Die Identity Manager-Installation umfasst eine Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung, sodass Sie ein vergessenes Passwort schnell und einfach zurücksetzen können. Alternativ können Sie ein externes Passwortverwaltungssystem nutzen.
In der Regel wird die „Passwort vergessen“-Verwaltungsfunktion beim Installieren von SSPR und der Identitätsanwendungen aktiviert. Ggf. haben Sie dabei nicht die URL der Portalseite für die Identitätsanwendungen angegeben, an die SSPR die Benutzer nach einer Änderung des Passworts weiterleiten soll. Unter Umständen müssen Sie die „Passwort vergessen“-Verwaltung aktivieren. Dieser Abschnitt enthält die folgenden Informationen:
In diesem Abschnitt wird beschrieben, wie Sie Identity Manager für die Verwendung von SSPR konfigurieren.
Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.
Starten Sie das Dienstprogramm zur Aktualisierung der Konfiguration. Weitere Informationen finden Sie unter Abschnitt 3.0, Überblick über den Installations- und Konfigurationsvorgang.
Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.
Geben Sie für Passwortverwaltungsanbieter > Self Service Password Reset (SSPR) an.
(Optional) Wenn Sie auf der Anmeldeseite von Identity Applications Links zum Zurücksetzen des Benutzernamens oder Passworts oder zur Aktivierung eines neuen Benutzerkontos bereitstellen möchten, wählen Sie in der Dropdown-Liste Benutzeroberfläche die Option Andere Links und aktivieren Sie anschließend das gewünschte Kontrollkästchen. Alternativ können Sie auch einen gemeinsamen Link angeben, indem Sie "Können Sie sich nicht anmelden?" in der Dropdown-Liste Benutzeroberfläche wählen. Der folgende Link wird auf der Anmeldeseite von Identity Applications angezeigt: Klicken Sie hier, wenn Sie Ihren Benutzernamen oder Ihr Passwort vergessen haben oder wenn Sie sich registrieren müssen.
Navigieren Sie zu IDM SSO-Clients > Self Service Password Reset.
Geben Sie unter oAuth-Client-ID den Namen an, mit dem sich der Single-Sign-On-Client für SSPR beim Authentifizierungsserver anmelden soll. Der Standardwert lautet sspr.
Geben Sie unter oAuth-Client-Geheimnis das Passwort des Single-Sign-On-Clients für SSPR an.
Geben Sie unter URL für die oAuth-Umleitung die absolute URL an, zur der der Authentifizierungsserver einen Browser-Client nach erfolgter Authentifizierung weiterleiten soll.
Hierbei gilt das folgende Format: Protokoll://Server:Port/Pfad. Beispiel: http://10.10.10.48:8180/sspr/public/oauth.
Speichern Sie die Änderungen, und schließen Sie das Dienstprogramm.
In diesem Abschnitt wird beschrieben, wie Sie SSPR für die Verwendung mit Identity Manager konfigurieren. Beispielsweise können Sie die Passwortrichtlinien und die Challenge-Response-Fragen bearbeiten.
Wenn Sie SSPR mit Identity Manager installiert haben, haben Sie ein Passwort angegeben, mit dem ein Administrator die Anwendung konfigurieren kann. NetIQ empfiehlt, die SSPR-Einstellungen zu bearbeiten und dann ein Administratorkonto oder eine Gruppe festzulegen, die SSPR konfigurieren soll.
HINWEIS:Wenn Sie SSPR auf einem anderen Server installieren (also nicht auf dem Server der Benutzeranwendung), muss das SSPR-Anwendungszertifikat zu den cacerts der Benutzeranwendung hinzugefügt werden.
Melden Sie sich mit dem Konfigurationspasswort, das Sie während der Installation angegeben haben, bei SSPR an.
Bearbeiten Sie auf der Seite „Einstellungen“ die Einstellungen für die Passwortrichtlinie und die Challenge-Response-Fragen. Weitere Informationen zum Konfigurieren der Standardwerte für SSPR-Einstellungen finden Sie unter Configuring Self Service Password Reset (Konfigurieren der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung) im NetIQ Self Service Password Reset Administration Guide (NetIQ-Administrationshandbuch für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung).
Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguration.xml). Weitere Informationen zum Sperren der Konfigurationsdatei finden Sie in Sperren der SSPR-Konfiguration.
(Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguration.xml auf true setzen.
Melden Sie sich bei SSPR ab.
Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.
Gehen Sie zu der Adresse http://<IP/DNS-Name>:<Port>/sspr. Mit diesem Link gelangen Sie zum SSPR-Portal.
Melden Sie sich mit einem Administratorkonto oder mit Ihrer vorhandenen Anmeldeberechtigung bei Identity Manager an.
Klicken Sie oben auf der Seite auf Konfigurationsmanager, und geben Sie das Konfigurationspasswort an, das Sie während der Installation festgelegt haben.
Klicken Sie auf Konfigurationseditor, und navigieren Sie zu Einstellungen > LDAP-Einstellungen.
Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguration.xml).
Definieren Sie im Bereich der Administratorberechtigungen einen Filter im LDAP-Format für einen Benutzer oder eine Gruppe, die über Administratorrechte auf SSPR im Identitätsdepot verfügt. Standardmäßig ist der Filter aufgroupMembership=cn=Admins,ou=Groups,o=example eingestellt.
Für den Benutzeranwendungsadministrator geben Sie hier beispielsweise uaadmin (cn=uaadmin) an.
Damit wird verhindert, dass die Benutzer die Konfiguration in SSPR verändern; dies kann nur der SSPR-Admin-Benutzer erledigen, der die uneingeschränkten Rechte zum Bearbeiten der Einstellungen besitzt.
Überprüfen Sie, ob die LDAP-Abfrage tatsächlich Ergebnisse zurückgibt. Klicken Sie hierzu auf Übereinstimmungen anzeigen.
Falls die Einstellung fehlerhaft ist, können Sie nicht mit der nächsten Konfigurationsoption fortfahren. Anhand der Fehlerdetails in SSPR können Sie die Fehlersuche vornehmen.
Klicken Sie auf Speichern.
Klicken Sie im Bestätigungsfenster auf OK.
Wenn SSPR gesperrt ist, stehen dem Admin-Benutzer zusätzliche Optionen in der Administrationsoberfläche zur Verfügung (z. B. Dashboard, Benutzeraktivität oder Datenanalyse), die vor dem Sperren von SSPR nicht verfügbar waren.
(Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguration.xml auf true setzen.
Melden Sie sich bei SSPR ab.
Melden Sie sich als der Admin-Benutzer, den Sie in Schritt 3 definiert haben, wieder bei SSPR an.
Klicken Sie auf Konfiguration schließen, und dann zum Bestätigen auf OK.
Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.
Soll ein externes System verwendet werden, müssen Sie den Speicherort einer WAR-Datei mit der „Passwort vergessen“-Funktion angeben. Dieser Vorgang umfasst folgende Schritte:
Wenn Sie diese Werte nicht während der Installation angegeben haben und nun die Einstellungen bearbeiten möchten, verwenden Sie wahlweise das RBPM-Konfigurationsprogramm, oder nehmen Sie die Änderungen als Administrator in der Benutzeranwendung vor.
(Bedingt) Sollen die Einstellungen im RBPM-Konfigurationsprogramm bearbeitet werden, führen Sie die folgenden Schritte aus:
Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.
Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 3.0, Überblick über den Installations- und Konfigurationsvorgang.
Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.
Wählen Sie unter Passwortverwaltungsanbieter die Option Benutzeranwendung (alt).
(Bedingt) Sollen die Einstellungen in der Benutzeranwendung bearbeitet werden, führen Sie die folgenden Schritte aus:
Melden Sie sich als Benutzeranwendungsadministrator an.
Navigieren Sie zu Administration > Anwendungskonfiguration > Setup des Passwortmoduls > Anmelden.
Wählen Sie unter Passwort vergessen die Option Extern
Geben Sie unter „Passwort vergessen“-Link den Link an, der angezeigt werden soll, wenn der Benutzer auf der Anmeldeseite auf Passwort vergessen klickt. Sobald der Benutzer auf diesen Link klickt, leitet die Anwendung den Benutzer zum externen Passwortverwaltungssystem weiter. Beispiel:
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
Geben Sie unter Link zurück zu „Passwort vergessen“ den Link an, der angezeigt werden soll, wenn der Benutzer das „Passwort vergessen“-Verfahren abgeschlossen hat. Wenn der Benutzer auf diesen Link klickt, wird er auf den angegebenen Link umgeleitet. Beispiel:
http://localhost/IDMProv
Geben Sie unter Webservice-URL zu „Passwort vergessen“ die URL für den Webservice an, mit der die externe WAR-Datei für „Passwort vergessen“ die Identitätsanwendungen aufruft. Verwenden Sie das folgende Format:
https://idmhost:sslport/idm/pwdmgt/service
Der Link zurück zu „Passwort vergessen“ muss SSL verwenden, sodass eine sichere Web-Service-Kommunikation mit den Identitätsanwendungen gewährleistet ist. Weitere Informationen finden Sie in Konfigurieren der SSL-Kommunikation zwischen Anwendungsservern.
Kopieren Sie ExternalPwd.war manuell in den Bereitstellungsordner des Remote-JBoss-Servers, auf dem die Funktionalität der externen Passwort-WAR ausgeführt wird.
Wenn Sie eine externe Passwort-WAR-Datei verwenden und die „Passwort vergessen“-Funktion testen möchten, können Sie wie folgt auf sie zugreifen:
Direkt, in einem Browser. Gehen Sie zu der Seite „Passwort vergessen“ in der externen Passwort-WAR-Datei. Beispiel: http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp.
Klicken Sie auf der Anmeldeseite der Benutzeranwendung auf den Link Passwort vergessen.
Wenn Sie mit einem externen Passwortverwaltungssystem arbeiten, müssen Sie die SSL-Kommunikation zwischen den Tomcat-Instanzen konfigurieren, auf denen Sie die Identitätsanwendungen und die externe WAR-Datei für die „Passwort vergessen“-Verwaltung bereitstellen. Weitere Informationen finden Sie in der Tomcat-Dokumentation.
Der Installationsvorgang setzt voraus, dass Sie SSPR auf demselben Anwendungsserver wie die Identitätsanwendungen und die Identitätsberichterstellung bereitstellen. Standardmäßig gilt für die integrierten Links auf der Seite Anwendungen im Dashboard ein relatives URL-Format, das auf SSPR auf dem lokalen System verweist. Beispiel: \sspr\private\changepassword. Wenn Sie die Anwendungen in einer dezentralen Umgebung oder einer Cluster-Umgebung installieren, müssen Sie die URLs für die SSPR-Links entsprechend aktualisieren.
Weitere Informationen finden Sie in der Hilfe zu den Identitätsanwendungen.
Melden Sie sich beim Dashboard als Administrator an. Melden Sie sich beispielsweise als uaadmin an.
Klicken Sie auf Bearbeiten.
Zeigen Sie auf der Seite „Startseitenelemente bearbeiten“ auf das zu aktualisierende Element, und klicken Sie auf das Bearbeitungssymbol. Wählen Sie beispielsweise Passwort ändern.
Geben Sie unter Link die absolute URL an. Beispiel: http://10.10.10.48:8180/sspr/changepassword.
Klicken Sie auf Speichern.
Wiederholen Sie diesen Vorgang für alle zu aktualisierenden SSPR-Links.
Klicken Sie abschließend auf Fertig.
Melden Sie sich ab, melden Sie sich dann als normaler Benutzer wieder an, und testen Sie die Änderungen.