Der Single-Sign-On-Zugriff (SSO-Zugriff) in Identity Manager erfolgt mit dem Authentifizierungsdienst NetIQ One SSO Provider (OSP). Für die folgenden Komponenten müssen Sie OSP verwenden:
Verwaltung der Identitätsanwendungen
Identity Manager-Dashboard
Identitätsberichterstellung
Self-Service Password Reset
Benutzeranwendung
Das Image mit der Erweiterung .iso für das Identity Manager-Installationsprogramm beinhaltet eine Methode zum Installieren von OSP. Weitere Informationen zum Installieren des OSP finden Sie in Abschnitt 14.2, Installieren der Passwortverwaltung für Identity Manager.
OSP unterstützt die OAuth2-Spezifikation und erfordert einen LDAP-Authentifizierungsserver. Standardmäßig verwendet Identity Manager das Identitätsdepot (eDirectory). OSP kommuniziert auch andere Typen von Authentifizierungsquellen (oder Identitätsdepots), um Authentifizierungsanforderungen zu verarbeiten. Es ist möglich, die vom OSP zu verwendende Authentifizierungsart zu konfigurieren: Benutzer-ID und Passwort, Kerberos oder SAML. Der OSP unterstützt allerdings keine MIT-Anmeldetickets aus Kerberos oder SAP.
Wenn Sie das Identitätsdepot als Authentifizierungsdienst verwenden und die angegebenen Container im Identitätsdepot CNs und Passwörter aufweisen, melden sich autorisierte Benutzer sofort nach der Installation bei Identity Manager an. Ohne diese Anmeldekonten kann sich nur der Administrator, der während der Installation angegeben wurde, sofort anmelden.
Wenn sich ein Benutzer bei einer der browsergestützten Komponenten anmeldet, leitet der Prozess den Namen und das Passwort des Benutzers an den OSP-Dienst weiter, der dann den Authentifizierungsserver abfragt. Der Server validiert den Benutzer-Berechtigungsnachweis. Anschließend gibt der OSP ein OAuth2-Zugriffstoken an die Komponente und den Browser aus. Anhand des Tokens erteilt der Browser dem Benutzer während seiner Sitzung den SSO-Zugriff auf alle browsergestützten Komponenten.
Wenn Sie Kerberos oder SAML verwenden, akzeptiert der OSP die Authentifizierung durch den Kerberos-Ticketserver oder den SAML-IDP. Anschließend gibt der OSP ein OAuth2-Zugriffstoken an die Komponente aus, bei der sich der Benutzer angemeldet hat.
OSP und Kerberos sorgen dafür, dass die Benutzer sich einmalig anmelden und so eine Sitzung bei einer der Identitätsanwendungen und der Identitätsberichterstellung anlegen können. Wenn die Gültigkeitsdauer der Benutzersitzung abläuft, erfolgt die Autorisierung automatisch und ohne Eingreifen des Benutzers. Nach dem Abmelden sollten die Benutzer den Browser in jedem Fall schließen, sodass die jeweilige Sitzung beendet wird. Ansonsten leitet die Anwendung den Benutzer zum Anmeldefenster weiter, und der OSP autorisiert die Benutzersitzung erneut.
Sie müssen den OSP installieren, damit der OSP und SSO funktionsfähig sind. Geben Sie anschließend die URLs für den Client-Zugriff auf die einzelnen Komponenten, die URL für die Weiterleitung der Validierungsanforderungen an den OSP sowie die Einstellungen für den Authentifizierungsserver an. Diese Angaben können Sie wahlweise während der Installation oder zu einem späteren Zeitpunkt mit dem RBPM-Konfigurationsprogramm festlegen. Darüber hinaus können Sie die Einstellungen für den Kerberos-Ticketserver oder den SAML-IDP angeben.
Weitere Informationen zum Konfigurieren der Authentifizierung und des Single-Sign-On-Zugriffs finden Sie in Abschnitt VIII, Konfiguration des Single-Sign-On-Zugriffs in Identity Manager.
In einem Cluster müssen die Konfigurationseinstellungen für alle Clustermitglieder identisch sein.
Der Keystore in Identity Manager unterstützt die HTTP- und die HTTPS-Kommunikation zwischen dem OSP-Dienst und dem Authentifizierungsserver. Dieser Keystore wird beim Installieren des OSP erstellt. Außerdem legen Sie ein Passwort an, das der OSP für die autorisierten Interaktionen mit dem Authentifizierungsserver heranzieht. Weitere Informationen finden Sie unter Abschnitt 14.2, Installieren der Passwortverwaltung für Identity Manager.
OSP erzeugt ein einzelnes Ereignis, sobald sich ein Benutzer bei der Benutzeranwendung oder der Identitätsberichterstellung an- oder abmeldet:
003E0204 für die Anmeldung
003E0201 für die Abmeldung
Die XDAS-Taxonomie interpretiert diese OSP-Ereignisse dann entweder als erfolgreiche An-/Abmeldung, als SOAP-Aufruf der Benutzeranmeldung oder als „anderes Ereignis als Erfolg“.