen Sie f r flache Benutzerspeicher Strukturen die physischen Attributnamen bereit Hinweis Entsprechende Anweisungen finden Sie im Abschnitt So beschreiben Sie eine flache Benutzerverzeichnis Struktur siehe Seite 87 64 Konfigurationshandbuch Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Geben Sie einen Benutzer oder Gruppen Container an F hren Sie den folgenden Vorgang aus um einen Benutzer oder Gruppen Container anzugeben Gehen Sie wie folgt vor 1 Machen Sie das Container Element im Benutzer
388. relemente in der Datei directory xml Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis erstellen m ssen Sie keine Verzeichnisverbindungsinformationen in der Datei directory xml angeben Die Verbindungsinformationen werden im Assistenten f r CA IdentityMinder Verzeichnisse in der Management Konsole angegeben ndern Sie das Provider Element nur f r Aktualisierungen Das Provider Element beinhaltet die folgenden Unterelemente JDBC erforderlich Gibt die JDBC Datenquelle an die beim Herstellen einer Verbindung mit dem Benutzerspeicher verwendet wird Geben Sie den JNDI Namen an den Sie beim Erstellen der JDBC Datenquelle siehe Seite 107 eingegeben haben Credentials erforderlich Gibt den Benutzernamen und das Kennwort f r den Zugriff auf die Datenbank an DSN Gibt die ODBC Datenquelle an die beim Herstellen einer Verbindung mit dem Benutzerspeicher verwendet wird Hinweis Dieses Unterelement wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In CA IdentityMinder Umgebungen die SiteMinder nicht einschlie en wird dieses Unterelement ignoriert SiteMinderQuery Gibt die benutzerdefinierten Abfrageschemen f r die Suche nach Benutzerinformationen in einer relationalen Datenbank an Hinweis Dieses Unterelement wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt In CA IdentityMinder Umgebungen die SiteMinder nicht einschlie en wird dieses Unterelement ignoriert Ka
389. ren kann wie beispielsweise eine Bestellung in einer Finanzanwendung zu generieren Verzeichniszuordnung 292 Konfigurationshandbuch Ein Administrator muss m glicherweise Benutzer verwalten deren Profile in einem anderen als dem f r die Authentifizierung des Administrators verwendeten Benutzerspeicher enthalten sind Bei der Anmeldung an der CA IdentityMinder Umgebung wird der Administrator mithilfe eines Verzeichnisses authentifiziert und ein anderes Verzeichnis berechtigt den Administrator Benutzer zu verwalten Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie eine CA IdentityMinder Umgebung so konfigurieren dass unterschiedliche Verzeichnisse f r Authentifizierung und Autorisierung verwendet werden So sch tzen Sie Ressourcen Designs f r unterschiedliche Benutzergruppen Ein Design ndert das Erscheinungsbild der Benutzerkonsole Bei Integration von CA IdentityMinder und CA SiteMinder k nnen Sie festlegen dass unterschiedlichen Benutzergruppen unterschiedliche Designs angezeigt werden Um diese nderung durchzuf hren verwenden Sie zum Zuordnen eines Designs zu einer Benutzergruppe eine SiteMinder Antwort Die Antwort ist mit einer Regel in einer Richtlinie verkn pft die einem Satz von Benutzern zugeordnet ist Wenn die Regel ausgel st wird wird wiederum die Antwort ausgel st um an CA IdentityMinder Informationen zum Design weiterzugeben mit dem die Benutzerkonsole erstellt werden soll Hinweis
390. rence Elemente enthalten um eine prim re Tabelle mit sekund ren Tabellen zu verkn pfen 120 Konfigurationshandbuch So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Reference Element Die Parameter im Reference Element lauten wie folgt childcol Gibt die Spalte in der sekund ren Tabelle im entsprechenden Table Element an die der Spalte in der prim ren Tabelle zugeordnet ist primarycol Gibt die Spalte in der prim ren Tabelle an die der Spalte in der sekund ren Tabelle zugeordnet ist Hinweis Die Parameter sind optional wenn nichts anderes angegeben ist Angeben von Objektinformationen Objektinformationen werden angegeben indem Sie Werte f r verschiedene Parameter festlegen Gehen Sie wie folgt vor 1 Suchen Sie das ImsManagedObject Element im Abschnitt f r Benutzerobjekte Gruppenobjekte oder Organisationsobjekte 2 Geben Sie Werte f r die folgenden Parameter an name Erforderlich Gibt einen eindeutigen Namen f r das verwaltete Objekt an Beschreibung Gibt die Beschreibung des verwalteten Objekts an objecttype Erforderlich Gibt den Typ des verwalteten Objekts an Die folgenden Werte sind g ltig m USER m GROUP m ORGANIZATION Das ImsManagedObject Element muss dem folgenden Code entsprechen lt ImsManagedObject name User description My Users objecttype USER gt 3 Geben Sie Tabelleninformationen an wie unter Datenbanktabellen siehe Seite 119 beschrieben
391. rhergesehenen Suchergebnissen f hren Oracle Internet Directory berlegungen Wenn Sie Attribute f r den Benutzerspeicher eines Oracle Internet Directory OID beschreiben geben Sie LDAP Attribute ausschlie lich mithilfe kleingeschriebener Buchstaben an Bekannte Attribute f r einen LDAP Benutzerspeicher Bekannte Attribute haben eine bestimmte Bedeutung in CA IdentityMinder Sie werden wie in der folgenden Syntax angezeigt identifiziert ATTRIBUTENAME In dieser Syntax muss ATTRIBUTENAME gro geschrieben werden Ein bekanntes Attribut wird einem physischem Attribut mithilfe einer Attributbeschreibung siehe Seite 123 zugeordnet In der folgenden Attributbeschreibung wird das Benutzerkennwort des Attributs dem bekannten Attribut PASSWORD zugeordnet sodass CA IdentityMinder den Wert unter userpassword wie folgt als Kennwort betrachtet Kapitel 3 Verwaltung des LDAP Benutzerspeichers 79 Bekannte Attribute f r einen LDAP Benutzerspeicher lt ImsManagedObjectAttr physicalname userpassword displayname Password description Password valuetype String required false multivalued false wellknown PASSWORD maxlength 0 gt Bestimmte bekannte Attribute sind erforderlich andere sind optional Bekannte Attribute f r Benutzer Eine Liste Benutzern bekannter Attribute und die Elemente denen sie zugeordnet werden ist im Folgenden ersichtlich ADMIN_ROLE_CONSTRAINT F hrt Zuordnungen zur Liste von Admi
392. ributen in der Verzeichniskonfigurationsdatei zuordnen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 91 Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Sie k nnen die folgenden zus tzlichen Eigenschaften konfigurieren m Sortierreihenfolge der Suchergebnisse m Suche ber mehrere Objektklassen um zu berpr fen dass ein neuer Benutzer nicht bereits vorhanden ist m Wartezeit um zu verhindern dass CA IdentityMinder vor Abschluss der Datenreplikation vom Master LDAP Verzeichnis zum Slave LDAP Verzeichnis das Zeitlimit berschreitet Konfigurieren der Sortierreihenfolge Sie k nnen ein Sortierungsattribut f r jedes verwaltete Objekt angeben z B f r Benutzer Gruppen oder Organisationen CA IdentityMinder verwendet dieses Attribut zum Sortieren der Suchergebnisse in benutzerdefinierter Business Logic die Sie mit den CA IdentityMinder APis erstellen Hinweis Das Sortierungsattribut wirkt sich nicht auf die Darstellung der Suchergebnisse in der Benutzerkonsole aus Wenn Sie zum Beispiel das cn Attribut f r das Benutzerobjekt angeben sortiert CA IdentityMinder die Ergebnisse einer Suche nach Benutzern alphabetisch nach dem cn Attribut Gehen Sie wie folgt vor 1 F gen Sie nach dem letzten IMSManagedObjectAttr Element im Abschnitt f r das verwaltete Objekt auf das sich die Sortierreihenfolge bezieht die folgenden Anweisungen hinz
393. rierung einen Werbungscode eingeben einer Organisation namens Promotional Users hinzugef gt werden Kapitel 7 Erweiterte Einstellungen 241 Bereitstellung Bereitstellung Verwenden Sie dieses Fenster wenn Sie CA IdentityMinder mit Bereitstellung nutzen Hinweis Eine ausf hrliche Anleitung finden Sie unter Konfigurieren einer Umgebung f r die Bereitstellung siehe Seite 199 Die Optionen f r Bereitstellungseigenschaften lauten wie folgt Aktiviert Gibt die Verwendung von zwei Benutzerspeichern an einer f r CA IdentityMinder und ein separater Benutzerspeicher Bereitstellungsverzeichnis genannt f r Bereitstellungskonten Ist diese Option deaktiviert wird nur der CA IdentityMinder Benutzerspeicher verwendet Use Session Pool Sitzungspool verwenden Aktiviert die Verwendung eines Sitzungspools Session Pool Initial Sessions Anf ngliche Sitzungen im Sitzungspool Definiert die Mindestanzahl von Sitzungen die zu Beginn im Pool verf gbar sind Standardeinstellung 8 Session Pool Maximum Sessions Maximale Sitzungen im Sitzungspool Definiert die H chstanzahl von Sitzungen im Pool Standardeinstellung 32 Enable Password Changes from Endpoint Accounts Kennwort nderungen auf Endpunktkonten aktivieren Definiert ob der Agent f r die Kennwortsynchronisierung f r jeden Benutzer im Bereitstellungsserver aktiviert wird Diese Option erm glicht die Kennwortsynchronisierung zwischen CA IdentityMinder Benutzern u
394. rne CA IdentityMinder Vorg nge Kapitel 10 CA IdentityMinder Protokolle 279 So verfolgen Sie Komponenten und Datenfelder IM_MetaData Stellt Ablaufverfolgungsinformationen bereit wenn CA IdentityMinder die Verzeichnismetadaten verarbeitet IM_RDB_Sgql Stellt Ablaufverfolgungsinformationen f r relationale Datenbanken bereit IM_LDAP_Provider Stellt Ablaufverfolgungsinformationen f r LDAP Verzeichnisse bereit IM_RuleParser Verfolgt die Analyse und Auswertung von in einer XML Datei definierten Mitglieder Besitzer und Admin Richtlinien die zur Laufzeit interpretiert werden IM_RuleEvaluation Verfolgt die Auswertung von Mitglieder Admin Besitzer und Bereichsregeln IM_MemberPolicy Verfolgt die Auswertung von Mitgliederrichtlinien einschlie lich Mitgliedschaft und Bereich IM_AdminPolicy Verfolgt die Auswertung von Admin Richtlinien IM_OwnerPolicy Verfolgt die Auswertung von Besitzerrichtlinien IM_RoleMembership Verfolgt Informationen bez glich der Rollenmitgliedschaft wie die Liste der Rollen eines Benutzer und die Liste der Mitglieder in einer bestimmten Rolle IM_RoleAdmins Verfolgt Informationen bez glich der Rollenverwaltung wie die Liste der Rollen die ein Benutzer verwalten kann und die Liste der Administratoren f r eine bestimmte Rolle IM_RoleOwners Verfolgt Informationen bez glich des Rollenbesitzes wie die Liste der Rollen die ein Benutzer besitzt und die Liste der Besitzer f r e
395. roperty type gt java lang String lt config property type gt lt config property value gt DEVELOPMENT SEVERCOMPANY COM VALUE VALUE VALUE lt co nfig property value gt lt config property gt lt config property gt lt config property name gt UserName lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt SITEMINDER ADMIN NAME lt config property value gt lt config property gt lt config property gt lt config property name gt AdminSecret lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt ENCRYPTED PASSWORD lt config property value gt lt config property gt lt config property gt lt config property name gt AgentName lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt DEVELOPMENT AGENT NAME lt config property value gt lt config property gt lt config property gt lt config property name gt AgentSecret lt config property name gt lt config property type gt java lang String lt config property type gt lt config property value gt ENCRYPTED AGENT SECRET lt config property value gt lt config property gt Hinweis Verwenden Sie f r die Werte die verschl sselten Text erfordern das CA IdentityMinder Kennwort Tool Weitere Informationen finden Sie im Konfigurationshan
396. rscheinungsbild zu geben Wenn Sie f r eine Benutzergruppe Designs ge ndert oder neue Designs erstellt haben f hren Sie die folgenden Schritte aus um die Designs von der Entwicklungs auf die Produktionsumgebung zu migrieren Wenn Sie ein Design ge ndert haben kopieren Sie die ge nderten Dateien Gehen Sie wie folgt vor 1 Kopieren Sie neue und ge nderte Dateien vom Entwicklungs auf den Produktionsserver z B Bilddateien Stylesheets Eigenschaftsdateien und die Konsolenseite index jsp 2 Wenn mehrere Designs verwendet werden konfigurieren Sie eine SiteMinder Antwort Hinweis Weitere Informationen ber die Verwendung mehrerer Designs finden Sie im Konfigurationshandbuch Um die Migration der Designs zu pr fen melden Sie sich an der Benutzerkonsole an und pr fen Sie ob das Design korrekt angezeigt wird Kapitel 9 Produktionsumgebungen 267 Aktualisieren von CA IdentityMinder in einer Produktionsumgebung Aktualisieren von CA IdentityMinder in einer Produktionsumgebung Nachdem Sie CA IdentityMinder von der Entwicklungs auf die Produktionsumgebung migriert haben m ssen Sie ggf inkrementelle Aktualisierungen durchf hren F hren Sie die folgenden Schritte aus um neue CA IdentityMinder Funktionen von Ihrer Entwicklungsumgebung auf Ihre Produktionsumgebung zu migrieren 1 2 3 Migrieren Sie CA IdentityMinder Umgebungen Kopieren Sie die Datei iam_im ear Migrieren Sie Workflow Prozessdefinitionen
397. rst tzen erstellt CA IdentityMinder den Container unter dem Suchstamm den Sie angeben wenn Sie das CA IdentityMinder Verzeichnis erstellen CA IdentityMinder ignoriert Eingaben die nicht im angegebenen Container vorhanden sind Wenn Sie zum Beispiel den People Container angeben k nnen Sie keine Benutzer verwalten die au erhalb des People Containers vorhanden sind Hinweis Um Benutzer zu verwalten die nicht im angegebenen Container vorhanden sind k nnen Sie eine weitere CA IdentityMinder Umgebung erstellen Kapitel 3 Verwaltung des LDAP Benutzerspeichers 63 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Container und bekannte Attribute Bekannte Attribute sind Attribute denen in CA IdentityMinder eine besondere Bedeutung zukommt Wenn CA IdentityMinder einen Benutzerspeicher einschlie lich Containern verwaltet identifizieren die folgenden bekannten Attribute die Informationen zu den Containern ORG_MEMBERSHIP Identifiziert das Attribut das den vollst ndigen Namen DN des Containers speichert Zum Beispiel entspricht der vollst ndige Name Folgendem ou People ou Employee ou NeteAuto dc security descom ORG_MEMBERSHIP_NAME Identifiziert das Attribut das den benutzerfreundlichen Namen des Attributs speichert So lautet zum Beispiel der benutzerfreundliche Name des Containers im vorigen Beispiel People Diese bekannten Attribute werden folgenderma en in den Attributbesch
398. rt sind Wenn Sie eine dieser Admin Aufgaben ndern sodass diese andere Attribute verwendet m ssen Sie ggf die Attributzuordnungen aktualisieren Eingehende Zuordnungen Eingehende Zuordnungen ordnen Ereignisse die vom Bereitstellungsserver generiert werden einer Admin Aufgabe zu Diese Zuordnungen sind voreingestellt und k nnen nicht ge ndert werden 244 Konfigurationshandbuch Benutzerkonsole Ausgehende Zuordnungen Ausgehende Zuordnungen ordnen Ereignisse die von Admin Aufgaben generiert werden Ereignissen zu die auf das Bereitstellungsverzeichnis angewandt werden F r Ereignisse die sich auf Benutzerattribute auswirken sind Standardzuordnungen vorhanden Benutzerkonsole Auf eine CA IdentityMinder Umgebung wird mithilfe der Benutzerkonsole zugegriffen Dies ist eine Webanwendung die es Benutzern erm glicht Admin Aufgaben auszuf hren Sie definieren gewisse Eigenschaften f r die Benutzerkonsole die Administratoren f r den Zugriff auf die Umgebung verwenden auf der Seite User Console in der Management Konsbole Die Seite User Console enth lt die folgenden Felder General Properties Allgemeine Eigenschaften Definieren Sie allgemeine Eigenschaften die auf eine Umgebung angewandt werden Show Recently Completed Tasks Vor Kurzem abgeschlossene Aufgaben anzeigen Bestimmt ob CA IdentityMinder eine Statusmeldung anzeigt wenn eine Aufgabe abgeschlossen wird Bei Auswahl dieser Option m ssen Benut
399. rung und Autorisierung siehe Seite 373 Bef higt Administratoren die Profile in einem Verzeichnis haben Benutzer in einem anderen Verzeichnis zu verwalten Verbessern der Leistung von LDAP Verzeichnisvorg ngen siehe Seite 375 Erh ht den Durchsatz von CA IdentityMinder Anfragen an den Benutzerspeicher indem man SiteMinder konfiguriert um mehrere Verbindungen f r das gleiche Verzeichnis zu ffnen Erfassen von Benutzeranmeldeinformationen mithilfe eines benutzerdefinierten Authentifizierungsschemas SiteMinder verwendet ein Authentifizierungsschema um Benutzeranmeldeinformationen zu erfassen und die Identit t eines Benutzers bei der Anmeldung zu bestimmen Sobald ein Benutzer identifiziert ist generiert CA IdentityMinder eine pers nliche Benutzerkonsole die auf den Berechtigungen des Benutzers basiert Sie k nnen ein SiteMinder Authentifizierungsschema implementieren um eine CA IdentityMinder Umgebung zu sch tzen Zum Beispiel k nnen Sie ein Authentifizierungsschema f r HTML Formulare implementieren das Anmeldeinformationen in einem HTML Formular erfasst Das HTML Formulars l sst Sie eine Anmeldungsseite erstellen die Markenelemente wie z B ein Unternehmenslogo einschlie en kann und auf die Seiten f r Selbstregistrierung und vergessenene Kennw rter verlinkt ist Kapitel 12 Integration von CA SiteMinder 351 SiteMinder Vorg nge Hinweis Weitere Informationen zu Authentifizierungsschemen finden Sie im Konf
400. ruppe und Organisation verwalteten Objekte AttributeLevelEncrypt Verschl sselt Attributwerte wenn sie im Benutzerspeicher gespeichert werden Wenn CA IdentityMinder f r FIPS 140 2 aktiviert ist verwendet CA IdentityMinder die RC2 Verschl sselung oder die FIPS 140 2 Verschl sselung Weitere Informationen zur Unterst tzung von FIPS 140 2 in CA IdentityMinder finden Sie im Konfigurationshandbuch Die Attribute werden w hrend Laufzeit als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 PreviouslyEncrypted Hat zur Folge dass CA IdentityMinder alle verschl sselte Werte im Attribut erkennt und entschl sselt wenn das Objekt im Benutzerspeicher aufgerufen wird Mithilfe dieser Datenklassifizierung k nnen Sie alle zuvor verschl sselten Werte entschl sseln Der Klartextwert wird im Speicher gespeichert wenn Sie das Objekt speichern Kapitel 3 Verwaltung des LDAP Benutzerspeichers 73 Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Konfigurieren von Datenklassifizierungs Attributen Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut 2 F gen Sie das folgende Attribut nach der
401. rverzeichnisses m Konfigurieren einer relationalen Datenbank m Erstellen des CA IdentityMinder Verzeichnisses m Erstellen der NeteAuto CA IdentityMinder Umgebung LDAP Verzeichnisstruktur f r NeteAuto Die folgende Abbildung beschreibt das NeteAuto Beispiel f r LDAP Verzeichnisse ou NeteAuto ou Supplier ou Dealer ou Europe ou Employee ev Peopie SelfRegUser SuperAdmin NeteAuto Administrator Die CA IdentityMinder Beispielumgebung schlie t die folgenden Benutzer ein m Superadmin stellt das Administratorkonto mit der Systemmanager Rolle f r diese CA IdentityMinder Umgebung dar Als Superadmin k nnen Sie alle standardm igen Admin Aufgaben ausf hren Hinweis Informationen ber eine Beschreibung der standardm igen Admin Aufgaben k nnen Sie dem Administrationshandbuch entnehmen 20 Konfigurationshandbuch So wird das NeteAuto Beispiel mit Organisations Support konfiguriert m SelfRegUser stellt das Administratorkonto dar das CA IdentityMinder verwendet um die Selbstregistrierung f r die CA IdentityMinder Umgebung zu aktivieren m NeteAuto Administrator besitzt keine Berechtigungen wenn Sie die NeteAuto Umgebung installieren Allerdings k nnen Sie den Gruppenmanager als eine Benutzerrolle zuweisen wie unter Zuweisen der Gruppenmanager Rolle beschrieben Relationale Datenbank f r NeteAuto Die folgende Abbildung beschreibt die relationale Datenbank f r das NeteAuto Beispiel einschlie
402. rverzeichnisses zur ckgeben kann Wenn die Anzahl von Ergebnissen das Limit berschreitet wird ein Fehler angezeigt Seitengr e Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Hinweis Wenn der Benutzerspeicher kein Paging unterst tzt und ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder nur den Wert f r maxrows zum Steuern der Suchgr e Kapitel 4 Verwaltung relationaler Datenbanken 155 So verbessern Sie die Leistung von Verzeichnissuchen Sie k nnen die maximale Zeilenanzahl und Seitengr e an den folgenden Positionen konfigurieren Benutzerspeicher In den meisten Benutzerspeichern und Datenbanken k nnen Sie Beschr nkungen f r die Suche konfigurieren Hinweis Weitere Informationen finden Sie in der Dokumentation zu dem verwendeten Benutzerspeicher oder zu der verwendeten Datenbank CA IdentityMinder Verzeichnis Sie k nnen das DirectorySearch Element siehe Seite 58 in der verwendeten Verzeichniskonfigurationsdatei directory xmi konfigurieren um das CA IdentityMinder Verzeichnis zu erstellen Standardm ig ist der Wert f r die maximale Zeilenanzahl und Seitengr e f r vorhandene Verzeichnisse unbegrenzt F r neue Verzeichnisse ist der Wert f r die maximale Zeilenanzahl unbegrenzt und der Wert f r die Seitengr e ist 2000
403. ry directory xml Sun Java System SunOne oder iPlanet LDAP Verzeichnis mit einer hierarchischen Struktur IPlanetHierarchical directory xml Sun Java System SunOne oder iPlanet IPlanetFlat directory xml LDAP Verzeichnis mit einer flachen Struktur Sun Java System SunOne oder iPlanet LDAP Verzeichnis das keine Organisationen enth lt IPlanetNoOrganizations directory xml CA Directory Benutzerspeicher mit einer hierarchischen Struktur Bereitstellungsverzeichnis eTrustDirectory directory xml ProvisioningServer directory xml Diese Vorlage konfiguriert das Bereitstellungsverzeichnis Provisioning Verzeichnis f r eine CA IdentityMinder Umgebung Hinweis Sie k nnen diese Konfigurationsvorlage wie installiert verwenden Sie m ssen diese Vorlage nicht ndern 52 Konfigurationshandbuch So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben Verzeichnistyp Vorlage Benutzerdefiniertes Verzeichnis Verwenden Sie die Vorlage die Ihrem Verzeichnis am n chsten kommt Kopieren Sie die Konfigurationsvorlage in ein neues Verzeichnis oder speichern Sie sie unter einem anderen Namen damit sie nicht berschrieben wird So wird ein Benutzerverzeichnis f r CA IdentityMinder beschrieben Um ein Verzeichnis zu verwalten muss CA IdentityMinder die Struktur und den Inhalt eines Verzeichnisses verstehen Um das Verzeichnis f r CA IdentityMinder zu beschreiben ndern Sie die Verzeichniskonfigurationsd
404. s Die Eigenschaftsseite f r den Business Logic Task Handler wird angezeigt Legen Sie die folgende Eigenschaften fest ClearPwdlfInvalid true PwdConfirmAttrName passwordConfirm berpr fen Sie dass die Einstellungen f r ConfirmPasswordHandler wie folgt lauten m Object type User m Class ConfirmPasswordHandler m ConfirmationAttributeName passwordConfirm m OldPasswordAttributeName oldPassword m passwordAttributeName PASSWORD Benutzer k nnen jetzt Kennwortfelder in der Aufgabe zum Zur cksetzen des Benutzerkennworts l schen Admin Aufgaben beinhalten Ereignisse Hierbei handelt es sich um Aktionen die von CA IdentityMinder zum Abschlie en von Aufgaben ausgef hrt werden Eine Aufgabe kann mehrere Ereignisse umfassen So kann beispielsweise die Aufgabe Benutzer erstellen Ereignisse f r das Erstellen des Benutzerprofils das Hinzuf gen des Benutzers zu einer Gruppe und das Zuweisen von Rollen beinhalten Kapitel 7 Erweiterte Einstellungen 237 E Mail Benachrichtigungen CA IdentityMinder berpr ft Ereignisse setzt kundenspezifische Gesch ftsregeln f r die Ereignisse durch und fordern die Best tigung der Ereignisse an falls diese Workflow Prozessen zugeordnet sind Auf dieser Seite wird eine Liste der Ereignisse angezeigt die in CA IdentityMinder verf gbar sind E Mail Benachrichtigungen CA IdentityMinder kann E Mail Benachrichtigungen senden wenn eine Aufgabe oder ein Ereignis abgesc
405. s Ein Protokoll zu eingehenden Synchronisierungsvorg ngen und allen Problemen die w hrend der Synchronisierung aufgetreten sind finden Sie in der folgenden Datei PSHOME logs etanotify lt Datum gt log Kapitel 6 CA IdentityMinder Umgebungen 211 Verwalten von Umgebungen Importieren von benutzerdefinierten Bereitstellungsrollen Wenn Sie die Umgebung erstellen k nnen Sie die Standardrollen oder eine benutzerdefinierte Rollendefinitionsdatei verwenden die Sie erstellen Wenn Sie benutzerdefinierte Rollendefinitionen importieren importieren Sie auch die Rollendefinitionen die ausschlie lich f r die Bereitstellung gelten Nachdem Sie die Umgebung erstellt haben importieren Sie die Rollendefinitionen aus der Datei ProvisioningOnly RoleDefinitions xml die sich in einem der folgenden Ordner befindet admin tools ProvisioningOnlyRoleDefinitions Organization admin tools ProvisioningOnlyRoleDefinitions NoOrganization Der Standardspeicherort f r admin_tools ist m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA IdentityManager lAM_Suite ldentity_Manager tools Kontosynchronisierung f r die Aufgabe Benutzerkennwort zur cksetzen Um die Bereitstellung f r eine CA IdentityMinder Umgebung zu aktivieren importieren Sie eine Konfigurationsdatei namens ProvisioningOnly RoleDefinitions xml die die Rollen und Aufgaben f r die Benutzereinrichtung erstellt In dieser Datei ist die Stan
406. s IIS Version 6 0 WMI Kompatibilit t und IIS Metabasiskompatibilit t m Anwendungsentwicklung ISAPI Erweiterungen ISAPI Filter Klicken Sie auf Weiter um die ausgew hlten Optionen zu aktivieren und dann im n chsten Fenster auf Installieren um die Installation auszuf hren Klicken Sie im Fenster mit dem Installationsergebnis auf Schlie en sobald die Installation abgeschlossen ist ffnen Sie die Eingabeaufforderung und wechseln Sie zu Programme IBM WebSphere AppServer profiles Dmgr01 bin F hren Sie diesen Befehl aus GenPluginCfg bat Die plugin cfg xml Datei wird an diesem Speicherort generiert C Programme IBM WebSphere AppServer profiles Dmgr01 config cells Erstellen Sie ein Verzeichnis unter c zum Beispiel c plugin Kopieren Sie die Datei plugin cfg xml in das Verzeichnis c plugin Kapitel 12 Integration von CA SiteMinder 317 Installieren des Web Proxyserver Plug ins 10 11 12 13 14 15 16 17 18 19 20 21 22 23 318 Konfigurationshandbuch Kopieren Sie iisWASPlugin_http dll in das Verzeichnis c plugin Klicken Sie auf einem Windows Server 2008 Betriebssystem auf Start Programme Verwaltung Internet Information Services IIS Manager Diese Aktion startet die IIS Anwendung und erstellt f r die Website Instanz ein neues virtuelles Verzeichnis Diese Anweisungen setzen voraus dass Sie die Standardwebsite verwenden Erweiter
407. s Richtlinienspeichers in der Richtlinienserver Management Konsole angegeben haben Wenn zum Beispiel die Stammorganisation de myorg dce com ist ersetzen Sie dn CN imdomainid6 CN Schema CN Configuration root durch dn CN imdomainid6 CN Schema CN Configuration de myorg dce com Speichern Sie die Datei F gen Sie die Schemadatei entsprechend der Beschreibung in der Dokumentation zu Ihrem Verzeichnis hinzu Kapitel 12 Integration von CA SiteMinder 301 Konfigurieren des SiteMinder Richtlinienspeichers f r CA IdentityMinder Konfigurieren von Microsoft ADAM Um einen Microsoft ADAM Richtlinienspeicher zu konfigurieren wenden Sie das Skript adam_ims8 ldif an Gehen Sie wie folgt vor 1 3 Konfigurieren Sie das Verzeichnis als unterst tzten SiteMinder Richtlinienspeicher Hinweis Konfigurationsanweisungen finden Sie im Installationshandbuch zum CA SiteMinder Richtlinienserver Notieren Sie den CN Wert die GUID ndern Sie die Schemadatei adam_ims8 ldif wie folgt a C ffnen Sie die Datei adam_ims8 ldif in einem Texteditor Der Standardspeicherort unter Windows ist C Programme CA ldentity Manager IAM Suite ldentity Manager tools policystore schemas MicrosoftActiveDirectory Ersetzen Sie jeden Verweis auf en guid durch die Zeichenfolge die Sie beim Konfigurieren des SiteMinder Richtlinienspeichers in Schritt 1 dieses Verfahrens notiert haben Wenn zum Beispiel die GUID Zeichenfolge
408. s in CA IdentityMinder und SiteMinder vorhanden ist Wiederholen Sie diese Schritte f r den Bereitstellungsspeicher und verbleibende Verzeichnisse Melden Sie sich bei der SiteMinder Verwaltungsoberfl che an um die Erstellung der Benutzerverzeichnisse zu validieren Kapitel 12 Integration von CA SiteMinder 313 Aktualisieren und Importieren von Umgebungsdefinitionen Aktualisieren und Importieren von Umgebundsdefinitionen Der Identit tsadministrator importiert die aktualisierten Umgebungen zur ck in CA IdentityMinder Gehen Sie wie folgt vor 1 gt xx no u Im Gegensatz zu den Verzeichnisexporten ist der Umgebungsexport in Form einer ZIP Datei Ziehen Sie eine Kopie der name xmi Datei aus der ZIP Datei Kopieren Sie die name xml Datei F gen Sie am Ende des Elements ImsEnvironment einen Verweis auf den Schutzagenten nicht der SM 4 x Agent ein vor der schlie enden Klammer gt agent idmadmin Speichern und f gen Sie die Datei zur ck in die ZIP Datei ein ffnen Sie die CA IdentityMinder Management Konsole klicken Sie auf Umgebungen und dann auf Import Geben Sie den Namen der aktualisierten Umgebungs ZIP Datei ein Klicken Sie auf Fertig stellen und berpr fen Sie die Importausgabe Wiederholen Sie diesen Prozess f r alle Ihre verbleibenden Umgebungen Starten Sie den Anwendungsserver neu Installieren des Web Proxyserver Plug ins Basieren auf der installierten Anwendung installiert der
409. s oder im Nicht FIPS Modus starten soll Stellen Sie daher sicher dass die Schl sseldatei FIPSKey dat genannt wird und den folgenden Anwendungsserver Bereitstellungspfad hat iam im ear config com netegrity config keys FIPSkey dat Dabei ist iam_im ear im Anwendungsserver Bereitstellungsverzeichnis zum Beispiel Jboss_home server default deploy Anhang A FIPS 140 2 Kompatibilit t 381 FIPS Modus Erkennung FIPS Modus Erkennung Um festzustellen ob CA IdentityMinder im FIPS Modus oder im Nicht FIPS Modus ausgef hrt wird verwenden Sie die Statusseite der CA IdentityMinder Umgebung Geben Sie die folgende URL in einem Browser ein um auf die Statusseite zuzugreifen http server_name idm status jsp server_name Bestimmt den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com In diesem Beispiel lautet die vollst ndige URL http myserver mycompany com idm status jsp Der FIPS Status wird im unteren Bereich der Seite angezeigt Hinweis Sie k nnen auch berpr fen ob CA IdentityMinder im FIPS Modus ausgef hrt wird indem Sie nach der folgenden Schl sseldatei suchen config com netegrity config keys FIPSkey dat Wenn diese Datei vorhanden ist wird CA IdentityMinder im FIPS Modus ausgef hrt Die FIPSkey dat Schl sseldatei wird vom Kennwort Tool Hilfsprogramm pwdtools bat oder pwdtools sh w hrend der Installation von lt CA idmgr gt ers
410. schreibung Bereitstellungsserver Z Bereitstellungsserver Installationsverzeichnis d Vom Bereitstellungsserver im ertifikat ata tls server eta2_servercert pem pem Format und von CA IAM CS im p12 Format verwendet einschlie lich signiertes Zertifikat privater Schl ssel und Stamm CA Zertifikat Hinweis Importieren Sie eta2_server p12 in cs_install jes conf ssl keystore cs_install jces conf eta2_server p12 unter dem Alias eta2_server und entfernen Sie den vorhandenen Eintrag Das ssl keystore Kennwort ist das Kennwort des Connector Servers das w hrend der Installation angegeben wird Bereitstellungsserver Installationsverzeichnis d ata tls server eta2_serverkey pem cs_install ccs data tls server eta2_servercert pe m cs_install ccs data tls server eta2_serverkey pe m Anhang B Ersetzen von CA IdentityMinder Zertifikate durch SHA 2 signierte SSL Zertifikate 385 FIPS Modus Protokollierung Zertifikate Bereitstellungs Client Z ertifikat Vertrauensw rdiges Zertifikat des Bereitstellungsverzeich nisses Pers nliches Zertifikat des Bereitstellungsverzeich nisses Installationspfad Bereitstellungsserver Installationsverzeichnis d ata tls client eta2_clientcert pem Bereitstellungsserver Installationsverzeichnis d ata tls client eta2_clientkey pem Bereitstellungsmanager Installationsverzeichnis data tls client eta2_clientcert pem Bereitstellungsmanager Installationsverzeichnis data tls c
411. server neu Klicken Sie auf Weiter W hlen Sie die zu verwaltenden Objekte aus wie Benutzer oder Gruppen Nachdem Sie die Objekte nach Bedarf konfiguriert haben lassen Sie die Zusammenfassung der Bereitstellung des Verzeichnisses anzeigen und berpr fen die Einstellungen f r das Bereitstellungsverzeichnis Klicken Sie auf eine dieser Aktionen a b Klicken Sie auf Zur ck um etwas zu ndern Klicken Sie auf Speichern um die Verzeichnisinformationen zu speichern wenn Sie sp ter zur Bereitstellung zur ckkommen wollen Klicken Sie auf Fertig stellen um diesen Vorgang abzuschlie en und anzufangen eine Umgebung f r die Bereitstellung zu konfigurieren siehe Seite 199 Konfigurieren des Inbound Administrators Administrator f r Eingehendes Damit die eingehende Synchronisierung funktioniert erstellen Sie einen besonderen CA IdentityMinder Benutzer der als Inbound Administrator bezeichnet wird In fr heren Versionen von CA IdentityMinder wurde der Inbound Administrator als Corporate User bezeichnet Bei diesem Benutzerkonto meldet sich kein Benutzer an stattdessen wird es von CA IdentityMinder intern verwendet Erstellen Sie dieses Benutzerkonto dennoch und ordnen Sie ihm die entsprechenden Aufgaben zu Gehen Sie wie folgt vor 1 208 Konfigurationshandbuch Melden Sie sich bei der CA IdentityMinder Umgebung als Benutzer mit der Rolle des Systemmanagers an Erstellen Sie einen Benutzer Sie
412. sh einen Benutzernamen und ein Kennwort hinzu wie folgt wsadmin bat user wsadmin password Kennwort f configureWebserverDefinition jacl c F hren Sie configurewebserverl bat sh aus Hinweis Weitere Informationen zum Befehl configurewebserver finden Sie in der IBM WebSphere Dokumentation 3 Fahren Sie mit dem Vorgang fort um das Proxy Plug in zu konfigurieren siehe Seite 316 Kapitel 12 Integration von CA SiteMinder 315 Installieren des Web Proxyserver Plug ins Konfigurieren des Proxy Plug ins F r alle Webserver aktualisieren Sie das Plug in mithilfe des GenPluginCfg Befehls von WebSphere Gehen Sie wie folgt vor 1 2 316 Konfigurationshandbuch Melden Sie sich bei dem System an auf dem WebSphere installiert ist Navigieren Sie von der Befehlszeile zu websphere_home bin wobei websphere_home das Installationsverzeichnis von WebSphere ist Beispiel m Windows C Programme WebSphere AppServer profile AppSrvO1 bin m UNIX home_dir WebSphere AppServer profile AppSrvO1 bin F hren Sie den Befehl GenPluginCfg bat oder GenPluginCfg sh aus Wenn Sie diesen Befehl ausf hren wird die Datei plugin cfg xml an folgendem Speicherort erstellt websphere_home AppServer profiles AppSrvO1 config cells Fahren Sie mit einem der folgenden Vorg nge fort m Abschlie en der Konfiguration auf IIS siehe Seite 320 m Abschlie en der Konfiguration auf iPlanet oder Apache siehe Seite 322 Inst
413. shandbuch Stellen Sie sicher dass der Anwendungsserver ausgef hrt wird Wechseln Sie in das Verzeichnis admin_tools Workpoint bin und f hren Sie die Datei Archive bat f r Windows oder Archive sh f r UNIX wie folgt aus a b C W hlen Sie im Dialogfeld Importieren das Stammobjekt aus Klicken Sie auf Hinzuf gen Geben Sie den Namen der zu generierenden Datei an Migrieren von Workflow Prozessdefinitionen d Klicken Sie auf Exportieren e Klicken Sie auf Los admin_tools bezieht sich auf die Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA ldentityManager lAM_Suite ldentity_Manager tools F hren Sie die Anweisungen im n chsten Abschnitt Importieren von Prozessdefinitionen siehe Seite 275 aus Importieren von Prozessdefinitionen Importieren Sie auf dem Produktionsumgebungssystem die Workflow Prozessdefinitionen Gehen Sie wie folgt vor 1 2 Starten Sie den Anwendungsserver neu Erstellen Sie optional eine Sicherungskopie der aktuellen Definitionen indem Sie die Definitionen mithilfe des vorangehenden Verfahrens exportieren Wechseln Sie in das Verzeichnis admin_tools Workpoint bin und f hren Sie das Archive Skript wie folgt aus a W hlen Sie im Dialogfeld Importieren alle zu importierenden Elemente aus b Wenn Sie gefrag
414. sign Erstellen einer SiteMinder Antwort siehe Seite 366 CA eTrust SiteMinder Richtliniendesign SiteMinder Vorg nge Hinzuf gen von Identity Manager Umgebungen zur einer Richtliniendom ne Um SiteMinder die Unterst tzung von Zugriffsrollen zu erm glichen ordnen Sie eine CA IdentityMinder Umgebung einem Benutzerverzeichnis und einer Richtliniendom ne in SiteMinder zu Hinweis Sie m ssen den der CA IdentityMinder Umgebung zugeordneten Benutzerspeicher zur Richtliniendom ne hinzuf gen bevor Sie die CA IdentityMinder Umgebung der Richtliniendom ne hinzuf gen k nnen So f gen Sie eine CA IdentityMinder Umgebung zu einer Richtliniendom ne hinzu 1 F gen Sie im Dialogfeld Richtliniendom ne in der Richtlinienserver Benutzeroberfl che den zur CA IdentityMinder Umgebung zugeordneten Benutzerspeicher folgenderma en zu einer Richtliniendom ne hinzu a b d W hlen Sie die Registerkarte Benutzerverzeichnisse aus W hlen Sie im Dropdown Listenfeld unten auf der Registerkarte das in die Richtliniendom ne einzuschlie ende Benutzerverzeichnis aus Klicken Sie auf die Schaltfl che Hinzuf gen Die Richtlinienserver Benutzeroberfl che f gt das Verzeichnis zu der in der Registerkarte Benutzerverzeichnisse angezeigten Liste hinzu Klicken Sie auf Apply bernehmen F gen Sie die CA IdentityMinder Umgebung wie folgt zur Richtliniendom ne hinzu a b W hlen Sie die Registerkarte d
415. sion von CA IdentityMinder zu verwalten Weitere Informationen finden Sie im Aktualisierungshandbuch Um die Unterst tzung von Zugriffsrollen in SiteMinder zu deaktivieren l schen Sie die CA IdentityMinder Zugriffsrolle und Aufgabenobjekte aus dem SiteMinder Richtlinienspeicher Entfernen Sie dann die Eigenschaft EnableSMRBAC aus der Liste mit verschiedenen Eigenschaften und starten Sie die Umgebung neu Hinzuf gen einer Zugriffsaufgabe zur Admin Rolle Standardm ig werden die Zugriffsaufgaben nicht auf der Registerkarte Rollen und Aufgaben angezeigt Sie m ssen die Zugriffsaufgaben zur Admin Rolle des angemeldeten Benutzers hinzuf gen Gehen Sie wie folgt vor 1 Melden Sie sich bei einem CA IdentityMinder Konto mit einer Rolle an die eine Aufgabe f r das Erstellen von Zugriffsrollen einschlie t Klicken Sie auf Rollen und Aufgaben Admin Rolle ndern W hlen Sie die Admin Rolle des angemeldeten Benutzers aus Klicken Sie auf die Registerkarte Aufgaben Feld Nach Kategorie filtern und w hlen Sie Rollen und Aufgaben aus der Dropdown Liste aus W hlen Sie in der Dropdown Liste Aufgabe hinzuf gen die Option Zugriffsaufgabe erstellen aus Klicken Sie auf Senden Kapitel 12 Integration von CA SiteMinder 355 SiteMinder Vorg nge Erstellen von Zugriffsaufgaben Eine Zugriffsaufgabe ist eine einzelne Aktion die ein Benutzer in einer Unternehmensanwendung ausf hren kann wie beispielsweise e
416. sitzerrichtlinien im kompilierten XML Format gespeichert Dieses Format unterscheidet sich von dem der Benutzeroberfl che an der jede Richtlinie als ein Ausdruck angezeigt wird Gehen Sie wie folgt vor 1 258 Konfigurationshandbuch Melden Sie sich bei der Management Konsole an w hlen Sie die Umgebung und anschlie end Erweiterte Einstellungen aus und klicken Sie auf berpr fung Klicken Sie auf Exportieren Das System exportiert die aktuellen Auditeinstellungen in eine Auditeinstellungsdatei im XML Format So konfigurieren und generieren Sie Audit Datenberichte 3 ndern Sie die Auditeinstellungen in der XML Datei die Sie im vorherigen Schritt exportiert haben F hren Sie folgende Aufgaben aus a Legen Sie den Wert f r Audit enabled auf true fest und geben Sie den JNDI Namenswert iam_im_ lt auditdb gt xml f r die Element Datenquelle an b Geben Sie den folgenden JNDI Namen an java auditDbDataSource Hinweis Die Datenquelle befindet sich im folgenden Speicherort iam im jdbc auditDbDataSource c Sie k nnen Elemente in der Datei hinzuf gen ndern oder l schen d ndern Sie die Ebene der f r jedes Ereignis aufgezeichneten Informationen 4 Wiederholen Sie Schritte 1 und 2 Klicken Sie auf Importieren und laden Sie die ge nderte XML Datei f r Auditeinstellungen hoch 5 Starten Sie die Umgebung neu Die Auditeinstellungsdatei ist jetzt aktualisiert Aktivieren der berwachung
417. sland Stadt PLZ Bundesland PLZ Benutzerdatenbank Administrator Verzeichnis Benutzerobjekte Mitarbeiter ID Vorname Nachname E Mail Anmelde ID f Alter Mitarbeiter ID Geburtsdatum Vorname Adresse Nachname Stadt E Mail Anmelde ID Hinweis Einige Benutzerattribute in der Datenbank sind nicht Teil des CA IdentityMinder Verzeichnisses Sie werden daher von CA IdentityMinder nicht verwaltet 104 Konfigurationshandbuch Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken Wichtige Hinweise f r die Konfiguration von CA IdentityMinder f r relationale Datenbanken ID Bevor Sie CA IdentityMinder f r die Verwaltung einer relationalen Datenbank konfigurieren m ssen Sie sicherstellen dass die Datenbank die folgenden Anforderungen erf llt Auf die Datenbank muss ber einen JDBC Treiber oder einen ODBC Treiber Open Database Connectivity zugegriffen werden k nnen wenn CA IdentityMinder mit SiteMinder integriert ist Der Treiber muss u ere Verkn pfungen unterst tzen Wenn mehr als zwei Tabellen verwendet werden um ein verwaltetes Objekt darzustellen muss der Treiber au erdem verschachtelte u ere Verkn pfungen unterst tzen Hinweis Wenn der Treiber keine u eren Verkn pfungen unterst tzt verwendet CA IdentityMinder beim Abfragen der Datenbank innere Verkn pfungen Dies kann jedoch unerwartete Abfrageergebnisse zur Folge haben Geben Sie jedes von CA Ident
418. sse nur f r Benutzer Gruppen und Organisationsattribute in LDAP Verzeichnissen Die zus tzliche LDAP Klasse f r ein Benutzerattribut wenn das Attribut nicht Teil der prim ren Objektklasse ist die f r das Benutzerobjekt angegeben ist Sie k nnen nur f r Benutzer und Gruppenobjekte eine zus tzliche Objektklasse angeben Benutzername Well Known Zeigt Attribute an die eine besondere Bedeutung in CA IdentityMinder haben wie das Attribut das verwendet wird um Benutzerkennw rter zu speichern erforderlich Zeigt an ob ein Wert f r das Attribut erforderlich ist wie folgt m True gibt an dass das Attribut einen Wert haben muss m False gibt an dass ein Wert optional ist Schreibgesch tzt Zeigt die Berechtigungsebene f r ein Attribut an wie folgt m True gibt an dass das Attribut nicht ge ndert werden kann m False gibt an dass das Attribut ge ndert werden kann Ausgeblendet Zeigt an ob ein Attribut in einem Aufgabenfenster f r eine bestimmte Aufgabe angezeigt werden kann Ausgeblendete Attribute werden oft in logischen Attributschemen verwendet Hinweis Weitere Informationen finden Sie im Programmierhandbuch f r Java 184 Konfigurationshandbuch CA IdentityMinder Verzeichniseigenschaften Unterst tzt mehrere Werte Zeigt an ob das Attribut mehrere Werte haben kann oder nicht wie folgt zum Beispiel hat das Attribut das verwendet wird um die Mitglieder von einer Gruppe zu speichern mehrer
419. ssen die CA IdentityMinder zur ckgeben kann wenn man ein Benutzerverzeichnis durchsucht Dieser Wert berschreibt ein im LDAP Verzeichnis festgelegtes Limit Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der maxrows Parameter beschr nkt nicht die Anzahl von Ergebnissen die im CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign Kapitel 6 CA IdentityMinder Umgebungen 207 Konfigurieren einer Umgebung f r die Bereitstellung 10 timeout bestimmt die maximale Anzahl von Sekunden die CA IdentityMinder ein Verzeichnis durchsucht bevor es die Suche beendet Failover Verbindungen Hostname und Portnummer von einem oder mehreren optionalen Systemen die alternative Bereitstellungsserver sind Wenn mehrere Server aufgelistet sind versucht CA IdentityMinder mit den Systemen in der Reihenfolge Verbindung aufzunehmen in der sie aufgelistet sind Die alternativen Bereitstellungsserver werden verwendet wenn der prim re Bereitstellungsserver fehlschl gt Wenn der prim re Bereitstellungsserver erneut verf gbar wird wird der alternative Bereitstellungsserver weiterhin verwendet Wenn Sie zur Verwendung des Bereitstellungsservers zur ckkehren m chten starten Sie den alternativen Bereitstellungs
420. ssenen Kennworts stellt CA IdentityMinder einen Hinweis zum Kennwort bereit und fordert die Antwort an Wenn die Antwort richtig ist fordert CA IdentityMinder den Benutzer auf ein neues Kennwort anzugeben und dieses zu best tigen Lassen Sie die Registerkarte Gruppen unver ndert Klicken Sie auf Senden So wird die NeteAuto CA IdentityMinder Umgebung verwendet Als selbst registrierter Benutzer anmelden F hren Sie den folgenden Vorgang aus um sich als ein selbst registrierter Benutzer anzumelden Gehen Sie wie folgt vor 1 Geben Sie die folgende URL f r die NeteAuto CA IdentityMinder Umgebung in einen Browser ein http hostname iam im neteauto imcss index jsp Hostname Definiert den vollst ndig qualifizierten Dom nennamen des Systems in dem CA IdentityMinder betrieben wird Melden Sie sich mit dem Benutzernamen und dem Kennwort an die Sie bei der Registrierung angegeben haben Richten Sie das NeteAuto Design ein Um das NeteAuto Design einzurichten erstellen Sie eine SiteMinder Antwort im SiteMinder Richtlinienserver Gehen Sie wie folgt vor 1 Melden Sie sich bei einer der folgenden Schnittstellen als Administrator mit Dom nenberechtigungen an m F r CA SiteMinder Web Access Manager r12 oder h her melden Sie sich bei der Verwaltungsoberfl che an m F r CA eTrust SiteMinder 6 0 SP5 melden Sie sich bei der Richtlinienserver Benutzeroberfl che an Hinweis Weitere Informationen zur Verw
421. sserver Bereitstellungsserver SiteMinder Web Agent SiteMinder Richtlinienserver IdentityMinder Erweiterung Datenbanken SQL Server Richtlinien speicher Benutzer speicher IBM Directory ADLDS on Server Windows Hinweis Die Komponenten werden als Beispiele auf unterschiedlichen Plattformen installiert Allerdings k nnen Sie andere Plattformen w hlen Die CA IdentityMinder Datenbanken befinden sich auf Microsoft SQL Server und der Benutzerspeicher auf IBM Directory Server Der SiteMinder Richtlinienspeicher befindet sich auf AD LDS unter Windows F r diesen Prozess werden zwei Rollen ben tigt der CA IdentityMinder Identit tsadministrator und der SiteMinder Richtlinienadministrator In manchen Organisationen hat eine Person beide Rollen inne Wenn zwei Personen an dem Prozess beteiligt sind ist f r die Verfahren in diesem Szenario eine enge Zusammenarbeit erforderlich Der Richtlinienadministrator beginnt und beendet diesen Prozess w hrend der Identit tsadministrator die Schritte dazwischen ausf hrt Wichtig F r CA IdentityMinder Installationen ab Release 12 5 SP7 werden Java Cryptography Extension Unlimited Strength Jurisdiction Policy Files JCE Bibliotheken ben tigt Laden Sie diese Bibliotheken von der Oracle Website herunter Laden Sie sie in den folgenden Ordner lt Java_path gt lt jdk_version gt jre lib security Kapitel 12 Integration von CA SiteMinder 295
422. ssnneennensnssnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnnnennnnnnnensnnnnnnnn 107 Erstellen einer JDBC Datenquelle f r JBoss Anwendungsserver eueeesssssnenensssnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnn 108 Erstellen einer JDBC Datenquelle f r WebLogic 2 2222220unennnnssnnnnennnnenennnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnenenn 111 WebSphere D tenquelleni usssssessese sesanensaneanersssnsrnnnahersensn nnd anne han ernennen ann due ea e 112 So erstellen Sie eine ODBC Datenquelle f r die Verwendung mit SiteMinder 22222220000ssnsnennnnennnnnnnennnnnnnnnn 115 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei 22222200000nnnnnnnnnnnennnnnnnennnnnnnnnn 115 ndern der Verzeichniskonfigurationsdatei uuueneeseaeeneesennnnsnnennnnnnnennnnnnnennnnnnnennnnnnnnnnnnnnnennnnnnnennnnnnnennnnnnnennnnn 117 Beschreibung von verwalteten Objekten uueeeneeensseseeennnsnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnn So ndern Sie Attributbeschreibungen 2220s00002222nssnnnenennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnsnsnnnnnnnsssnnnennnn Verbindung zum Benutzerverzeichnis uessessssssssssnnsnunnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnsnnnnnnnsnessnsssnnnnnnnensnssnnnnn Beschreibung einer Datenbankverbindung SQL Abfrageschemeni s sssandinacaseisesennsdneananeanekanne aa dann e eai a aL han aara aeaa ee
423. st wie CA IdentityMinder das Attribut verarbeitet Dieses Element unterst tzt die folgenden Parameter 72 Konfigurationshandbuch sensitive Hat zur Folge dass CA IdentityMinder das Attribut als Reihe von Sternchen in den Fenstern Gesendete Aufgaben anzeigen anzeigt Dieser Parameter verhindert dass alte und neue Werte f r das Attribut in den Fenstern Gesendete Aufgaben anzeigen als Klartext angezeigt werden Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsole erstellen verhindert dieser Parameter au erdem dass das Attribut zum neuen Benutzer kopiert wird vst_hide Blendet das Attribut im Fenster Ereignisdetails auf der Registerkarte Gesendete Aufgaben anzeigen aus Im Gegensatz zu vertraulichen Attributen die als Sternchen angezeigt werden werden vst_hidden Attribute nicht angezeigt Sie k nnen diesen Parameter verwenden damit nderungen an einem Attribut beispielsweise dem Gehalt nicht im Fenster Gesendete Aufgaben anzeigen angezeigt werden ignore_on_copy Hat zur Folge dass CA IdentityMinder ein Attribut ignoriert wenn ein Administrator eine Kopie eines Objekts in der Benutzerkonsole erstellt Nehmen Sie zum Beispiel an dass Sie ignore_on_copy f r das Kennwortattribut eines Benutzerobjekts angegeben haben Wenn Sie ein Benutzerprofil kopieren bertr gt CA IdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neue Benutzerprofil Beschreibungen der ber Benutzer G
424. stratoren verwalten verf gbar machen wollen aktivieren Sie das Kontrollk stchen Administratoren k nnen Mitglieder dieser Rolle hinzuf gen oder aus ihr entfernen Sofern Sie diese Funktion aktiviert haben definieren Sie die Aktionen daf r wenn ein Benutzer als ein Administrator der Rolle hinzugef gt oder entfernt wird 3 F gen Sie auf der Registerkarte Administratoren Admin Richtlinien hinzu die Admin und Bereichsregeln sowie Administratorrechte einschlie en Jede Richtlinie ben tigt mindestens eine Berechtigung Mitglieder verwalten oder Administratoren verwalten Sie k nnen mehrere Admin Richtlinien mit unterschiedlichen Regeln und unterschiedlichen Berechtigungen f r Administratoren die der Regel entsprechen hinzuf gen Hinweis Definieren Sie Admin Richtlinien die nur Verzeichnisattribute verwenden zum Beispiel title Manager Wenn Sie Mitgliederrichtlinien definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen 4 Um eine Richtlinie zu bearbeiten klicken Sie links auf das Pfeilsymbol Um sie zu entfernen klicken Sie auf das Minuszeichen 5 Fahren Sie mit dem n chsten Abschnitt Definieren von Eigent merregeln f r Zugriffsrollen fort 360 Konfigurationshandbuch SiteMinder Vorg nge Definieren von Eigent merregeln f r Zugriffsrollen Eine Eigent merregel definiert wer eine Rolle ndern kann Sie k
425. sungen zur Verwendung des Kennworttools Hinweis Sie k nnen nur einen Satz von Anmeldeinformationen angeben Wenn Sie mehrere Datenquellen definieren m ssen die angegebenen Anmeldeinformationen f r alle Datenquellen gelten Die Parameter f r Anmeldeinformationen lauten wie folgt user Definiert den Anmelde ID f r ein Konto das auf die Datenquelle zugreifen kann Geben Sie keinen Wert f r den Parameter user in der Datei directory xml an CA IdentityMinder fordert Sie beim Erstellen des CA IdentityMinder Verzeichnisses in der Management Konsole zur Eingabe der Anmelde ID auf cleartext Gibt an ob das Kennwort in der Datei directory xml als unverschl sselter Text angezeigt wird m True Das Kennwort wird als unverschl sselter Text angezeigt m False Das Kennwort wird verschl sselt Standardeinstellung Hinweis Diese Parameter sind optional Data Source Name DSN Das DSN Element in der Datei directory xml hat einen Parameter den Namen der ODBC Datenquelle die CA IdentityMinder zum Herstellen einer Verbindung mit der Datenbank verwendet Der Wert des Parameters name muss mit dem Namen einer vorhandenen Datenquelle bereinstimmen Hinweis Dieses Element wird nur bei Integration von CA IdentityMinder und SiteMinder angewandt Wenn CA IdentityMinder und SiteMinder nicht integriert sind wird dieses Element ignoriert Wenn der Wert des Namensparameters SmDirDSN lautet m ssen Sie keinen DSN Namen i
426. t lt Property name FieldSpan gt 1 lt Property gt lt Proparty name LabelSpan gt 1 lt Proparty gt lt Property name OrgSearchSareen gt DefaultOrganizationsSearch lt Property gt lt Property name Style gt OrgSeladtor lt Property gt PropertyDict gt lt Screenfield gt lt ScreenField nama Group Name permission R attribute SGROUP_NAMES gt lt PropertyDict name Config gt Property name FieldsSpan gt 1 lt Property gt Property name LabelSpan gt 1 lt Property gt lt Property name Style gt Taxt lt Property gt PropartyDiat gt lt Screenrield gt ScreenfieldGroup gt PropertyDict name Config gt lt Property name Columns gt 2 lt Proparty gt lt PropartyDict gt lt Sereen gt Hory Attribute i panairin Roun mases 226 Konfigurationshandbuch Optimieren der Auswertung von Richtlinienregeln Optimieren der Auswertung von Richtlinienregeln Richtlinienregeln die eine Gruppe von Benutzern dynamisch identifizieren werden in der Auswertung von Richtlinien der Rollen Mitglied Admin und Eigent mer und von Identit tsrichtlinien verwendet Die Auswertung dieser Regeln kann in gro en CA IdentityMinder Implementierungen viel Zeit in Anspruch nehmen Hinweis Weitere Informationen zu Mitglieds Admin Eigent mer und Identit tsrichtlinien finden Sie im Administrationshandbuch Sie k nnen die Auswertungszeit f r Regeln mit Benutzerattributen verk rzen indem Sie die
427. t oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen Bekannte Attribute f r einen LDAP Benutzerspeicher PASSWORD_DATA F r die Unterst tzung von Kennwortrichtlinien erforderlich Gibt das Attribut an das Kennwortrichtlinieninformationen verfolgt Hinweis Der Wert des Attributs PASSWORD_DATA wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen PASSWORD_HINT Erforderlich F hrt Zuordnungen zu einem benutzerspezifischen Frage und Antwortpaar durch Das Frage und Antwortpaar wird verwendet wenn Benutzer ihre Kennw rter vergessen Um mehrere Frage und Antwortpaare zu unterst tzen m ssen Sie sicherstellen dass das PASSWORD_HINT Attribut mehrwertig ist Wenn Sie die Funktion der Kennwortdienste von SiteMinder verwenden um Kennw rter zu verwalten muss das Kennworthinweis Attribut mit dem Challenge Response Attribut im SiteMinder Benutzerverzeichnis bereinstimmen Hinweis Der Wert des Attributs PASSWORD wird in den CA IdentityMinder Fenstern immer als eine Folge von Sternchen angezeigt sogar wenn f r das Attribut oder Feld nicht festgelegt wurde dass Kennw rter verborgen werden sollen USER_ID Erforderlich F hrt Zuordnungen zur ID eines Benutzers durch Bekannte Attribute f r Gruppen Die folgenden Elemente stellen die Lis
428. t werden ob das neue oder das alte Format verwendet werden soll behalten Sie das alte Format bei CA IdentityMinder wird von dem neuen Format nicht unterst tzt c Geben Sie den Namen der durch den Export generierten Datei an d Klicken Sie auf Los admin_tools bezieht sich auf die Verwaltungstools die standardm ig in einem der folgenden Verzeichnisse installiert werden m Windows C Programme CA ldentity Manager lAM Suite ldentity Manager tools m UNIX opt CA IdentityManager IAM_Suite ldentity_Manager tools Kapitel 9 Produktionsumgebungen 275 Kapitel 10 CA IdentityMinder Protokolle Dieses Kapitel enth lt folgende Themen So verfolgen Sie Probleme in CA IdentityMinder siehe Seite 277 So verfolgen Sie Komponenten und Datenfelder siehe Seite 279 So verfolgen Sie Probleme in CA IdentityMinder CA IdentityMinder beinhaltet die folgenden Methoden zum Aufzeichnen des Status und Nachverfolgen von Problemen Die Aufgabe Gesendete Aufgaben anzeigen Zeigt den Status aller Ereignisse und Aufgaben in einer CA IdentityMinder Umgebung an Administratoren verwenden diese Aufgabe in der Benutzerkonsole Durch Gesendete Aufgaben anzeigen werden die folgenden Arten von Informationen bereitgestellt m Die Liste der Ereignisse und Aufgabe in der Umgebung m Die Liste der Attribute die einem Ereignis zugeordnet sind m Erfolgreiche und fehlgeschlagene Ereignisse m Ausstehende oder blockierte Ereignisse m Ab
429. tails wie die H he des Gehalts vor Administratoren verborgen werden die den Aufgabenstatus in CA IdentityMinder anzeigen aber keine Gehaltsdetails anzeigen m ssen Ignorieren Sie bestimmte Attribute wenn Sie eine Kopie eines vorhandenen Objekts erstellen Verschl sseln von Attributen Feldtypen in Aufgabenprofilfenstern Wenn Sie ein Attribut nicht in der directory xml Datei ndern m chten legen Sie die Anzeigeeigenschaft f r das Attribut in den Bildschirmdefinitionen fest in denen das vertrauliche Attribut angezeigt wird Mithilfe des Feldtyps k nnen Sie Attribute wie Kennw rter als Reihe von Sternchen anstelle von Klartext anzeigen Hinweis Weitere Informationen zum Feldtyp f r vertrauliche Attribute finden Sie in den Abschnitten zu Feldtypen in der Benutzerkonsolen Hilfe So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Datenklassifizierungs Attribute Das Datenklassifizierungs Element bietet eine Methode f r das Zuordnen von zus tzlichen Eigenschaften zu einer Attributbeschreibung Die Werte in diesem Element legen fest wie CA IdentityMinder das Attribut verarbeitet Dieses Element unterst tzt die folgenden Parameter sensitive Hat zur Folge dass CA IdentityMinder das Attribut als Reihe von Sternchen in den Fenstern Gesendete Aufgaben anzeigen anzeigt Dieser Parameter verhindert dass alte und neue Werte f r das Attribut in den Fenstern Gesendete Aufgaben anzeigen als Klar
430. te verwenden zum Beispiel title Manager Wenn Sie Mitgliederrichtlinien definieren die auf Objekte verweisen die nicht im Benutzerverzeichnis gespeichert sind wie Admin Rollen kann SiteMinder den Verweis nicht aufl sen berpr fen Sie dass die Mitgliederrichtlinie auf der Registerkarte Mitglieder angezeigt wird Um eine Richtlinie zu bearbeiten klicken Sie links auf das Pfeilsymbol Um sie zu entfernen klicken Sie auf das Minuszeichen Aktivieren Sie auf der Registerkarte Mitglieder das Kontrollk stchen Administratoren k nnen Mitglieder dieser Rolle hinzuf gen oder aus ihr entfernen Sobald Sie diese Funktion aktivieren definieren Sie die Aktion zum Hinzuf gen und Aktion zum Entfernen Diese Aktionen definieren was geschieht wenn ein Benutzer als ein Rollenmitglied hinzugef gt oder entfernt wird Kapitel 12 Integration von CA SiteMinder 359 SiteMinder Vorg nge Definieren von Admin Richtlinien f r Zugriffsrollen Eine Admin Richtlinie definiert Admin Regeln Bereichsregeln und Administratorrechte f r eine Rolle Sie k nnen verschiedene Admin Richtlinien f r eine Rolle definieren Jede Richtlinie zeigt an dass wenn ein Administrator der Bedingung in der Admin Regel entspricht er den Bereichsumfang und die Administratorrechte hat die f r die Richtlinie definiert sind Gehen Sie wie folgt vor 1 W hlen Sie die Registerkarte Administratoren f r die Zugriffsrolle aus 2 Wenn Sie die Option Admini
431. te der Gruppe der bekannten Attribute dar GROUP_ADMIN_GROUP Zeigt an welches Attribut eine Liste von Gruppen speichert die wiederum als Administratoren einer Gruppe fungieren k nnen Wenn zum Beispiel die Gruppe 1 ein Administrator der Gruppe A ist wird Gruppe 1 im GROUP_ADMIN_GROUP Attribut gespeichert Hinweis Wenn Sie kein GROUP_ADMIN_GROUP Attribut angeben speichert CA IdentityMinder die Administratorgruppen im GROUP_ADMIN Attribut Hinweis Um eine Gruppe als Administrator einer anderen Gruppe hinzuzuf gen lesen Sie die entsprechenden Abschnitte im Administrationshandbuch Kapitel 3 Verwaltung des LDAP Benutzerspeichers 83 Bekannte Attribute f r einen LDAP Benutzerspeicher GROUP_ADMIN Zeigt an welches Attribut die DNs der Administratoren einer Gruppe enth lt Das physische Attribut das zu GROUP_ADMIN zugeordnet ist muss mehrwertig sein GROUP_DESC Zeigt an welches Attribut die Beschreibung einer Gruppe enth lt GROUP_MEMBERSHIP Erforderlich Zeigt an welches Attribut eine Liste der Mitglieder einer Gruppe enth lt Das physische Attribut das zu GROUP_MEMBERSHIP zugeordnet ist muss mehrwertig sein Das bekannte GROUP_MEMBERSHIP Attribut ist nicht f r Provisioning Benutzer Verzeichnisse erforderlich GROUP_NAME Erforderlich Zeigt an welches Attribut einen Gruppennamen speichert ORG_MEMBERSHIP Erforderlich Zeigt an welches Attribut das DN der Organisati
432. teMinder Hinweis Die folgenden Schritte setzen voraus dass die Anwendung auf die sich die Zugriffsrolle die Sie erstellen bezieht bereits von SiteMinder gesch tzt wird Wenn Sie eine Zugriffsrolle f r eine Anwendung erstellen die nicht von SiteMinder gesch tzt wird finden Sie im Handbuch f r CA eTrust SiteMinder Richtliniendesign Anweisungen wie Sie die Anwendung in SiteMinder konfigurieren v4 Schritt 1 Weisen Sie in der Richtlinienserver Benutzeroberfl che das Benutzerverzeichnis das mit der Identity Manager Umgebung verkn pft ist einer Richtliniendom ne zu 2 F gen Sie die Identity Manager Umgebung zur SiteMinder Dom ne hinzu die die Anwendung sch tzt auf die sich die Zugriffsrolle bezieht 3 Erstellen Sie in der Richtliniendom ne Bereiche und Regeln wenn sie bereits nicht vorhanden sind die den Ressourcen entsprechen auf die die Zugriffsrolle Zugriff erteilen wird 4 Erstellen Sie eine Antwort zur Weiterleitung von Berechtigungsinformationen an die Ressource 5 Erstellen Sie eine Richtlinie und ordnen Sie sie diesen Objekten zu m Die Rolle die Sie in Identity Manager erstellt haben m Die Bereiche und Regeln die Sie in Schritt 2 erstellt haben m Die Antworten die Sie in Schritt 4 erstellt haben 364 Konfigurationshandbuch Weitere Informationen finden Sie unter CA eTrust SiteMinder Richtliniendesign CA eTrust SiteMinder Richtliniendesign CA eTrust SiteMinder Richtliniende
433. tellt 382 Konfigurationshandbuch Verschl sselte Textformate Verschl sselte Textformate Der Algorithmusname wird dem verschl sselten Text als ein Pr fix hinzugef gt und informiert CA IdentityMinder welcher Algorithmus f r die Verschl sselung verwendet wurde Im FIPS Modus ist das Pr fix AES Wenn Sie beispielsweise den Text password verschl sseln ist der verschl sselte Text hnlich wie das folgende Beispiel AES eolQCTq1CGPyg6qge 0asg Im Nicht FIPS Modus oder JSAFE Modus ist das Pr fix Algorithmustag je nach Algorithmus PBES oder RC2 Wenn Sie beispielsweise den Text password verschl sseln ist der verschl sselte Text hnlich wie folgt PBES gSex2 BhDGzEKWVvFmzca4w Sie k nnen dynamische Schl ssel mithilfe der Aufgabe f r geheime Schl ssel im System erstellen Wenn Sie dynamische Schl ssel definieren wird die Schl ssel ID zwischen einem Algorithmustag und Tagtrennzeichen eingef gt Fehlt die Schl ssel ID in den verschl sselten Daten zeigt dies an dass hartcodierter Schl ssel f r die Verschl sselung verwendet wurde Dies kann f r R ckw rtskompatibilit t verwendet werden oder wenn keine dynamischen Schl ssel f r den jeweiligen Algorithmus definiert sind Verschl sselte Informationen Die folgenden CA IdentityMinder Informationen werden verschl sselt Kennw rter in der Datenquellenkonfiguration f r Jboss Informationen zum Wiederherstellen vergessener Kennw rte
434. tellt werden Role and Task Settings Rollen und Aufgabeneinstellungen Importiert eine Rollendefinitionsdatei die Sie aus einer anderen CA IdentityMinder Umgebung exportiert haben System Manager Systemmanager Weist Systemmanager Rollen zu Gehen Sie wie folgt vor 1 Wenn CA IdentityMinder einen SiteMinder Richtlinienserver Cluster verwendet beenden Sie alle bis auf einen Richtlinienserver Wenn Sie einen Cluster von CA IdentityMinder Knoten haben beenden Sie alle bis auf einen CA IdentityMinder Knoten Klicken Sie auf Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt Klicken Sie auf den Namen der zu ndernden CA IdentityMinder Umgebung Das Fenster CA IdentityMinder Properties Eigenschaften wird mit den folgenden Eigenschaften angezeigt OID Gibt eine eindeutige Kennung f r die Umgebung an CA IdentityMinder generiert diese Kennung wenn Sie eine CA IdentityMinder Umgebung erstellen Sie verwenden die OID wenn Sie das Entfernen einer Aufgabe aus einer Aufgabenpersistenz Datenbank konfigurieren Weitere Informationen hierzu finden Sie im Installationshandbuch Name Gibt den eindeutigen Namen der CA IdentityMinder Umgebung an Kapitel 6 CA IdentityMinder Umgebungen 213 Verwalten von Umgebungen 214 Konfigurationshandbuch Beschreibung Gibt eine Beschreibung der CA IdentityMinder Umgebung an CA IdentityMinder Verzei
435. ten Wenn Authentifizierung und Autorisierung bestanden wurden klicken Sie auf OK Wenn die Autorisierung fehlschl gt klicken Sie auf die Schaltfl che Verbinden als W hlen Sie Bestimmter Benutzer aus und geben Sie den Admin Benutzernamen und das Kennwort an Klicken Sie erneut auf die Schaltfl che Einstellungen testen Diesmal funktioniert die Autorisierung Klicken Sie auf die Standardwebsite auf der linken Seite und doppelklicken Sie auf den ISAPI Filter klicken Klicken Sie auf der rechten Seite auf Hinzuf gen Geben Sie den Namen ein und geben Sie den Speicherort der Datei isapi_redirect dll an Klicken Sie auf OK Blenden Sie die Standardwebsiet ein und klicken Sie auf das virtuelle Jakarta Verzeichnis Doppelklicken Sie auf Handlerzuordnung W hlen Sie ISAPI dIl aus und klicken Sie auf Featureberechtigungen bearbeiten Installieren des Web Proxyserver Plug ins 26 berpr fen Sie dass alle Berechtigungen Lesen Skripts Ausf hren aktiviert sind 27 Klicken Sie auf OK Aktualisieren des Web Agenten Nachdem Sie IIS 7 x konfiguriert haben f hren Sie folgende nderungen im Web Agenten durch 1 Klicken Sie auf Anwendungspools und ndern Sie den Standardanwendungspool zu klassischem Modus 2 Klicken Sie auf Senden 3 Stellen Sie sicher dass der Agent in der ISAPI Filter Priorit tsliste h her ist als das Plug in f r den Anwendungsserver der von CA Id
436. ten Klicken Sie im Feld Bereitstellungsserver auf das Symbol mit dem Rechtspfeil Das Fenster Provisioning Properties Bereitstellungseigenschaften wird ge ffnet W hlen Sie den gew nschten Bereitstellungsserver aus Klicken Sie im unteren Bereich des Fensters auf Speichern Konfigurieren Sie die Synchronisierung im Bereitstellungsmanager siehe Seite 201 Konfigurieren der Synchronisierung im Bereitstellungsmanager Eingehende Synchronisierung h lt CA IdentityMinder im Hinblick auf nderungen auf dem Laufenden die im Bereitstellungsverzeichnis auftreten Zu den nderungen geh ren diejenigen die mithilfe des Bereitstellungsmanagers vorgenommen wurden und nderungen in Endpunkten f r die der Bereitstellungsserver einen Connector hat Jeder Bereitstellungsserver unterst tzt eine einzelne Umgebung Sie k nnen jedoch Sicherungsumgebungen auf unterschiedlichen Systemen in einem Cluster konfigurieren falls die aktuelle Umgebung nicht verf gbar ist 210 Konfigurationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung Gehen Sie wie folgt vor 1 2 3 10 11 W hlen Sie Start CA Identity Manager Bereitstellungsmanager Klicken Sie auf System CA IdentityMinder Setup Geben Sie im Feld Hostname den Namen des Systems an auf dem der CA IdentityMinder Server installiert ist Geben Sie im Feld Port die Portnummer des Anwendungsservers ein Geben Sie im Feld Environment name Umg
437. text angezeigt werden Wenn Sie eine Kopie eines vorhandenen Benutzers in der Benutzerkonsole erstellen verhindert dieser Parameter au erdem dass das Attribut zum neuen Benutzer kopiert wird vst_hide Blendet das Attribut im Fenster Ereignisdetails auf der Registerkarte Gesendete Aufgaben anzeigen aus Im Gegensatz zu vertraulichen Attributen die als Sternchen angezeigt werden werden vst_hidden Attribute nicht angezeigt Sie k nnen diesen Parameter verwenden damit nderungen an einem Attribut beispielsweise dem Gehalt nicht im Fenster Gesendete Aufgaben anzeigen angezeigt werden ignore_on_copy Hat zur Folge dass CA IdentityMinder ein Attribut ignoriert wenn ein Administrator eine Kopie eines Objekts in der Benutzerkonsole erstellt Nehmen Sie zum Beispiel an dass Sie ignore_on_copy f r das Kennwortattribut eines Benutzerobjekts angegeben haben Wenn Sie ein Benutzerprofil kopieren bertr gt CA IdentityMinder das Kennwort des aktuellen Benutzers nicht auf das neue Benutzerprofil Kapitel 4 Verwaltung relationaler Datenbanken 129 So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei 130 Konfigurationshandbuch AttributeLevelEncrypt Verschl sselt Attributwerte wenn sie im Benutzerspeicher gespeichert werden Wenn CA IdentityMinder f r FIPS 140 2 aktiviert ist verwendet CA IdentityMinder die RC2 Verschl sselung oder die FIPS 140 2 Verschl sselung Weitere Informationen zur Unterst
438. tieren Ein Dateidownload Fenster wird angezeigt 4 Speichern Sie die ZIP Datei an einem Speicherort auf den das Produktionssystem zugreifen kann 5 Klicken Sie auf Fertig stellen Die Umgebungsinformationen werden in eine ZIP Datei exportiert die Sie in eine andere Umgebung importieren k nnen Kapitel 9 Produktionsumgebungen 269 Migrieren der Datei iam_im ear f r JBoss So importieren Sie eine CA IdentityMinder Umgebung Nachdem Sie eine CA IdentityMinder Umgebung von einem Entwicklungssystem exportiert haben k nnen Sie sie in ein Produktionssystem importieren Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 Klicken Sie auf die Schaltfl che Importieren Das Fenster Umgebung importieren wird angezeigt 3 Suchen Sie nach der entsprechenden ZIP Datei um eine Umgebung zu importieren 4 Klicken Sie auf Fertig stellen Die Umgebung wird in CA IdentityMinder importiert So pr fen Sie die Migration einer CA IdentityMinder Umgebung Um zu pr fen ob die CA IdentityMinder Umgebung korrekt migriert wurde stellen Sie sicher dass die CA IdentityMinder Umgebung in der Benutzeroberfl che des Richtlinienservers in der Produktionsumgebung angezeigt wird Pr fen Sie in der Benutzeroberfl che des Richtlinienservers die folgenden Punkte m Die Einstellungen
439. tionen dazu finden Sie im Installationshandbuch Hinweis Die Schaltfl che Migrate Task Persistence Data from CA IdentityMinder 8 1 wird nur in Umgebungen angezeigt die in Vorg ngerversionen von CA IdentityMinder erstellt und zu CA IdentityMinder 12 6 3 migriert wurden ndern Sie ggf die Beschreibung die Basis URL oder den gesch tzten bzw ffentlichen Alias Wenn Sie Umgebungseigenschaften ge ndert haben starten Sie die CA IdentityMinder Umgebung neu Wenn Sie in Schritt 1 Richtlinienserver beendet haben starten Sie diese jetzt neu Kapitel 6 CA IdentityMinder Umgebungen 215 Verwalten von Umgebungen Umgebungseinstellungen Umgebungsspezifische Informationen werden in drei Dateien mit Umgebungseinstellungen gespeichert m alias_environment_roles xml m alias_environment_settings xml m alias_environment xml Hinweis alias bezieht sich auf den Alias f r die Umgebung Sie geben den Alias an wenn Sie die Umgebung erstellen Generieren Sie eine ZIP Datei die diese Dateien enth lt die die aktuelle Konfiguration widerspiegeln wenn Sie die Umgebungseinstellungen exportieren Nachdem Sie die Umgebunsgseinstellungen exportiert haben importieren Sie die Einstellungen um eine der folgenden Aufgaben auszuf hren m Sie verwalten mehrere Umgebungen mit hnlichen Einstellungen In diesem Fall erstellen Sie eine Umgebung mit den erforderlichen Einstellungen importieren diese Einstellungen in andere Umgebungen und passen d
440. tliche Aufgaben zuzugreifen f r die Benutzer keine Anmeldeinformationen angeben m ssen verwenden Sie eine URL mit dem folgenden Format http Hostname iam im alias index jsp task tag tasktag Hostname Definiert den vollqualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist zum Beispiel myserver mycompany com Konfigurieren einer Umgebung f r die Bereitstellung alias Definiert den Alias f r ffentliche Aufgaben zum Beispiel Self Service task_tag Definiert das Tag dass die Aufgabe startet Sie geben das Aufgaben Tag an wenn Sie eine Aufgabe in der Benutzerkonsole konfigurieren Die Aufgaben Tags f r die Standardaufgaben f r die Selbstregistrierung und das Zur cksetzen vergessener Kennw rter sind SelfRegistration und ForgottenPasswordReset Hinweis Weitere Informationen finden Sie im Administrationshandbuch Konfigurieren einer Umgebung f r die Bereitstellung Sie k nnen eine Umgebung f r die Bereitstellung konfigurieren nachdem Sie den Zugriff auf den Bereitstellungsserver aktiviert haben siehe Seite 174 Erstellen Sie dann einen besonderen CA IdentityMinder Benutzer der als Inbound Administrator Administrator f r Eingehendes bezeichnet wird erstellen Sie eine Verbindung mit dem Bereitstellungsserver und konfigurieren Sie die eingehende Synchronisierung im Bereitstellungsmanager Hinweis Immer wenn Sie die Bereitstellungseigenschaften f r eine Umgebung ndern
441. ttribut USER_ID an die gespeicherte Prozedur sp_getbusinessnumber bergeben Kapitel 4 Verwaltung relationaler Datenbanken 137 Verbindung zum Benutzerverzeichnis Verbindung zum Benutzerverzeichnis CA IdentityMinder stellt eine Verbindung zu einem Benutzerverzeichnis her um Informationen wie etwa zu Benutzer Gruppe oder auch organisatorische Information wie in der folgenden Darstellung angezeigt zu speichern Identity Manager Benutzer speicher Ein neues Verzeichnis oder eine neue Datenbank sind nicht erforderlich Allerdings m ssen das bestehende Verzeichnis oder die Datenbank auf einem System vorhanden sein das einen vollst ndig qualifizierten Dom nennamen besitzt FQDN Eine Liste der unterst tzten Verzeichnis und Datenbanktypen finden Sie ber die CA IdentityMinder Support Matrix auf der CA Support Website Sie konfigurieren eine Verbindung zum Benutzerspeicher wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsole erstellen Wenn Sie die Verzeichniskonfiguration exportieren nachdem Sie ein CA IdentityMinder Verzeichnis erstellt haben werden die Verbindungsinformationen zum Benutzerverzeichnis im Anbieter Element der Verzeichniskonfigurationsdatei angezeigt 138 Konfigurationshandbuch Verbindung zum Benutzerverzeichnis Beschreibung einer Datenbankverbindung Provider Element Um eine Datenbankverbindung zu beschreiben verwenden Sie das Provider Element und dessen Unte
442. tzeroberfl che verwendet den Begriff Identity Manager Umgebung um sich auf das zu beziehen was jetzt eine dentity Manager Umgebung genannt wird Die mit diesem Produkt gelieferte SiteMinder Dokumentation bezeichnet dies auch als Identity Manager Ab r8 1 ist der neue Produktname Identity Manager Der folgende Vorgang umfasst die Schritte zum Erstellen einer Zugriffsrolle 1 Ein Identity Manager Administrator mit der Rolle f r Zugriffsrollen Manager a Erstellt Zugriffsaufgaben b Erstellt eine Zugriffsrolle c Teilt dem SiteMinder Administrator Rollen und Aufgabeninformationen mit Kapitel 12 Integration von CA SiteMinder 353 SiteMinder Vorg nge 2 Ein SiteMinder Administrator erstellt ein rollenbasierte Zugriffssteuerungsrichtlinie wie folgt a Zuordnen eines Benutzerverzeichnisses das mit einer oder mehreren Identity Manager Umgebungen verkn pft ist zu einer Richtliniendom ne b Zuordnen von einer oder mehreren Identity Manager Umgebungen zur Richtliniendom ne in Schritt 1 c Erstellen von Bereichen und Regeln in der Richtliniendom ne wenn sie nicht bereits vorhanden sind Die Bereiche und Regeln sollten den Ressourcen entsprechen auf welche die Zugriffsrollen Zugriff erteilen werden d Erstellen von Richtlinien und Zuordnen zu Rollen in der Identity Manager Umgebung e Optional Angabe von Antworten die den gesch tzten Ressourcen Berechtigungsinformationen liefern Anweisungen zu den vorangehenden
443. tzung von FIPS 140 2 in CA IdentityMinder finden Sie im Konfigurationshandbuch Die Attribute werden w hrend Laufzeit als Klartext angezeigt Hinweis Um zu verhindern dass Attribute in Fenstern als Klartext angezeigt werden k nnen Sie ein Element zu verschl sselten Attributen hinzuf gen das sie als vertrauliche Daten klassifiziert Weitere Informationen finden Sie unter Hinzuf gen von Verschl sselung auf Attributebene siehe Seite 75 PreviouslyEncrypted Hat zur Folge dass CA IdentityMinder alle verschl sselte Werte im Attribut erkennt und entschl sselt wenn das Objekt im Benutzerspeicher aufgerufen wird Mithilfe dieser Datenklassifizierung k nnen Sie alle zuvor verschl sselten Werte entschl sseln Der Klartextwert wird im Speicher gespeichert wenn Sie das Objekt speichern So beschreiben Sie eine Datenbank in einer Verzeichniskonfigurationsdatei Konfigurieren von Datenklassifizierungs Attributen Gehen Sie wie folgt vor 1 Suchen Sie in der Verzeichniskonfigurationsdatei nach dem Attribut 2 F gen Sie das folgende Attribut nach der Attributbeschreibung hinzu lt DataClassification name parameter gt parameter Stellt einen der folgenden Parameter dar sensitive vst_hide ignore_on_copy AttributeLevelEncrypt PreviouslyEncrypted Eine Attributbeschreibung die das Datenklassifizierungs Attribut vst_hide enth lt entspricht zum Beispiel in etwa dem folgenden Code lt ImsManagedObjectAttr physicalname
444. u lt PropertyDict name SORT_ORDER gt lt Property name ATTR gt your sort_attribute lt Property gt lt PropertyDict gt 2 Ersetzen Sie your_sort_attribute durch das Attribut nach dem CA IdentityMinder die Suchergebnisse sortieren soll Hinweis Geben Sie nur ein physisches Attribut an Geben Sie kein bekanntes Attribut an 92 Konfigurationshandbuch Zus tzliche Eigenschaften des CA IdentityMinder Verzeichnisses Angenommen Sie m chten die Benutzer in den Suchergebnissen nach dem Wert des Attributs en sortieren F gen Sie dazu nach dem letzten IMSManagedObjectAttr Element im Abschnitt f r Benutzerobjekte der Verzeichniskonfigurationsdatei die folgenden Elemente hinzu lt l PEE kkk User Object EEEE EEEE kkk gt lt ImsManagedObject name User description My Users objectclass top person organizationalperson user objecttype USER gt lt ImsManagedObjectAttr physicalname departmentnumber displayname Department description Department valuetype String required true multivalued false maxlength 0 gt lt PropertyDict name SORT_ORDER gt lt Property name ATTR gt cn lt Property gt lt PropertyDict gt lt ImsManagedObject gt Suchen ber mehrere Objektklassen Wenn Sie einen Benutzer erstellen durchsucht CA IdentityMinder den Benutzerspeicher um zu berpr fen ob der Benutzer bereits vorhanden ist oder nicht Diese Suche ist auf Benutzer beschr nkt f r die eine Objektklasse
445. uch Stellen Sie sicher dass die erforderliche Software siehe Seite 33 installiert ist Konfigurieren Sie die Datenbank siehe Seite 24 Erstellen Sie das CA IdentityMinder Verzeichnis siehe Seite 34 Erstellen Sie die NeteAuto CA IdentityMinder Umgebung siehe Seite 36 Konfigurieren Sie das Erscheinungsbild der CA IdentityMinder Benutzeroberfl che f r NeteAuto Benutzer siehe Seite 39 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert Erforderliche Software F r die NeteAuto CA IdentityMinder Umgebung gelten die folgenden Voraussetzungen Installieren Sie CA IdentityMinder wie im Installationshandbuch beschrieben F hren Sie eine berpr fung durch um die CA IdentityMinder Admin Tools zu installieren Sie m ssen Zugriff auf einen Microsoft SQL Server oder eine Oracle Datenbank haben Konfigurieren einer relationalen Datenbank F hren Sie den folgenden Vorgang aus um eine relationale Datenbank zu konfigurieren Gehen Sie wie folgt vor 1 2 Erstellen Sie eine Datenbankinstanz mit der Bezeichnung NeteAuto Erstellen Sie einen Benutzer names neteautoadmin mit dem Kennwort test Gew hren Sie NeteAuto neteautoadmin Rechte wie etwa public oder db_owner Rechte indem Sie die Eigenschaften des Benutzers bearbeiten Hinweis Um eine NeteAuto Datenbank zu erstellen muss die Neteautoadmin Rolle mindestens minimale Berechtigungen ausw hlen einf gen aktualisieren
446. uch Verzeichnissuchparameter Durch Festlegen eines Wertes f r den Maxrows Parameter k nnen Sie die Einstellungen im LDAP Verzeichnis berschreiben welche die Suchergebnisse beschr nken Wenn diese im Gegensatz stehen verwendet der LDAP Server die niedrigste Einstellung Hinweis Der Maxrows Parameter beschr nkt nicht die Anzahl an Objekten die in einem CA IdentityMinder Aufgabenfenster angezeigt werden Um die Anzeigeeinstellungen zu konfigurieren ndern Sie die Listenfensterdefinition in der CA IdentityMinder Benutzerkonsole Weitere Anweisungen finden Sie im Handbuch zum Benutzerkonsolendesign maxpagesize Gibt die Anzahl von Objekten an die in einer einzelnen Suche zur ckgegeben werden k nnen Wenn die Anzahl von Objekten die Seitengr e berschreitet f hrt CA IdentityMinder mehrere Suchen aus Beachten Sie beim Spezifizieren von maxpagesize die folgenden Aspekte m Um die Option maxpagesize zu verwenden muss der von CA IdentityMinder verwaltete Benutzerspeicher Paging unterst tzen Einige Benutzerspeichertypen erfordern jedoch zus tzliche Konfigurationsschritte damit sie Paging unterst tzen Weitere Informationen k nnen Sie dem Abschnitt So verbessern Sie die Leistung bei gro en Suchen siehe Seite 97 entnehmen m Wenn der Benutzerspeicher kein Paging unterst tzt und auch ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder ausschlie lich den maxrows Wert um die Suchgr e zu steu
447. ueeenenesenenenenennnsnnnnnnnennnnnnnnnnnnnennnnnnnennnnnnnnnn 20 LDAP Verzeichnisstruktur f r NeteAuto uuusessssenssnsnnssnnnnensnnnnnnnnnnnnnnnennnensnnnnnnsnnnnnnnsnnnonsensnnnnensnonsnsnsnensnssnann 20 Relationale Datenbank f r NeteAuto uusssssssnsennnennsnnnnensennnnnnnnnnnnnnnnnnenennnnnnnnnnnennnensnonsessnnnnsnsnenensnsnnnsnsnnnnn 21 Erforderliche Software f r NeteAuto uuuesssesssssnsensenenennnsnnnensnnnnnnnennnnnnnennnonsnnnnnnnsnnnennnnnsnensnnsnnnnsnsnonsnsnsnnnsnsnnnn 22 Installationsdateien f r die NeteAuto Umgebung uurs2sursnnersnnensnnnennnonsnnnnnnnensnnnennnennnnennnnensnnennnnennnsennnnan 22 Installieren Sie die NeteAuto Umgebung uuuue2sessssseeensnsssnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnsnnnnsnnnnnnnnnnnnnnn 23 Konfigurieren Sie ein LDAP Benutzerverzeichnis eessesesssesssssnsennnnnsnnnnnnennnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnn 23 Konfigurieren einer relationalen Datenbank uuusuuusessessnnnneonnnsnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnennnnnnnnnnnennnennnn 24 Erstellen des CA IdentityMinder Verzeichnisses uuu s2uuussensnenssnnnnnnennnensnnnnnnnennnennnnnnnensnnnnannensnonsnsnsnnnsnsnann 25 Erstellen der NeteAuto CA IdentityMinder Umgebung 244s24rsnnnrsnnensnnnnnnnensnnnnnnnennnnonnnnensnnnnnnnennnennnan 27 So wird das NeteAuto Beispiel ohne Organisations Support konfiguriert uusssesenssnnennnenonnnsnnnn
448. ufgaben die der Rolle zugeordnet sind So konfigurieren und generieren Sie Audit Datenberichte G ltige Attribute f r CA IdentityMinder Objekttypen Objekttyp ADMINISTRATIVE TASK GROUP ORGANIZATION PARENTORG G ltige Attribute m name F r Benutzer sichtbarer Name der Aufgabe m description Ein optionaler Kommentar ber den Zweck der Aufgabe m tag Die eindeutige Kennung der Aufgabe m category Die Kategorie in der CA IdentityMinder Benutzeroberfl che unter der die Aufgabe angezeigt wird m primary_object Das Objekt auf das die Aufgabe angewandt wird m action Der Vorgang der f r das Objekt ausgef hrt wird m hidden Gibt an dass die Aufgabe nicht in Men s angezeigt wird m public Gibt an ob die Aufgabe f r Benutzer verf gbar ist die nicht bei CA IdentityMinder angemeldet sind m auditing Gibt an ob die Aufgabe die Aufzeichnung von Auditinformationen erm glicht m external Gibt an ob die Aufgabe eine externe Aufgabe ist m url Der URL an den CA IdentityMinder den Benutzer umleitet wenn eine externe Aufgabe ausgef hrt wird m workflow Gibt an ob die der Aufgabe zugeordneten CA IdentityMinder Ereignisse einen Workflow ausl sen m webservice Gibt an ob es sich um eine Aufgabe handelt f r die ber die CA IdentityMinder Management Konsole eine WSDL Ausgabe Web Services Description Language generiert werden kann Ein g ltiges Attribut das f r das GROUP Objekt in de
449. ufgelisteten Bereich XXX_ims_realm Suchen Sie und w hlen Sie den Agenten auf Ihrem Proxy aus Hinweis Wenn Sie keinen Proxy Agenten Webserver Agent haben erstellen Sie einen berpr fen Sie dass Sie einen Webserver und einen Proxy an Ort und Stelle vor CA IdentityMinder haben Klicken Sie zweimal auf OK und wiederholen Sie dann diesen Prozess f r den ffentlichen Bereich XXX_pub_realm Nachdem Sie beide Bereiche aktualisiert haben klicken Sie auf Senden Warten Sie auf die Aktualisierung des Agenten oder starten Sie den Webserver neu wo sich der Proxy Agent befindet Kapitel 12 Integration von CA SiteMinder 335 Konfigurieren des SiteMinder Parameters LogOffUrT Konfigurieren des SiteMinder Parameters LogOffUrI Nachdem Sie SiteMinder zur Umgebung hinzugef gt haben bewirkt das Abmelden in CA IdentityMinder eigentlich nichts Um diese Funktionalit t wieder zu aktivieren aktualisieren Sie das Agent Konfigurationsobjekt ACO f r den Agenten auf dem Proxy Gehen Sie wie folgt vor 1 Fehlerbehebung Melden Sie sich auf der SiteMinder Verwaltungsoberfl che an Klicken Sie auf die Registerkarte Infrastruktur erweitern Sie Agent Konfiguration und klicken Sie dann auf Agent Konfiguration ndern Suchen Sie Ihr ACO Suchen Sie den Parameter LogoffUri Klicken Sie auf die Wiedergabeschaltfl che nach rechts gerichteter Pfeil links von diesem Parameter Entfernen Sie das Rautenzeichen a
450. uktur auf der linken Seite dieses Fensters ein W hlen Sie in der Navigationsstruktur Standardwebsite aus 24 25 26 27 28 29 Installieren des Web Proxyserver Plug ins F hren Sie die folgenden Schritte im Eigenschaftsbereich der Standardwebsite aus um den ISAPI Filter hinzuzuf gen 1 Doppelklicken Sie auf die Registerkarte ISAPI Filter 2 Klicken Sie um das Dialogfeld Filtereigenschaften hinzuf gen bearbeiten zu ffnen 3 Geben Sie iisWASPlugin in das Feld Filtername ein 4 Klicken Sie auf Durchsuchen um die Plug in Datei im Verzeichnis c plugin iisWASPlugin_http dll auszuw hlen 5 Klicken Sie auf OK um das Dialogfeld Filtereigenschaften hinzuf gen bearbeiten zu schlie en W hlen Sie den obersten Serverknoten in der Navigationsstruktur aus Doppelklicken Sie im Bereich Features auf ISAPI und CGl Einschr nkungen Um den anzugebenden Wert der Eigenschaft ISAPI oder CGI Pfad zu bestimmen suchen und w hlen Sie die gleiche Plug in Datei aus die Sie im vorherigen Schritt ausgew hlt haben Beispiel c plugin iisWASPlugin_http dil Klicken Sie im Bereich Aktionen auf Hinzuf gen Geben Sie WASPlugin im Feld Beschreibung ein aktivieren Sie Ausf hrung des Erweiterungspfads zulassen und klicken Sie dann auf OK um das Dialogfeld ISAPI und CGl Einschr nkungen zu schlie en Erstellen Sie die neue Datei plugin cfg loc im Verzeichnis c plugin Le
451. und die Best tigungsmeldung erscheint Kapitel 12 Integration von CA SiteMinder 307 Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen Exportieren der CA IdentityMinder Verzeichnisse und Umgebungen Der Integrationsprozess entfernt alle aktuellen Umgebungs und Verzeichnisdefinitionen Um sicherzustellen dass diese Informationen beibehalten werden exportiert der Identit tsadministrator die Umgebungen mithilfe der CA IdentityMinder Management Konsole Nachdem Sie die Integration abgeschlossen haben stellen diese Definitionen die Verzeichnisse und Umgebungen wieder her Gehen Sie wie folgt vor 1 2 3 4 5 6 7 8 9 308 Konfigurationshandbuch ffnen Sie die CA IdentityMinder Management Konsole Klicken Sie auf Directories Verzeichnisse Klicken Sie auf das erste Verzeichnis in der Liste und dann auf Export Speichern und archivieren Sie die Verzeichnis xml Datei Wiederholen Sie diesen Vorgang f r die verbleibenden Verzeichnisse Klicken Sie auf Startseite und dann auf Umgebungen W hlen Sie die erste Umgebung aus Klicken Sie auf Exportieren Wiederholen Sie diesen Vorgang f r die verbleibenden Umgebungen Hinweis Dieser Prozess kann ein paar Minuten f r jede Umgebung dauern L schen aller Verzeichnis und Umgebungsdefinitionen L schen aller Verzeichnis und Umgebungsdefinitionen Um SiteMinder f r den Schutz von CA IdentityMinder vorzubereiten l scht der Identit tsadministr
452. ung f r die neue Antwort ein W hlen Sie im Gruppenfeld Agententyp das Optionsfeld SiteMinder aus Aktivieren Sie die Web Agent Option in der Dropdown Liste im Gruppenfeld Agententyp und klicken Sie auf Anwenden um Ihre nderungen zu speichern Klicken Sie auf Erstellen Das Editor Dialogfeld f r das SiteMinder Antwortattribut ffnet sich W hlen Sie in der Attribut Dropdown Liste die WebAgent HTTP Header Variable Antwortattribut aus W hlen Sie in der Registerkarte zur Attributeinrichtung das Optionsfeld Benutzerattribut aus Geben Sie im Feld Variable den Namen der Variable ein die an die Anwendung bergeben wird Wenn Sie zum Beispiel die Variable TASKS angeben wird der folgende Header zur Anwendung zur ckgegeben HTTP_TASKS SiteMinder Vorg nge 11 Geben Sie im Feld Attributname das Antwortattribut folgenderma en an m SM_USER_APPLICATION_ROLES Anwendungs ID1 Anwendungs ID2 Anwendungs IDn Gibt eine Liste von Rollen zur ck die einem Benutzer zugeordnet sind m SM_USER_APPLICATION_TASKS Anwendungs ID1 Anwendungs ID2 Anwendungs IDn SiteMinder generierte Antwortattribute siehe Seite 363 bieten weitere Informationen 12 Klicken Sie auf OK um die nderungen zu speichern und zum SiteMinder Verwaltungsfenster zur ckzukehren Hinzuf gen von Rollen zu einer SiteMinder Richtlinie Wenn ein Benutzer dem die entsprechende Zugriffsrolle zugewiesen worden ist v
453. ung kann beispielsweise wie folgt lauten http domain iam im neteautoRDB In diesem Pfad definiert die Dom ne den vollst ndig qualifizierten Dom nennamen des Servers auf dem CA IdentityMinder installiert ist wie im folgenden Beispiel verdeutlicht wird http myserver mycompany org iam im neteautoRDB Hinweis Beim Alias muss die Gro Kleinschreibung beachtet werden Klicken Sie auf Weiter W hlen Sie das CA IdentityMinder Verzeichnis des NeteAutoRDB Verzeichnisses aus um es mit der Umgebung zu verkn pfen die Sie erstellen Klicken Sie anschlie end auf Weiter Konfigurieren Sie den Support f r ffentliche Aufgaben wie etwa die Selbstregistrierung und die Aufgaben im Fall von vergessenen Kennw rtern Hinweis Benutzer m ssen sich nicht anmelden um auf ffentliche Aufgaben zugreifen zu k nnen a Geben Sie folgenden Alias f r ffentliche Aufgaben ein neteautoRDBpublic b Geben Sie SelfRegUser als anonymes Benutzerkonto ein c Klicken Sie Best tigen um die f r Benutzer eindeutige Kennung anzuzeigen 2 in diesem Fall So wird die NeteAuto CA IdentityMinder Umgebung verwendet 6 W hlen Sie die Aufgaben und Rollen die f r die NeteAuto Umgebung zu erstellen sind m W hlen Sie Import Rollen aus der Datei m Navigieren Sie zum folgenden Speicherort im_admin_tools_dir samples NeteAutoRDB NoOrganizations RoleDefinitions x ml In diesem Pfad definiert im_admin_tools_dir den installierten Speich
454. unter Gruppen in Organisationen der gesamten Verzeichnis struktur In den Verzeichnisstrukturen eines flachen Benutzers geh ren Benutzer zu logischen Organisationen Die logische Organisation eines Benutzers wird als Attribut in einem Benutzerprofil gespeichert Kapitel 3 Verwaltung des LDAP Benutzerspeichers 49 Verzeichniskonfigurationsdatei m Keine Organisationen Das Verzeichnis schlie t keine Organisationen ein Benutzer und Gruppen werden im Suchstamm oder in einem Container eine Ebene unterhalb des Suchstamms gespeichert Die Verzeichnisstruktur zu Keine Organisationen wird in der folgenden Darstellung angezeigt Unternehmen Stamm am A Gruppen im Benutzerprofile Stamm oder im Stamm oder Container Container eine eine Ebene Ebene darunter darunter Hinweis Ein Verzeichnis kann mehr als einen Strukturtyp enthalten Beispiel Benutzerprofile k nnen in einer flachen Struktur in einem Teil des Verzeichnisses und hierarchisch in einem anderen gespeichert werden Um eine hybride Verzeichnisstruktur zu unterst tzen erstellen Sie mehrere CA IdentityMinder Umgebungen Verzeichniskonfigurationsdatei Um CA IdentityMinder die Struktur eines Benutzerverzeichnisses zu beschreiben erstellen Sie eine Verzeichniskonfigurationsdatei Die Verzeichniskonfigurationsdatei enth lt einen oder mehrere der folgenden Abschnitte Informationen zum CA IdentityMinder Verzeichnis Enth lt Informationen ber das CA Identit
455. us dem Namen im Feld Wert und geben Sie idm logout jsp ein Klicken Sie auf OK und dann Senden um das Agent Konfigurationsobjekt zu aktualisieren Wenn der Agent das n chste Mal seine Konfiguration aus dem Richtlinienserver abruft wird die neue Einstellung bertragen Die folgenden Themen beschreiben h ufige Fehler die auftreten k nnen Wo eine Behebung m glich ist wurde diese zusammen mit dem Fehler angegeben um Ihnen bei der Integration zu helfen 336 Konfigurationshandbuch Fehlerbehebung Fehlende Windows DLL Symptom Fehlende Windows DLL MSVCP71 dll Wir haben festgestellt dass JBoss nach der Aktivierung der SiteMinder Verbindung einen Java Fehler ber eine fehlende DLL ausl st MSVCP71 dll Hinweis Dieser Fehler wird m glicherweise nicht angezeigt wenn JBoss als Dienst ausgef hrt wird Wenn m glich testen Sie Ihre Konfiguration ohne JBoss als Dienst auszuf hren L sung Gehen Sie wie folgt vor 1 Suchen Sie MSVCP71 dIl auf dem SiteMinder Richtlinienserver wenn es unter Windows l uft 2 Kopieren Sie diese DLL MSVCP71 dll in den Ordner Windows system32 3 Nachdem Sie diese Datei am richtigen Speicherort platziert haben registrieren Sie sie beim BS 4 F hren Sie von einem Befehlsfenster den regsvr32 Befehl aus Solange die Datei geladen ist sollte alles in Ordnung sein 5 Starten Sie den Anwendungsserver neu Falscher SiteMinder Richtlinienserver Speicherort Sym
456. vern m Die Auswahl von Lastenausgleich oder Failover f r den Cluster 3 Wiederholen Sie diese Schritte f r jeden CA IdentityMinder Server im Cluster 4 Starten Sie den Anwendungsserver neu damit die nderungen wirksam werden Hinweis Wenn Sie ein CA IdentityMinder Verzeichnis oder eine Umgebung erstellen oder Verzeichnis oder Umgebungseinstellungen ndern legen Sie SiteMinder Failover und FailoverServers auf false fest Andernfalls k nnte das Verzeichnisobjekt zwar erstellt aber nicht rechtzeitig zur Verwendung repliziert werden Beispielsweise erstellen Sie ein Verzeichnis auf Server 1 Dann erstellen Sie ein Attribut unter Verwendung der Objekt ID von diesem Verzeichnis auf Server 2 aber das zweite Verzeichnis ist noch nicht vorhanden Es wird ein Fehler ber nicht gefundene Objekte angezeigt Kapitel 12 Integration von CA SiteMinder 347 Konfigurieren der SiteMinder Hochverf gbarkeit ndern der Richtlinienserver Verbindundseinstellungen Die Richtlinienserver Verbindungsinformationen m ssen den Prim rserver f r die Produktionsumgebung widerspiegeln Diese Information besteht aus ConnectionURL dem Benutzernamen und Kennwort f r das SiteMinder Admin Konto und dem Namen sowie dem gemeinsamen geheimen Schl ssel f r den Agenten Im folgenden Beispiel werden die bearbeitbaren Werte in GROSSBUCHSTABEN angezeigt lt config property gt lt config property name gt ConnectionURL lt config property name gt lt config p
457. vorhanden ist berschreiben die nderungen am Entwicklungsserver die nderungen am Produktionsserver m Werden in der Entwicklungsumgebung neue Objekte erstellt werden sie dem Produktionsserver hinzugef gt m Werden am Produktionsserver neue Objekte erstellt werden sie beibehalten So exportieren Sie eine CA IdentityMinder Umgebung Um eine CA IdentityMinder Umgebung auf einem Produktionssystem bereitzustellen exportieren Sie die Umgebung aus einem Entwicklungs oder Staging System und importieren Sie sie in das Produktionssystem Hinweis Wenn Sie eine zuvor exportierte Umgebung importieren zeigt CA IdentityMinder ein Protokoll in einem Statusfenster in der Management Konsole an Um Validierungs und Bereitstellungsinformationen f r jedes verwaltete Objekt und seine Attribute in diesem Protokoll anzuzeigen w hlen Sie das Feld Enable Verbose Log Output Ausf hrliche Protokollierungsausgabe aktivieren auf der Seite Environment Properties Umgebungseigenschaften aus bevor Sie die Umgebung exportieren Die Auswahl des Felds Enable Verbose Log Output kann betr chtliche Leistungsprobleme beim Importieren verursachen Gehen Sie wie folgt vor 1 Klicken Sie in der Management Konsole auf Environments Umgebungen Das CA IdentityMinder Umgebungsfenster wird mit einer Liste von CA IdentityMinder Umgebungen angezeigt 2 W hlen Sie die Umgebung aus die Sie exportieren m chten 3 Klicken Sie auf die Schaltfl che Expor
458. wird Organization for Creating ou NeteAuto de securit Validate Inbound Unique Name ou NeteAuto de security de com Users Inbound id SuperAdmin ou Pec Validate Administrator unique Name uid SuperAdmin ou People ou Employee ou NeteAuto de security de scom f ndern Sie andere Felder in diesem Fenster Keine nderungen sind erforderlich ndern Sie nur etwas wenn Sie verstehen wie die Felder interagieren Um Details zu jedem Feld zu erhalten klicken Sie auf die Hilfeverkn pfung in dem Fenster Herstellen einer Verbindung zwischen der Umgebung und dem Bereitstellungsserver Gehen Sie wie folgt vor 1 Klicken Sie in der Managementkonsole auf Umgebungen Eine Liste der vorhandenen Umgebungen wird angezeigt Klicken Sie auf den Namen der Umgebung die Sie dem Bereitstellungsserver zuordnen m chten Klicken Sie im Feld Bereitstellungsserver auf das Symbol mit dem Rechtspfeil Das Fenster Provisioning Properties Bereitstellungseigenschaften wird ge ffnet W hlen Sie den gew nschten Bereitstellungsserver aus Klicken Sie im unteren Bereich des Fensters auf Speichern Konfigurieren Sie die Synchronisierung im Bereitstellungsmanager siehe Seite 201 Konfigurieren der Synchronisierung im Bereitstellungsmanagder Eingehende Synchronisierung h lt CA IdentityMinder im Hinblick auf nderungen auf dem Laufenden die im Bereitstellungsverzeichnis auftreten Zu den nderungen geh ren diejenigen
459. y Organizations objecttype ORG gt lt RootOrg value select orgid from tblOrganizations where parentorg is null gt lt Result name 0RG_ID gt lt RootOrg gt Nachdem Sie die grundlegenden Informationen f r das Organisationsobjekt definiert haben einschlie lich der Tabellen die das Organisationsprofil bilden und der eindeutige Kennung des Organisationsobjekts geben Sie die Stammorganisation in der Datei directory xml an m Definieren Sie im Parameter value des RootOrg Elements die Abfrage die CA IdentityMinder zum Abrufen der Stammorganisation verwendet wie im folgenden Beispiel dargestellt lt RootOrg value select orgid from tblOrganizations where parentorg is null gt m Geben Sie in den Parameter name des Result Elements die eindeutige Kennung der Organisation ein wie im folgenden Beispiel dargestellt lt Result name 0RG_ID gt Hinweis Der Wert des Parameters name muss die eindeutige Kennung des Organisationsobjekts sein Bekannte Attribute f r Organisationen Definieren Sie bekannte Attribute f r die Attribute in einem Organisationsprofil wie unter Bekannte Attribute siehe Seite 79 beschrieben Die erforderlichen und optionalen bekannten Attribute f r Organisationen lauten wie folgt ORG_DESCR Enth lt die Beschreibung einer Organisation ORG_MEMBERSHIP Erforderlich Enth lt die bergeordnete Organisation einer Organisation Hinweis Weitere Informationen zum Attribut
460. yMinder Verzeichnis Hinweis ndern Sie keine Information in diesem Abschnitt CA IdentityMinder fordert Sie auf diese Information anzugeben wenn Sie ein CA IdentityMinder Verzeichnis in der Management Konsole erstellen Attributvalidierung Definiert die Validierungsregeln die auf das CA IdentityMinder Verzeichnis angewandt werden Informationen zum Anbieter Beschreibt den Benutzerspeicher den CA IdentityMinder verwaltet Informationen zur Verzeichnissuche Erm glicht Ihnen anzugeben wie CA IdentityMinder den Benutzerspeicher durchsucht 50 Konfigurationshandbuch So w hlen Sie eine Verzeichnis Konfigurations Vorlage aus Benutzerobjekt Beschreibt wie Benutzer im Benutzerspeicher gespeichert und wie sie in CA IdentityMinder dargestellt werden Gruppenobjekt Beschreibt wie Gruppen im Benutzerspeicher gespeichert und wie sie in CA IdentityMinder dargestellt werden Organisationsobjekt Beschreibt wie Organisationen gespeichert und wie sie in CA IdentityMinder dargestellt werden Das Organisationsobjekt stellt nur dann Details bereit wenn der Benutzerspeicher Organisationen enth lt Self Subscribing Objekt Konfiguriert die Unterst tzung f r Gruppen denen Self Service Benutzer beitreten k nnen Verhalten der Verzeichnis Gruppen Gibt an ob das CA IdentityMinder Verzeichnis dynamische und verschachtelte Gruppen unterst tzt Um eine Verzeichniskonfigurationsdatei zu erstellen ndern Sie eine Ko
461. ynchronisierung eingeschlossen Der Administrator muss in der Lage jede Aufgabe f r jeden CA IdentityMinder Benutzer auszuf hren Bereitstellungsverzeichnis Das Bereitstellungsverzeichnis ist ein Repository f r Bereitstellungsinformationen einschlie lich Dom ne globaler Benutzer Endpunkttypen Endpunkten Konten und Kontovorlagen Wenn Sie es ausw hlen werden weitere Optionen zum Zuordnen des CA IdentityMinder Benutzerspeichers zum Bereitstellungsverzeichnis angezeigt Erm glichen der Erstellung von Sitzungspools Zur Leistungssteigerung kann CA IdentityMinder bei der Kommunikation mit dem Bereitstellungsserver eine Reihe von Sitzungen f r Sitzungspools vorab zuordnen Ist die Option f r Sitzungspools deaktiviert erstellt und l scht CA IdentityMinder Sitzungen nach Bedarf F r eine neue Umgebung werden Sitzungspools standardm ig aktiviert F r vorhandene Umgebungen k nnen Sie Sitzungspools aktivieren Gehen Sie wie folgt vor 1 W hlen Sie in der Management Konsole Advanced Settings Erweiterte Einstellungen und Provisioning Bereitstellung aus W hlen Sie Use Session Pool Sitzungspool verwenden aus Definieren Sie die Mindestanzahl von Sitzungen im Pool bei der Erstellung Definieren Sie die H chstanzahl von Sitzungen im Pool Klicken Sie auf Speichern D cu Be w gt Starten Sie den Anwendungsserver neu Der Sitzungspool wird entsprechend den definierten Einstellungen aktiviert Kapitel
462. zeichnis wie folgt start slapd Kapitel 3 Verwaltung des LDAP Benutzerspeichers 99 So verbessern Sie die Leistung von Verzeichnissuchen Konfigurieren von Paging Unterst tzung f r Active Directory Um die Paging Unterst tzung in Active Directory zu konfigurieren f hren Sie die folgenden allgemeinen Schritte aus m Konfigurieren Sie die Unterst tzung f r Virtual List View siehe Seite 100 m Konfigurieren Sie MaxPageSize f r Active Directory siehe Seite 101 Nur f r Verzeichnisse die vor CA IdentityMinder r12 5 SP7 erstellt wurden Konfigurieren der Unterst tzung f r Virtual List View VLV Active Directory unterst tzt Virtual List View VLV eine Methode zum Zur ckgeben von Suchergebnissen in einer bestimmten Reihenfolge oder in bestimmten Teilmengen Diese Methode unterscheidet sich von der Simple Paged Results Methode von der CA IdentityMinder ausgeht Um VLV verwenden zu k nnen m ssen Sie Berechtigungen festlegen und Indizes erstellen CA IdentityMinder beinhaltet die folgenden Dateien die Sie f r die Paging Unterst tzung konfigurieren m ssen m vlventrl ldif m vlvindex ldif m runvlvindex cmd runvlvindex sh Diese Dateien sind Teil des NeteAuto Beispiels unter samples NeteAuto in den Verwaltungstools Die Verwaltungstools werden in den folgenden Standardordnern installiert Windows C Programme CA ldentity Manager IAM Suite ldentity Manager UNIX opt CA IdentityManager IAM_Suite lde
463. zen und klicken Sie dann auf OK Starten Sie den IIS Server neu Mit dem jetzt eingerichteten Proxy k nnen Sie ber IIS auf CA IdentityMinder zugreifen Hier sind beispielsweise die Links um auf CA IdentityMinder zuzugreifen vor und nach der Proxy Konfiguration 326 Konfigurationshandbuch Vor http identitymgr forwardinc ca 83080 idmmange http identitymgr forwardinc ca 83080 idmmange Nach http smserver forwardinc idmmanage http smserver forwardinc idmmanage Hinweis Ein Schr gstrich kann am Ende dieser URL gebraucht werden damit der Proxy arbeitet berpr fen Sie die Proxy Protokolle wenn Sie nicht zur Management Konsole weitergeleitet werden Installieren des Web Proxyserver Plug ins Installieren des Proxy Plug ins auf WebLogic Sobald der Web Agent eine Anfrage f r eine CA IdentityMinder Ressource authentifiziert und genehmigt hat leitet der Webserver die Anfrage an den Anwendungsserver weiter der den CA IdentityMinder Server hostet 1 Installieren Sie das Weblogic Proxy Plug in f r Ihren Webserver wie in der Weblogic Dokumentation beschrieben Hinweis Wenn Sie das Proxy Plug in als IIS Benutzer installieren konfigurieren Sie die Proxy Weiterleitung nach Dateierweiterung und Pfad Wenn Sie die Proxy Weiterleitung nach Dateierweiterung konfigurieren f gen Sie eine Anwendungszuordnung in der Registerkarte Anwendungszuordnung mit den folgenden Eigenschaften hinzu Ausf hrbare Datei IISPr
464. zer auf OK klicken um die von CA IdentityMinder angezeigte Statusmeldung auszublenden Deaktivieren Sie diese Option um die Meldung auszuschalten sodass Benutzer beim Anzeigen einer Statusmeldung nicht immer auf OK klicken m ssen Show About Link Link zu weiteren Informationen anzeigen Bestimmt ob in der linken unteren Ecke der Benutzerkonsole ein Link zu weiteren Informationen angezeigt wird Bei Auswahl dieser Option k nnen CA IdentityMinder Benutzer ber den Link Info Versionsinformationen zu CA IdentityMinder Komponenten anzeigen Enable Language Switching Umschalten zwischen Sprachen aktivieren Bestimmt ob CA IdentityMinder im Anmeldefenster und in der Benutzerkonsole eine Dropdown Liste zur Sprachenauswahl anzeigt Bei Auswahl dieses Feldes k nnen CA IdentityMinder Benutzer die Sprache in der Benutzerkonsole ndern indem sie eine neue Sprache aus der Liste ausw hlen Hinweis Um das Feld f r die Sprachauswahl anzuzeigen m ssen das Feld Enable Language Switching ausgew hlt und CA IdentityMinder f r die Unterst tzung mehrerer Sprachen konfiguriert sein Weitere Informationen hierzu finden Sie im User Console Design Guide Kapitel 7 Erweiterte Einstellungen 245 Benutzerkonsole Job Timeout Job Zeitlimit Bestimmt wie lange CA IdentityMinder nach dem bermitteln einer Aufgabe wartet bevor eine Statusmeldung angezeigt wird Wenn die Aufgabe innerhalb des angegebenen Zeitraums abgeschlossen wird
465. zt und auch ein Wert f r maxrows angegeben wird verwendet CA IdentityMinder ausschlie lich den maxrows Wert um die Suchgr e zu steuern 3 Stellen Sie optional die Container Informationen bereit 62 Konfigurationshandbuch Container Beschreibungen der ber Benutzer Gruppe und Organisation verwalteten Objekte Um die Verwaltung zu vereinfachen k nnen Sie Objekte eines bestimmten Typs in einem Container gruppieren Wenn Sie einen Container in der Verzeichniskonfigurationsdatei angeben verwaltet CA IdentityMinder ausschlie lich Eingaben in dem Container Wenn Sie zum Beispiel einen Benutzer Container namens People angeben verwaltet CA IdentityMinder die Benutzer im People Container wie in den folgenden Abbildungen dargestellt Hierarchisches Verzeichnis NeteAuto nn un ln l Personen er nn steht f r Container Flaches Verzeichnis NeteAuto steht f r Container In diesen Beispielen liegen alle Benutzer in den People Containern vor Wenn Sie einen Container angeben m ssen Sie die folgenden Punkte beachten Wenn kein Container in einer Organisation vorhanden ist erstellt CA IdentityMinder den Container sobald die erste Eingabe hinzugef gt wird Beim einem hierarchischen Verzeichnis erstellt CA IdentityMinder den Container in der Organisation in der die Eingabe hinzugef gt wird Bei flachen Verzeichnissen und bei jenen Verzeichnissen die keine Organisationen unte
466. zugeordnet ist zu indizieren CERTIFICATION_STATUS F r die Verwendung der Benutzerzertifizierungsfunktion erforderlich Enth lt den Zertifizierungsstatus eines Benutzers Hinweis Weitere Informationen zur Benutzerzertifizierung finden Sie im Administrationshandbuch DELEGATORS Wird einer Liste mit Benutzern zugeordnet die Arbeitselemente an den aktuellen Benutzer delegiert haben Dieses Attribut ist f r die Verwendung der Delegierung erforderlich Das physische Attribut das DELEGATORS zugeordnet ist muss mehrere Werte umfassen und es muss Zeichenfolgen enthalten k nnen Wichtig Eine direkte Bearbeitung dieses Felds mit CA IdentityMinder Aufgaben oder einem externen Tool hat betr chtliche Auswirkungen auf die Sicherheit EMAIL F r die Aktivierung der E Mail Benachrichtigungsfunktion erforderlich Speichert die E Mail Adresse eines Benutzers ENABLED_STATE Erforderlich Verfolgt den Status eines Benutzers Hinweis Der Datentyp des physischen Attributs das ENABLED_STATE zugeordnet ist muss String sein FIRST_NAME Enth lt den Vornamen eines Benutzers FULL_NAME Erforderlich Enth lt den Vor und Nachnamen eines Benutzers Kapitel 4 Verwaltung relationaler Datenbanken 145 Bekannte Attribute f r eine relationale Datenbank IDENTITY_POLICY Enth lt die Liste der Identit tsrichtlinien die auf ein Benutzerkonto angewandt wurden CA IdentityMinder verwendet dieses Attribut u
Download Pdf Manuals
Related Search