Die Identity Manager-Installation umfasst eine Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung, sodass Sie ein vergessenes Passwort schnell und einfach zurücksetzen können. Alternativ können Sie ein externes Passwortverwaltungssystem nutzen.
In der Regel können Sie die „Passwort vergessen“-Verwaltung beim Installieren von SSPR und der Identitätsanwendungen aktivieren. Ggf. haben Sie dabei nicht die URL der Portalseite für die Identitätsanwendungen angegeben, an die SSPR die Benutzer nach einer Änderung des Passworts weiterleiten soll. Unter Umständen müssen Sie die „Passwort vergessen“-Verwaltung aktivieren. Dieser Abschnitt enthält die folgenden Informationen:
In diesem Abschnitt wird beschrieben, wie Sie Identity Manager für die Verwendung von SSPR konfigurieren.
Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.
Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 36.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.
Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.
Wählen Sie unter Passwortverwaltungsanbieter die Option SSPR.
Wählen Sie Passwort vergessen.
Navigieren Sie zu SSO Clients > Zurücksetzen von Passwörtern per Selbstbedienung.
Geben Sie unter OSP-Client-ID den Namen an, mit dem sich der Single-Sign-On-Client für SSPR beim Authentifizierungsserver anmelden soll. Der Standardwert lautet sspr.
Geben Sie unter OSP-Client-Geheimnis das Passwort des Single-Sign-On-Clients für SSPR an.
Geben Sie unter URL für die OSP-Umleitung die absolute URL an, zur der der Authentifizierungsserver einen Browser-Client nach erfolgter Authentifizierung weiterleiten soll.
Hierbei gilt das folgende Format: Protokoll://Server:Port/Pfad. Beispiel: http://123.45.678:8180/sspr/public/oauth.
Speichern Sie die Änderungen, und schließen Sie das Dienstprogramm.
In diesem Abschnitt wird beschrieben, wie Sie SSPR für die Verwendung mit Identity Manager konfigurieren. Beispielsweise können Sie die Passwortrichtlinien und die Challenge-Response-Fragen bearbeiten.
Wenn Sie SSPR mit Identity Manager installiert haben, haben Sie ein Passwort angegeben, mit dem ein Administrator die Anwendung konfigurieren kann. NetIQ empfiehlt, die SSPR-Einstellungen zu bearbeiten und dann ein Administratorkonto oder eine Gruppe festzulegen, die SSPR konfigurieren soll. Weitere Informationen zum Konfigurationspasswort finden Sie in Abschnitt 28.0, Installieren von Single Sign-On und Passwortverwaltung für Identity Manager.
Melden Sie sich mit dem Konfigurationspasswort, das Sie während der Installation angegeben haben, bei SSPR an.
Bearbeiten Sie auf der Seite „Einstellungen“ die Einstellungen für die Passwortrichtlinie und die Challenge-Response-Fragen. Weitere Informationen zum Konfigurieren der Standardwerte für SSPR-Einstellungen finden Sie unter Configuring Self Service Password Reset (Konfigurieren der Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung) im NetIQ Self Service Password Reset Administration Guide (NetIQ-Administrationshandbuch für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung).
Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguartion.xml). Weitere Informationen zum Sperren der Konfigurationsdatei finden Sie in Sperren der SSPR-Konfiguration.
(Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguartion.xml auf true setzen.
Melden Sie sich bei SSPR ab.
Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.
Gehen Sie zu der Adresse http://<IP/DNS-Name>:<Port>/sspr. Mit diesem Link gelangen Sie zum SSPR-Portal.
Melden Sie sich mit einem Administratorkonto oder mit Ihrer vorhandenen Anmeldeberechtigung bei Identity Manager an.
Klicken Sie oben auf der Seite auf Konfigurationsmanager, und geben Sie das Konfigurationspasswort an, das Sie während der Installation festgelegt haben.
Klicken Sie auf Konfigurationseditor, und navigieren Sie zu Einstellungen > LDAP-Einstellungen.
Sperren Sie die SSPR-Konfigurationsdatei (SSPRConfiguartion.xml).
Definieren Sie im Bereich der Administratorberechtigungen einen Filter im LDAP-Format für einen Benutzer oder eine Gruppe, die über Administratorrechte auf SSPR im Identitätsdepot verfügt. Standardmäßig ist der Filter aufgroupMembership=cn=Admins,ou=Groups,o=example eingestellt.
Für den Benutzeranwendungsadministrator geben Sie hier beispielsweise uaadmin (cn=uaadmin) an.
Damit wird verhindert, dass die Benutzer die Konfiguration in SSPR verändern; dies kann nur der SSPR-Admin-Benutzer erledigen, der die uneingeschränkten Rechte zum Bearbeiten der Einstellungen besitzt.
Überprüfen Sie, ob die LDAP-Abfrage tatsächlich Ergebnisse zurückgibt. Klicken Sie hierzu auf Übereinstimmungen anzeigen.
Falls die Einstellung fehlerhaft ist, können Sie nicht mit der nächsten Konfigurationsoption fortfahren. Anhand der Fehlerdetails in SSPR können Sie die Fehlersuche vornehmen.
Klicken Sie auf Speichern.
Klicken Sie im Bestätigungsfenster auf OK.
Wenn SSPR gesperrt ist, stehen dem Admin-Benutzer zusätzliche Optionen in der Administrationsoberfläche zur Verfügung (z. B. Dashboard, Benutzeraktivität oder Datenanalyse), die vor dem Sperren von SSPR nicht verfügbar waren.
(Optional) Sollen die SSPR-Einstellungen nach dem Sperren der Konfiguration bearbeitet werden, müssen Sie die Einstellung configIsEditable in der Datei SSPRConfiguartion.xml auf true setzen.
Melden Sie sich bei SSPR ab.
Melden Sie sich als der Admin-Benutzer, den Sie in Schritt 3 definiert haben, wieder bei SSPR an.
Klicken Sie auf Konfiguration schließen, und dann zum Bestätigen auf OK.
Starten Sie Tomcat neu, damit die Änderungen in Kraft treten.
Statt SSPR können Sie in Identity Manager auch den bisherigen Anbieter für die „Passwort vergessen“-Verwaltung heranziehen. Wenn Sie sich für den bisherigen Anbieter entscheiden, entfällt die Installation von SSPR. In diesem Fall müssen Sie jedoch die Zugriffsrechte der Benutzer auf die freigegebenen Seiten für die Passwortverwaltung neu zuweisen. In diesem Abschnitt finden Sie die zugehörigen Schritte:
Weitere Informationen zum bisherigen Anbieter finden Sie in Abschnitt 4.4.2, Erläuterungen zum bisherigen Anbieter für die Passwortverwaltung. Weitere Informationen zu freigegebenen Seiten und Berechtigungen finden Sie unter Page Administration
(Seitenverwaltung) im NetIQ Identity Manager User Application: Administration Guide (NetIQ Identity Manager-Benutzeranwendung: Administrationshandbuch).
Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.
Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 36.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.
Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.
Wählen Sie unter Passwortverwaltungsanbieter die Option Benutzeranwendung (alt).
Wählen Sie unter Passwort vergessen die Option Intern
Navigieren Sie zu SSO Clients > Zurücksetzen von Passwörtern per Selbstbedienung.
Geben Sie unter URL für die OSP-Umleitung die absolute URL an, zur der der Authentifizierungsserver einen Browser-Client nach erfolgter Authentifizierung weiterleiten soll.
Hierbei gilt das folgende Format: Protokoll://Server:Port/Pfad. Beispiel: http://123.45.678:8180/landing.
Speichern Sie die Änderungen, und schließen Sie das Dienstprogramm.
Die Einstellungen für die Identitätsanwendungen werden während der Installation standardmäßig auf SSPR festgelegt. Sie müssen den Benutzern, Gruppen oder Containern, die auf die freigegebenen Seiten für die „Passwort vergessen“-Verwaltung zugreifen sollen, die entsprechenden Berechtigungen zuweisen oder neu zuweisen. Wenn Sie Benutzern die Berechtigung Anzeigen für eine Containerseite oder eine freigegebene Seite zuweisen, können sie auf diese Seite zugreifen, und die Seite wird in einer Liste der verfügbaren Seiten aufgeführt.
Stellen Sie sicher, dass Identity Manager den bisherigen Anbieter verwendet. Weitere Informationen finden Sie in Konfigurieren des bisherigen Anbieters für die „Passwort vergessen“-Verwaltung.
Melden Sie sich bei der Benutzeranwendung als Anwendungsadministrator an. Melden Sie sich beispielsweise als uaadmin an.
Navigieren Sie zu Administration > Seitenadministration.
Navigieren Sie in der Kontrollleiste Freigegebene Seiten zu Passwortverwaltung.
Wählen Sie die Seite aus, für die die Berechtigungen definiert werden sollen. Beispiel: „Passwort ändern“ oder „Herausforderung/Antwort für Passwort“.
Klicken Sie im rechten Bereich auf Berechtigungen zuweisen.
Wählen Sie unter Anzeigen die Benutzer, Gruppen oder Container aus, die der Seite zugewiesen werden sollen.
(Optional) Damit nur ein Anwendungsadministrator auf die angegebene Seite zugreifen kann, wählen Sie Anzeigeberechtigung ist nur für Admin eingestellt.
Klicken Sie auf Speichern.
Wiederholen Sie Schritt 5 bis Schritt 9 für jede zu konfigurierende Seite.
Kehren Sie zur Identity Manager-Startseite zurück.
Klicken Sie auf Bearbeiten.
Ersetzen Sie den Link zur SSPR-Seite auf der Seite „Startseitenelemente bearbeiten“ durch den Link zur Passwortverwaltung für die Benutzeranwendung.
Weitere Informationen finden Sie in Abschnitt 35.6.4, Aktualisieren der SSPR-Links auf der Startseite für eine dezentrale Umgebung oder eine Cluster-Umgebung.
Melden Sie sich ab, und starten Sie den Anwendungsserver neu.
Soll ein externes System verwendet werden, müssen Sie den Speicherort einer WAR-Datei mit der „Passwort vergessen“-Funktion angeben. Dieser Vorgang umfasst folgende Schritte:
Wenn Sie diese Werte nicht während der Installation angegeben haben und nun die Einstellungen bearbeiten möchten, verwenden Sie wahlweise das RBPM-Konfigurationsprogramm, oder nehmen Sie die Änderungen als Administrator in der Benutzeranwendung vor.
(Bedingt) Sollen die Einstellungen im RBPM-Konfigurationsprogramm bearbeitet werden, führen Sie die folgenden Schritte aus:
Melden Sie sich bei dem Server an, auf dem Sie die Identitätsanwendungen installiert haben.
Führen Sie das RBPM-Konfigurationsprogramm aus. Weitere Informationen finden Sie in Abschnitt 36.1, Ausführen des Konfigurationsprogramms der Identitätsanwendungen.
Navigieren Sie im Dienstprogramm zu Authentifizierung > Passwortverwaltung.
Wählen Sie unter Passwortverwaltungsanbieter die Option Benutzeranwendung (alt).
(Bedingt) Sollen die Einstellungen in der Benutzeranwendung bearbeitet werden, führen Sie die folgenden Schritte aus:
Melden Sie sich als Benutzeranwendungsadministrator an.
Navigieren Sie zu Administration > Anwendungskonfiguration > Setup des Passwortmoduls > Anmelden.
Wählen Sie unter Passwort vergessen die Option Extern
Geben Sie unter „Passwort vergessen“-Link den Link an, der angezeigt werden soll, wenn der Benutzer auf der Anmeldeseite auf Passwort vergessen klickt. Sobald der Benutzer auf diesen Link klickt, leitet die Anwendung den Benutzer zum externen Passwortverwaltungssystem weiter. Beispiel:
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
Geben Sie unter Link zurück zu „Passwort vergessen“ den Link an, der angezeigt werden soll, wenn der Benutzer das „Passwort vergessen“-Verfahren abgeschlossen hat. Wenn der Benutzer auf diesen Link klickt, wird er auf den angegebenen Link umgeleitet. Beispiel:
http://localhost/IDMProv
Geben Sie unter Webservice-URL zu „Passwort vergessen“ die URL für den Webservice an, mit der die externe WAR-Datei für „Passwort vergessen“ die Identitätsanwendungen aufruft. Verwenden Sie das folgende Format:
https://idmhost:sslport/idm/pwdmgt/service
Der Link zurück zu „Passwort vergessen“ muss SSL verwenden, sodass eine sichere Web-Service-Kommunikation mit den Identitätsanwendungen gewährleistet ist. Weitere Informationen finden Sie in Konfigurieren der SSL-Kommunikation zwischen Anwendungsservern.
Kopieren Sie ExternalPwd.war manuell in den Bereitstellungsordner des Remote-JBoss-Servers, auf dem die Funktionalität der externen Passwort-WAR ausgeführt wird.
Wenn Sie eine externe Passwort-WAR-Datei verwenden und die „Passwort vergessen“-Funktion testen möchten, können Sie wie folgt auf sie zugreifen:
Direkt, in einem Browser. Gehen Sie zu der Seite „Passwort vergessen“ in der externen Passwort-WAR-Datei. Beispiel: http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp.
Klicken Sie auf der Anmeldeseite der Benutzeranwendung auf den Link Passwort vergessen.
Wenn Sie ein externes Passwortverwaltungssystem verwenden, müssen Sie die SSL-Kommunikation zwischen den Anwendungsservern konfigurieren, auf denen Sie die Identitätseinstellungen und die externe WAR-Datei für die „Passwort vergessen“-Verwaltung bereitstellen. Beachten Sie die Dokumentation zum Anwendungsserver.
Der Installationsvorgang setzt voraus, dass Sie SSPR auf demselben Anwendungsserver wie die Identitätsanwendungen und die Identitätsberichterstellung bereitstellen. Standardmäßig gilt für die integrierten Links auf der Identity Manager-Startseite ein relatives URL-Format, das auf SSPR auf dem lokalen System verweist. Beispiel: /sspr/private/changepassword. Wenn Sie die Anwendungen in einer dezentralen Umgebung oder einer Cluster-Umgebung installieren, müssen Sie die URLs für die SSPR-Links entsprechend aktualisieren.
Melden Sie sich als Administrator auf der Identity Manager-Startseite an. Melden Sie sich beispielsweise als uaadmin an.
Klicken Sie auf Bearbeiten.
Zeigen Sie auf der Seite „Startseitenelemente bearbeiten“ auf das zu aktualisierende Element, und klicken Sie auf das Bearbeitungssymbol. Wählen Sie beispielsweise Passwort ändern.
Geben Sie unter Link die absolute URL an. Beispiel: http://123.45.678:8180/sspr/changepassword.
Klicken Sie auf Speichern.
Wiederholen Sie diesen Vorgang für alle zu aktualisierenden SSPR-Links.
Klicken Sie abschließend auf Fertig.
Melden Sie sich ab, melden Sie sich dann als normaler Benutzer wieder an, und testen Sie die Änderungen.