15.7 Abschließen der Installation der Identitätsanwendungen

In diesem Abschnitt finden Sie Anweisungen für Aufgaben, die nach der Installation der Identitätsanwendungen und ihres Rahmenwerks ggf. anfallen:

15.7.1 Prüfen des Serverzustands in einer geclusterten Umgebung

Weitere Informationen hierzu finden Sie unter, Prüfen des Serverzustands

15.7.2 Manuelles Erstellen der Datenbank

Beim Erstellen der Identitätsanwendungen können Sie das Herstellen einer Verbindung zur Datenbank oder das Erstellen von Tabellen in der Datenbank auf einen späteren Zeitpunkt verschieben. Falls Sie keine Berechtigungen für die Datenbank besitzen, müssen Sie diese Option unter Umständen auswählen. Das Installationsprogramm erstellt eine SQL-Datei, mit der Sie das Datenbankschema erstellen können. Sie können die Datenbanktabellen außerdem nach der Installation neu erstellen, ohne die Installation wiederholen zu müssen. Löschen Sie hierzu die Datenbank für die Identitätsanwendungen, und erstellen Sie eine neue Datenbank mit demselben Namen.

Generieren des Datenbankschemas mit der SQL-Datei

In diesem Abschnitt wird vorausgesetzt, dass das Installationsprogramm eine SQL-Datei erstellt hat, mit der Sie das Datenbankschema erstellen können. Falls Ihnen keine SQL-Datei vorliegt, beachten Sie die Anweisungen in Manuelles Erstellen der SQL-Datei zum Generieren des Datenbankschemas.

HINWEIS:Führen Sie die SQL-Datei nicht mit SQL*Plus aus. Die Zeilen in der Datei sind länger als 4000 Zeichen.

  1. Halten Sie den Anwendungsserver an.

  2. Melden Sie sich beim Datenbankserver an.

  3. Löschen Sie die Datenbank, die von den Identitätsanwendungen genutzt wird.

  4. Erstellen Sie eine neue Datenbank mit demselben Namen wie die Datenbank, die Sie in Schritt 3 gelöscht haben.

  5. Navigieren Sie zum SQL-Skript, das im Rahmen des Installationsvorgangs erstellt wurde (standardmäßig im Verzeichnis /Installationspfad/userapp/sql).

  6. Bitten Sie den Datenbankadministrator, das SQL-Skript auszuführen, sodass die Datenbank für die Benutzeranwendung erstellt und konfiguriert werden kann.

  7. Starten Sie Tomcat neu.

Manuelles Erstellen der SQL-Datei zum Generieren des Datenbankschemas

Sie können die Datenbanktabellen nach der Installation neu erstellen, ohne die Installation wiederholen zu müssen und ohne dass die SQL-Datei erforderlich ist. In diesem Abschnitt wird beschrieben, wie Sie das Datenbankschema ändern können, falls Ihnen die entsprechende SQL-Datei nicht vorliegt.

  1. Halten Sie Tomcat an.

  2. Melden Sie sich bei dem Server an, auf dem die Datenbank der Identitätsanwendungen gehostet wird.

  3. Löschen Sie die vorhandene Datenbank.

  4. Erstellen Sie eine neue Datenbank mit demselben Namen wie die Datenbank, die Sie in Schritt 3 gelöscht haben.

  5. Öffnen Sie die Datei NetIQ-Custom-Install.log (standardmäßig im Stammverzeichnis des Installationsverzeichnisses für die Identitätsanwendungen) in einem Texteditor. Beispiel:

    C:\NetIQ\idm\apps\UserApplication

  6. Suchen Sie in der Datei NetIQ-Custom-Install.log nach dem folgenden Befehl, und kopieren Sie ihn:

    C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=IDMProv -Ddriver.dn="cn=User Application Driver,cn=driverset1,o=system" -Duser.container="o=data" -jar C:\NetIQ\idm\jre\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase --driver=org.postgresql.Driver --classpath=C:\NetIQ\idm\apps\postgresql\postgresql-9.4.1212jdbc42.jar C:\NetIQ\idm\apps\UserApplication\IDMProv.war --changeLogFile=DatabaseChangeLog.xml  --url="jdbc:postgresql://localhost:5432/idmuserappdb" --contexts="prov,newdb" --logLevel=info --logFile=C:\NetIQ\idm\apps\UserApplication\db.out --username=******** --password=******** update

  7. Melden Sie sich bei dem Server an, auf dem Sie die Datenbank für die Identitätsanwendungen installiert haben.

  8. Fügen Sie die kopierte Befehlszeichenkette in ein Terminal ein.

    HINWEIS:Der Befehl sollte wie folgt lauten: updateSQL. Wenn stattdessen der Befehl update vorliegt, ersetzen Sie ihn durch updateSQL.

  9. Ersetzen Sie die Sternchen (*) im Befehl, die für den Benutzernamen und das Passwort stehen, durch die tatsächlichen Angaben für die Authentifizierung. Achten Sie außerdem darauf, dass der Name der SQL-Datei eindeutig ist.

  10. Führen Sie folgenden Befehl aus.

  11. (Bedingt) Wenn keine Daten in die Datenbank geschrieben werden, sondern stattdessen eine SQL-Datei erzeugt wird, übermitteln Sie die Datei an Ihren Datenbankadministrator, und bitten Sie ihn, die Datei in den Datenbankserver zu importieren. Weitere Informationen finden Sie in Generieren des Datenbankschemas mit der SQL-Datei.

  12. Sobald der Datenbankadministrator die SQL-Datei importiert hat, starten Sie Tomcat.

15.7.3 Manuelles Importieren der Identitätsanwendungs- und Identity Reporting-Zertifikate in das Identitätsdepot

  • Wenn Ihnen benutzerdefinierte Zertifikate für die Identitätsanwendungen und die Identity Reporting-Komponente vorliegen, importieren Sie diese Zertifikate in das Identitätsdepot unter C:\NetIQ\eDirectory\jre\lib\security\cacerts.

    Sie können die Zertifikate beispielsweise mit dem folgenden „keytool“-Befehl in das Identitätsdepot importieren:

    keytool -importkeystore -alias <User Application certificate alias> -srckeystore  <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  • Wenn Sie SSPR auf einem anderen Server installieren (also nicht auf dem Server der Benutzeranwendung), muss das SSPR-Anwendungszertifikat zu den cacerts der Benutzeranwendung hinzugefügt werden.

15.7.4 Aufzeichnen des Master-Schlüssels

NetIQ empfiehlt, den verschlüsselten Master-Schlüssel direkt nach der Installation zu kopieren und an einem sicheren Ort zu speichern. Erfolgt die Installation auf dem ersten Mitglied eines Clusters, müssen Sie diesen verschlüsselten Master-Schlüssel verwenden, wenn Sie die Identitätsanwendungen auf anderen Cluster-Mitgliedern installieren.

ACHTUNG:Bewahren Sie immer eine Kopie des verschlüsselten Master-Schlüssels auf. Der verschlüsselte Master-Schlüssel wird benötigt, um Zugriff auf verschlüsselte Daten zu erlangen, falls der Master-Schlüssel verloren geht. Dies ist beispielsweise bei Gerätefehlern der Fall.

15.7.5 Konfigurieren des Identitätsdepots für die Identitätsanwendungen

Die Identitätsanwendungen müssen mit den Objekten im Identitätsdepot interagieren können.

Um die Leistung der Identitätsanwendungen zu erhöhen, sollte der eDirectory-Administrator jeweils einen Wertindex für die Attribute manager, ismanager und srvprvUUID erstellen. Sind für diese Attribute keine Wertindizes vorhanden, kann dies insbesondere in einer Cluster-Umgebung eine eingeschränkte Leistung zur Folge haben.

Mit der Option "Erweitert" > "eDirectory-Indizes erstellen" im RBPM-Konfigurationsprogramm werden diese Wertindizes automatisch im Rahmen der Installation erstellt. Weitere Informationen zum Erstellen von Wertindizes mit dem Indexmanager finden Sie im NetIQ eDirectory-Administrationshandbuch.

15.7.6 Ändern des Standardkontextnamens für die Benutzeranwendung

Statt des Standardkontextnamens können Sie einen neuen Kontext verwenden, der auf den Anforderungen Ihrer Organisation aufbaut. Sie können den Kontextnamen wie folgt ändern:

  1. Halten Sie den Tomcat-Dienst mithilfe der Datei services.msc an.

  2. Navigieren Sie zum Benutzeranwendungsverzeichnis unter C:\NetIQ\idm\apps\UserApplication.

  3. Starten Sie das configupdate-Dienstprogramm über die Benutzeroberfläche.

    Stellen Sie sicher, dass die Option use_console in der Datei configupdate.bat.properties auf den Wert false festgelegt ist.

  4. Klicken Sie auf der Registerkarte Benutzeranwendung auf Erweiterte Optionen anzeigen und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Name des RBPM-Kontexts ändern aus.

    2. Geben Sie den benutzerdefinierten Kontextnamen als Name des RBPM-Kontexts an. Beispiel: IDMProvCustom.

    3. Suchen Sie nach dem Rollentreiber-DN. Beispiel: cn=Role and Resource Service Driver,cn=Driver Set,o=system.

    4. Klicken Sie auf OK.

  5. Stellen Sie sicher, dass die .war-Datei umbenannt wurde.

    • Navigieren Sie zum Ordner Tomcat-Webapps und prüfen Sie, ob der Eintrag IDMProvCustom.war aktualisiert wurde.

    • Navigieren Sie zur Eigenschaftsdatei ism-configuration unter \TOMCAT_INSTALLED_HOME\conf und prüfen Sie, ob im Eintrag portal.context der neue Kontextname angegeben ist.

  6. Aktualisieren Sie Ihre Datenbank mithilfe der Datei update-context.bat unter C:\NetIQ\idm\apps\UserApplication auf den neuen Kontextnamen.

    Geben Sie den folgenden Befehl ein, um die Datei update-context.bat auszuführen. 

    ua:C:\NetIQ\idm\apps\UserApplication # vi update-context.bat

    Auf Ihrem Bildschirm sollten nun folgende Einträge zu sehen sein:

    # copy and paste or execute this script before changing context name
    # Substitute your new context where indicated
    # 
    C:\NetIQ\idm\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=[New Context Here] -Ddriver.dn=[UA Driver DN] -jar C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase  --driver=org.postgresql.Driver  --classpath=
C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:
C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml   --url="jdbc:postgresql://localhost:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug --username=******** --password=******** update

    Verwenden Sie bei Nutzung einer PostgreSQL-Datenbank beispielsweise folgendes Skript:

    C:\NetIQ\idm\apps\jre\bin\java -Xms256m -Xmx256m  -Dwar.context.name=IDMProvCustom  -Ddriver.dn= cn=Role and Resource Service Driver,cn=driverset1,o=system -jar 
C:\NetIQ\idm\apps\UserApplication\liquibase.jar --databaseClass=liquibase.database.core.PostgresDatabase  --driver=org.postgresql.Driver  --classpath=
C:\NetIQ\idm\apps\postgres\postgresql-9.4.1212.jdbc42.jar:
C:\NetIQ\idm\apps\tomcat\webapps\IDMProv.war --changeLogFile=UpdateProducerId.xml   --url="jdbc:postgresql://<Database Server:5432/idmuserappdb?compatible=true" --contexts="prov,updatedb" --logLevel=debug -–username=dbadmin --password=******** update

    Hierbei gilt:

    -Dwar.context.name=IDMProvCustom steht für den neuen Kontext.

    -Ddriver.dn ="cn=User Application Driver,cn=driverset1,o=system" steht für den DN des Benutzeranwendungstreibers.

    --username=dbadmin steht für den Benutzernamen des Datenbankadministrators, der Datenbanktabellen, -ansichten und andere Artefakte erstellen kann.

    WICHTIG:Ändern Sie im Skript keinesfalls Datenbanktreiberdetails anderer unterstützter Datenbanken.

  7. Stellen Sie sicher, dass die Datenbanktabellen den neuen Kontextnamen enthalten.

    Tabellenname

    Zu prüfende Spalte

    PORTALPRODUCERS

    producerid

    PORTALPRODUCERREGISTRY

    producerid

    PORTALREGISTRY

    producerid

    PORTALPORTLETSETTINGS

    producerid

    PORTALPORTLETHANDLES

    producerid

    PROFILEGROUPPREFERENCES

    elementid

    Führen Sie beispielsweise folgenden SQL-Befehl aus, um den neuen Kontextnamen in der Tabelle PORTALPRODUCERS zu prüfen:

    Select * from PORTALPRODUCERS;

    Auf den Befehl hin sollte nur der neue Kontextname zurückgegeben werden.

  8. Starten Sie den Tomcat-Dienst mithilfe der Datei services.msc.

15.7.7 Neukonfigurieren der WAR-Datei für die Identitätsanwendungen

Mit dem RBPM-Konfigurationsprogramm können Sie die WAR-Datei für die Identitätsanwendungen aktualisieren.

  1. Führen Sie die Datei configupdate.bat für das Dienstprogramm im Installationsverzeichnis aus.

    Weitere Informationen zu den Parametern des Dienstprogramms finden Sie in Abschnitt 15.8, Konfigurieren der Einstellungen für die Identitätsanwendungen.

  2. Stellen Sie die neue WAR-Datei auf Ihrem Anwendungsserver bereit.

    Bei einem Tomcat-Einzelserver werden die Änderungen auf die bereitgestellte WAR-Datei angewendet.

15.7.8 Konfigurieren der "Passwort vergessen"-Verwaltung

Die Identity Manager-Installation umfasst eine Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung, sodass Sie ein vergessenes Passwort schnell und einfach zurücksetzen können. Alternativ können Sie ein externes Passwortverwaltungssystem nutzen.

Verwenden der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung für die "Passwort vergessen"-Verwaltung

In der Regel wird die "Passwort vergessen"-Verwaltungsfunktion beim Installieren von SSPR und der Identitätsanwendungen aktiviert. Ggf. haben Sie dabei nicht die URL der Portalseite für die Identitätsanwendungen angegeben, an die SSPR die Benutzer nach einer Änderung des Passworts weiterleiten soll. Unter Umständen müssen Sie die „Passwort vergessen“-Verwaltung aktivieren. Dieser Abschnitt enthält die folgenden Informationen:

Konfigurieren von Identity Manager für die Verwendung der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung

In diesem Abschnitt wird beschrieben, wie Sie Identity Manager für die Verwendung von SSPR konfigurieren.

  1. Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.

  2. Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 15.8.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.

  3. Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.

  4. Wählen Sie unter Passwortverwaltungsanbieter die Option SSPR.

  5. Wählen Sie Passwort vergessen.

  6. Navigieren Sie zu SSO Clients > Zurücksetzen von Passwörtern per Selbstbedienung.

  7. Geben Sie unter OSP-Client-ID den Namen an, mit dem sich der Single-Sign-On-Client für SSPR beim Authentifizierungsserver anmelden soll. Der Standardwert lautet sspr.

  8. Geben Sie unter OSP-Client-Geheimnis das Passwort des Single-Sign-On-Clients für SSPR an.

  9. Geben Sie unter URL für die OSP-Umleitung die absolute URL an, zur der der Authentifizierungsserver einen Browser-Client nach erfolgter Authentifizierung weiterleiten soll.

    Verwenden Sie das folgende Format: protocol://server:port/path. Beispiel: http://10.10.10.48:8180/sspr/public/oauth.

  10. Speichern Sie die Änderungen, und schließen Sie das Dienstprogramm.

Konfigurieren der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung für Identity Manager

In diesem Abschnitt wird beschrieben, wie Sie SSPR für die Verwendung mit Identity Manager konfigurieren. Beispielsweise können Sie die Passwortrichtlinien und die Challenge-Response-Fragen bearbeiten.

Wenn Sie SSPR mit Identity Manager installiert haben, haben Sie ein Passwort angegeben, mit dem ein Administrator die Anwendung konfigurieren kann. NetIQ empfiehlt, die SSPR-Einstellungen zu bearbeiten und dann ein Administratorkonto oder eine Gruppe festzulegen, die SSPR konfigurieren soll. Weitere Informationen zum Konfigurationspasswort finden Sie in Abschnitt 14.2, Installieren der Passwortverwaltung für Identity Manager.

  1. Melden Sie sich mit dem Konfigurationspasswort, das Sie während der Installation angegeben haben, bei SSPR an.

  2. Bearbeiten Sie auf der Seite „Einstellungen“ die Einstellungen für die Passwortrichtlinie und die Challenge-Response-Fragen. Weitere Informationen zum Konfigurieren der Standardwerte für SSPR-Einstellungen finden Sie unter Configuring Self Service Password Reset (Konfigurieren der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung) im NetIQ Self Service Password Reset Administration Guide (NetIQ-Administrationshandbuch für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung).

  3. Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguration.xml). Weitere Informationen zum Sperren der Konfigurationsdatei finden Sie in Sperren der SSPR-Konfiguration.

  4. (Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguration.xml auf true setzen.

  5. Melden Sie sich bei SSPR ab.

  6. Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.

Sperren der SSPR-Konfiguration

  1. Gehen Sie zu der Adresse http://<IP/DNS-Name>:<Port>/sspr. Mit diesem Link gelangen Sie zum SSPR-Portal.

  2. Melden Sie sich mit einem Administratorkonto oder mit Ihrer vorhandenen Anmeldeberechtigung bei Identity Manager an.

  3. Klicken Sie oben auf der Seite auf Konfigurationsmanager, und geben Sie das Konfigurationspasswort an, das Sie während der Installation festgelegt haben.

  4. Klicken Sie auf Konfigurationseditor, und navigieren Sie zu Einstellungen > LDAP-Einstellungen.

  5. Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguration.xml).

    1. Definieren Sie im Bereich der Administratorberechtigungen einen Filter im LDAP-Format für einen Benutzer oder eine Gruppe, die über Administratorrechte auf SSPR im Identitätsdepot verfügt. Standardmäßig ist der Filter aufgroupMembership=cn=Admins,ou=Groups,o=example eingestellt.

      Für den Benutzeranwendungsadministrator geben Sie hier beispielsweise uaadmin (cn=uaadmin) an.

      Damit wird verhindert, dass die Benutzer die Konfiguration in SSPR verändern; dies kann nur der SSPR-Admin-Benutzer erledigen, der die uneingeschränkten Rechte zum Bearbeiten der Einstellungen besitzt.

    2. Überprüfen Sie, ob die LDAP-Abfrage tatsächlich Ergebnisse zurückgibt. Klicken Sie hierzu auf Übereinstimmungen anzeigen.

      Falls die Einstellung fehlerhaft ist, können Sie nicht mit der nächsten Konfigurationsoption fortfahren. Anhand der Fehlerdetails in SSPR können Sie die Fehlersuche vornehmen.

    3. Klicken Sie auf Speichern.

    4. Klicken Sie im Bestätigungsfenster auf OK.

      Wenn SSPR gesperrt ist, stehen dem Admin-Benutzer zusätzliche Optionen in der Administrationsoberfläche zur Verfügung (z. B. Dashboard, Benutzeraktivität oder Datenanalyse), die vor dem Sperren von SSPR nicht verfügbar waren.

  6. (Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguration.xml auf true setzen.

  7. Melden Sie sich bei SSPR ab.

  8. Melden Sie sich als der Admin-Benutzer, den Sie in Schritt 3 definiert haben, wieder bei SSPR an.

  9. Klicken Sie auf Konfiguration schließen, und dann zum Bestätigen auf OK.

  10. Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.

Verwenden des bisherigen Anbieters für die "Passwort vergessen"-Verwaltung

Statt SSPR können Sie in Identity Manager auch den bisherigen Anbieter für die "Passwort vergessen"-Verwaltungsfunktion heranziehen. Wenn Sie sich für den bisherigen Anbieter entscheiden, entfällt die Installation von SSPR. In diesem Fall müssen Sie jedoch die Zugriffsrechte der Benutzer auf die freigegebenen Seiten für die Passwortverwaltung neu zuweisen. In diesem Abschnitt finden Sie die zugehörigen Schritte:

Weitere Informationen zum bisherigen Anbieter finden Sie in Abschnitt 4.4.2, Erläuterungen zum bisherigen Anbieter für die Passwortverwaltung. Weitere Informationen zu freigegebenen Seiten und Berechtigungen finden Sie unter Seitenverwaltung im NetIQ Identity Manager – Administratorhandbuch zu den Identitätsanwendungen.

Konfigurieren des bisherigen Anbieters für die "Passwort vergessen"-Verwaltung

  1. Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.

  2. Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 15.8.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.

  3. Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.

  4. Wählen Sie unter Passwortverwaltungsanbieter die Option Benutzeranwendung (alt).

  5. Wählen Sie unter Passwort vergessen die Option Intern

  6. Navigieren Sie zu SSO Clients > Zurücksetzen von Passwörtern per Selbstbedienung.

  7. Für die USP für die OSP-Umleitung sollte die Einstellung leer sein.

  8. Speichern Sie die Änderungen, und schließen Sie das Dienstprogramm.

Neuzuweisen der Berechtigungen für die Passwortverwaltungsseiten

Die Einstellungen für die Identitätsanwendungen werden während der Installation standardmäßig auf SSPR festgelegt. Sie müssen den Benutzern, Gruppen oder Containern, die auf die freigegebenen Seiten für die Passwort-Verwaltung zugreifen sollen, die entsprechenden Berechtigungen zuweisen oder neu zuweisen. Wenn Sie Benutzern die Berechtigung Anzeigen für eine Containerseite oder eine freigegebene Seite zuweisen, können sie auf diese Seite zugreifen, und die Seite wird in einer Liste der verfügbaren Seiten aufgeführt.

  1. Stellen Sie sicher, dass Identity Manager den bisherigen Anbieter verwendet. Weitere Informationen finden Sie in Konfigurieren des bisherigen Anbieters für die "Passwort vergessen"-Verwaltung.

  2. Melden Sie sich bei der Benutzeranwendung als Anwendungsadministrator an. Melden Sie sich beispielsweise als uaadmin an.

  3. Navigieren Sie zu Administration > Seitenadministration.

  4. Navigieren Sie in der Kontrollleiste Freigegebene Seiten zu Passwortverwaltung.

  5. Wählen Sie die Seite aus, für die die Berechtigungen definiert werden sollen. Beispiel: „Passwort ändern“ oder „Herausforderung/Antwort für Passwort“.

  6. Klicken Sie im rechten Bereich auf Berechtigungen zuweisen.

  7. Wählen Sie unter Anzeigen die Benutzer, Gruppen oder Container aus, die der Seite zugewiesen werden sollen.

  8. (Optional) Damit nur ein Anwendungsadministrator auf die angegebene Seite zugreifen kann, wählen Sie Anzeigeberechtigung ist nur für Admin eingestellt.

  9. Klicken Sie auf Speichern.

  10. Wiederholen Sie Schritt 5 bis Schritt 9 für jede zu konfigurierende Seite.

  11. Wählen Sie das Start-Symbol, um zum Dashboard zurückzukehren.

  12. Navigieren Sie zu Anwendungen und wählen Sie anschließend aus.

  13. Ersetzen Sie auf der Seite Anwendungen verwalten den Link zum SSPR durch den Link für UserApp PwdMgt.

    Weitere Informationen finden Sie in Aktualisieren der SSPR-Links im Dashboard für eine dezentrale Umgebung oder eine Cluster-Umgebung und in der Hilfe zu den Identitätsanwendungen.

  14. Melden Sie sich ab und starten Sie Tomcat neu.

Verwenden eines externen Systems für die "Passwort vergessen"-Verwaltung

Soll ein externes System verwendet werden, müssen Sie den Speicherort einer WAR-Datei mit der „Passwort vergessen“-Funktion angeben. Dieser Vorgang umfasst folgende Schritte:

Angeben einer externen WAR-Datei für die "Passwort vergessen"-Verwaltung

Wenn Sie diese Werte nicht während der Installation angegeben haben und nun die Einstellungen bearbeiten möchten, verwenden Sie wahlweise das RBPM-Konfigurationsprogramm, oder nehmen Sie die Änderungen als Administrator in der Benutzeranwendung vor.

  1. (Bedingt) Sollen die Einstellungen im RBPM-Konfigurationsprogramm bearbeitet werden, führen Sie die folgenden Schritte aus:

    1. Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.

    2. Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 15.8.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.

    3. Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.

    4. Wählen Sie unter Passwortverwaltungsanbieter die Option Benutzeranwendung (alt).

  2. (Bedingt) Sollen die Einstellungen in der Benutzeranwendung bearbeitet werden, führen Sie die folgenden Schritte aus:

    1. Melden Sie sich als Benutzeranwendungsadministrator an.

    2. Navigieren Sie zu Administration > Anwendungskonfiguration > Setup des Passwortmoduls > Anmelden.

  3. Wählen Sie unter Passwort vergessen die Option Extern

  4. Geben Sie unter 'Passwort vergessen'-Link den Link an, der angezeigt werden soll, wenn der Benutzer auf der Anmeldeseite auf Passwort vergessen klickt. Sobald der Benutzer auf diesen Link klickt, leitet die Anwendung den Benutzer zum externen Passwortverwaltungssystem weiter. Beispiel:

    http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  5. Geben Sie unter Link zurück zu 'Passwort vergessen' den Link an, der angezeigt werden soll, wenn der Benutzer das „Passwort vergessen“-Verfahren abgeschlossen hat. Wenn der Benutzer auf diesen Link klickt, wird er auf den angegebenen Link umgeleitet. Beispiel:

    http://localhost/IDMProv

  6. Geben Sie unter Webservice-URL zu 'Passwort vergessen' die URL für den Webservice an, mit der die externe WAR-Datei für „Passwort vergessen“ die Identitätsanwendungen aufruft. Verwenden Sie das folgende Format: 

    https://idmhost:sslport/idm/pwdmgt/service

    Der Link zurück zu 'Passwort vergessen' muss SSL verwenden, sodass eine sichere Web-Service-Kommunikation mit den Identitätsanwendungen gewährleistet ist. Weitere Informationen finden Sie in Konfigurieren der SSL-Kommunikation zwischen Anwendungsservern.

  7. Kopieren Sie ExternalPwd.war manuell in den Bereitstellungsordner des Remote-JBoss-Servers, auf dem die Funktionalität der externen Passwort-WAR ausgeführt wird.

Testen der externen „Passwort vergessen“-Konfiguration

Wenn Sie eine externe Passwort-WAR-Datei verwenden und die „Passwort vergessen“-Funktion testen möchten, können Sie wie folgt auf sie zugreifen:

  • Direkt, in einem Browser. Gehen Sie zu der Seite „Passwort vergessen“ in der externen Passwort-WAR-Datei. Beispiel: http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp.

  • Klicken Sie auf der Anmeldeseite der Benutzeranwendung auf den Link Passwort vergessen.

Konfigurieren der SSL-Kommunikation zwischen Anwendungsservern

Wenn Sie mit einem externen Passwortverwaltungssystem arbeiten, müssen Sie die SSL-Kommunikation zwischen den Tomcat-Instanzen konfigurieren, auf denen Sie die Identitätsanwendungen und die externe WAR-Datei für die „Passwort vergessen“-Verwaltung bereitstellen. Weitere Informationen finden Sie in der Tomcat-Dokumentation.

Aktualisieren der SSPR-Links im Dashboard für eine dezentrale Umgebung oder eine Cluster-Umgebung

Der Installationsvorgang setzt voraus, dass Sie SSPR auf demselben Anwendungsserver wie die Identitätsanwendungen und die Identitätsberichterstellung bereitstellen. Standardmäßig gilt für die integrierten Links auf der Seite Anwendungen im Dashboard ein relatives URL-Format, das auf SSPR auf dem lokalen System verweist. Beispiel: \sspr\private\changepassword. Wenn Sie die Anwendungen in einer dezentralen Umgebung oder einer Cluster-Umgebung installieren, müssen Sie die URLs für die SSPR-Links entsprechend aktualisieren.

Weitere Informationen finden Sie in der Hilfe zu den Identitätsanwendungen.

  1. Melden Sie sich beim Dashboard als Administrator an. Melden Sie sich beispielsweise als uaadmin an.

  2. Klicken Sie auf Bearbeiten.

  3. Zeigen Sie auf der Seite „Startseitenelemente bearbeiten“ auf das zu aktualisierende Element, und klicken Sie auf das Bearbeitungssymbol. Wählen Sie beispielsweise Passwort ändern.

  4. Geben Sie unter Link die absolute URL an. Beispiel: http://10.10.10.48:8180/sspr/changepassword.

  5. Klicken Sie auf Speichern.

  6. Wiederholen Sie diesen Vorgang für alle zu aktualisierenden SSPR-Links.

  7. Klicken Sie abschließend auf Fertig.

  8. Melden Sie sich ab, melden Sie sich dann als normaler Benutzer wieder an, und testen Sie die Änderungen.