29.2 Einstellungen für die Passwortsynchronisierung überprüfen

Mit der Passwortsynchronisierung können Sie Passwörter in verbundenen Systemen mit Identity Manager synchronisieren. Um die Einstellungen für die Passwortsynchronisierung für verbundene Systeme anzuzeigen, wählen Sie den entsprechenden Treibersatz aus der Dropdown-Liste aus.

Mithilfe der Passwortsynchronisierung können folgende Funktionen für verbundene Systeme eingerichtet werden:

  • Veröffentlichen von Passwörtern in Identity Manager

  • Abonnieren von Passwörtern aus Identity Manager oder anderen verbundenen Systemen.

  • Erzwingen von Passwortrichtlinien auf verbundenen Systemen

  • Versenden von Benachrichtigungs-Emails

Führen Sie die folgenden Schritte aus, um die Einstellungen für die Passwortsynchronisierung zu überprüfen:

  1. Wählen Sie auf der Identity Console-Hauptseite Passwortsynchronisierung > Passwortsynchronisierung aus.

  2. Wählen Sie den Treibersatz aus, der den Treiber enthält, dessen Einstellungen Sie überprüfen möchten.

  3. Klicken Sie in der Liste auf den Namen des Treibers.

    HINWEIS:Die aktivierten und deaktivierten Einstellungen variieren je nach Treiber. Es sind nur die Einstellungen für die vom Treiber unterstützten Funktionen verfügbar.

  4. Stellen Sie sicher, dass die Einstellungen richtig konfiguriert sind.

    Identity Manager akzeptiert Passwörter (Herausgeberkanal): Wenn diese Option aktiviert ist, lässt Identity Manager zu, dass Passwörter vom verbundenen System zum Identitätsdepot weitergeleitet werden. Bei Deaktivierung dieser Option lässt das System nicht zu, dass <password>-Elemente an Identity Manager weitergeleitet werden. Sie werden von einer Passwortsynchronisierungsrichtlinie auf dem Herausgeberkanal aus XML entfernt.

    Diese Einstellung gilt für Benutzerpasswörter, die vom verbundenen System selbst bereitgestellt werden, sowie für Passwortwerte, die von einer Richtlinie auf dem Herausgeberkanal erstellt werden.

    Wenn diese Option aktiviert ist, aber die Option „Verteilungspasswort“ darunter deaktiviert ist, wird ein <password>-Wert vom verbundenen System direkt in das universelle Passwort im Identitätsdepot geschrieben. Falls die Passwortrichtlinie des Benutzers kein universelles Passwort zulässt, wird das Passwort zum NDS-Passwort geschrieben.

    Verteilungspasswort für die Passwortsynchronisierung verwenden: Diese Einstellung ist nur verfügbar, wenn die Einstellung Identity Manager akzeptiert Passwörter (Herausgeberkanal) aktiviert ist.

    Wenn diese Option aktiviert ist, werden Passwortwerte aus dem verbundenen System zum Verteilungspasswort geschrieben. Das Verteilungspasswort ist reversibel. Das heißt, es kann zur Passwortsynchronisierung aus der Identitätsdepot-Datenablage abgerufen werden. Es wird von Identity Manager für die bidirektionale Passwortsynchronisierung mit verbundenen Systemen verwendet. Damit Identity Manager Passwörter von diesem System an andere Systeme verteilen kann, muss diese Option aktiviert sein.

    Passwort nur akzeptieren, wenn es die Passwortrichtlinie des Benutzers erfüllt: Diese Einstellung ist nur verfügbar, wenn die Einstellung Verteilungspasswort für Passwortsynchronisierung verwenden aktiviert ist.

    Wenn die Option aktiviert ist, schreibt Identity Manager das Passwort von diesem verbundenen System nur dann zum Verteilungspasswort im Identitätsdepot und veröffentlicht es nur dann an andere verbundene Systeme, wenn das Passwort die Passwortrichtlinie des Benutzers erfüllt.

    Wenn ein Passwort die Richtlinie nicht erfüllt, aktivieren Sie die Einstellung Reset the user's password to the Distribution Password (Benutzerpasswort auf Verteilungspasswort zurücksetzen), um das Benutzerpasswort auf dem verbundenen System zurückzusetzen. Auf diese Weise können Sie die Passwortrichtlinie sowohl auf dem verbundenen System als auch im Identitätsdepot erzwingen. Wenn Sie diese Option nicht aktivieren, kann es zu asynchronen Benutzerpasswörtern auf verbundenen Systemen kommen. Sie müssen jedoch die Passwortrichtlinien des verbundenen Systems berücksichtigen, wenn Sie erwägen, diese Option zu verwenden. Einige verbundene Systeme lassen das Zurücksetzen möglicherweise nicht zu, da sie die wiederholte Nutzung von Passwörtern nicht gestatten.

    Mithilfe der Einstellung Benutzer per Email über Fehler bei der Passwortsynchronisierung benachrichtigen können Sie Benutzer informieren, wenn ein Passwort nicht festgelegt oder zurückgesetzt werden kann. Die Benachrichtigungsoption ist für diese Option besonders hilfreich. Wenn der Benutzer ein Passwort ändert, das für das verbundene System zulässig ist, aber aufgrund der Passwortrichtlinie von Identity Manager zurückgewiesen wird, erfährt der Benutzer erst, dass das Passwort zurückgesetzt wurde, wenn er eine entsprechende Benachrichtigung erhält oder wenn er versucht, sich mit dem alten Passwort anzumelden.

    Passwort immer akzeptieren, Passwortrichtlinien ignorieren: Diese Einstellung ist nur verfügbar, wenn die Einstellung Verteilungspasswort für Passwortsynchronisierung verwenden aktiviert ist.

    Wenn Sie diese Option auswählen, erzwingt Identity Manager die Umsetzung der Passwortrichtlinie des Benutzers für das verbundene System nicht. Identity Manager schreibt das Passwort von diesem verbundenen System in das Verteilungspasswort im Identitätsdepot und verteilt es unabhängig von der Erfüllung der Passwortrichtlinie an andere verbundene Systeme.

    Anwendung akzeptiert Passwörter (Abonnentenkanal): Wenn Sie diese Option aktivieren, sendet der Treiber Passwörter aus dem Identitätsdepot an dieses verbundene System. Wenn ein Benutzer dann sein Passwort auf einem anderen verbundenen System ändert, das Passwörter als Verteilungspasswort im Identitätsdepot veröffentlicht, wird das Passwort für dieses verbundene System ebenfalls geändert.

    Standardmäßig ist das Verteilungspasswort mit dem universellen Passwort im Identitätsdepot identisch, sodass Änderungen am universellen Passwort im Identitätsdepot auch an das verbundene System weitergegeben werden.

    Benutzer bei Passwortsynchronisierungsfehler per Email benachrichtigen: Wenn Sie diese Option aktivieren, erhält der Benutzer eine Email, wenn ein Passwort nicht synchronisiert, festgelegt oder zurückgesetzt werden konnte. Diese Email basiert auf einer Email-Schablone. Diese Schablone wird von der Passwortsynchronisierungsanwendung bereitgestellt. Damit sie funktioniert, müssen Sie sie jedoch anpassen und einen Email-Server angeben, der die Benachrichtigungen versenden soll. Anweisungen finden Sie unter Configuring E-Mail Notification (Konfigurieren von Email-Benachrichtigungen) im NetIQ Identity Manager Password Management Guide (NetIQ Identity Manager-Passwortverwaltungshandbuch).

  5. Wenn Sie fertig sind, klicken Sie auf Speichern, um Ihre Änderungen zu speichern. Die Einstellungen werden als globale Konfigurationswerte gespeichert.

Abbildung 29-1 Passwortsynchronisierung verwalten