Identity Manager umfasst die Komponente NetIQ Self Service Password Reset (SSPR), mit der Benutzer, die Zugriff auf die Identitätsanwendungen besitzen, ihr Passwort ohne Administratoreingriff zurücksetzen können. Bei der Installation bzw. einem Upgrade auf die neueste Version von Identity Manager wird SSPR standardmäßig aktiviert. In einer Neuinstallation verwendet SSPR ein systemeigenes Protokoll zur Verwaltung der Authentifizierungsmethoden. Bei einem Upgrade können Sie SSPR allerdings auch anweisen, die NetIQ Modular Authentication Services (NMAS) zu verwenden, die von Identity Manager bisher als Passwortverwaltungsprogramm eingesetzt wurden.
Sie können einen der folgenden Anbieter konfigurieren, abhängig davon, ob die komplexe Passwortverwaltung genutzt werden soll:
NetIQ-SSPR (Self Service Password Reset, Zurücksetzen von Passwörtern per Selbstbedienung) ist die Standardoption beim Installieren oder Aufrüsten von Identity Manager. Weitere Informationen finden Sie unter Abschnitt 4.4.1, Erläuterungen zum standardmäßigen Self-Service-Vorgang.
Übernimmt den Passwortverwaltungsvorgang aus Identity Manager 4.0.2, der die Verwendung mehrerer Passwortrichtlinien unterstützt. Weitere Informationen finden Sie unter Abschnitt 4.4.2, Erläuterungen zum bisherigen Anbieter für die Passwortverwaltung.
Sie können vergessene Passwörter mit einem Programm eines Drittanbieters verwalten. Hierbei müssen Sie jedoch einige Konfigurationseinstellungen für Identity Manager ändern. Weitere Informationen finden Sie unter Abschnitt 35.6.3, Verwenden eines externen Systems für die „Passwort vergessen“-Verwaltung.
SSPR integriert sich automatisch in den von Identity Reporting und den Identitätsanwendungen verwendeten Single Sign-On-Prozess. SSPR ist selbst dann das standardmäßige Passwortverwaltungsprogramm für Identity Manager, wenn Sie SSPR gar nicht installieren. Wenn ein Benutzer eine Passwortzurücksetzung anfordert, fragt SSPR den Benutzer nach den Antworten auf seine persönliche Sicherheitsabfrage. Werden die Antworten korrekt eingegeben, reagiert SSPR auf eine der folgenden Weisen:
Erlaubt dem Benutzer das Erstellen eines neuen Passworts
Erstellt ein neues Passwort und sendet es dem Benutzer zu
Erstellt ein neues Passwort, sendet es dem Benutzer zu und markiert das alte Passwort als abgelaufen
Die Reaktion von SSPR können Sie im SSPR-Konfigurationseditor festlegen. Nach einem Upgrade auf eine neue Version von Identity Manager können Sie SSPR so konfigurieren, dass Identity Manager weiterhin NMAS, die bisherige Methode der Passwortverwaltung, verwendet. Ihre bisherigen Passwortrichtlinien für die Verwaltung vergessener Passwörter erkennt SSPR allerdings nicht. Weitere Informationen zur fortgesetzten Verwendung der Richtlinien finden Sie in Abschnitt 4.4.2, Erläuterungen zum bisherigen Anbieter für die Passwortverwaltung.
Sie können SSPR auch so konfigurieren, dass es statt NMAS sein proprietäres Protokoll verwendet. Wenn Sie diese Änderung vornehmen, können Sie allerdings nicht mehr ohne Zurücksetzung Ihrer Passwortrichtlinien zu NMAS zurückkehren.
Weitere Informationen zum ... |
Erklärt in ... |
---|---|
Installieren von SSPR |
Abschnitt 28.0, Installieren von Single Sign-On und Passwortverwaltung für Identity Manager |
Konfigurieren der Passwortverwaltung für die Identitätsanwendungen |
|
Verwalten und Konfigurieren von SSPR |
NetIQ Self Service Password Reset Administration Guide (NetIQ-Administrationshandbuch für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung) |
Das .iso-Image für Identity Manager und das integrierte Identity Manager-Installationsprogramm enthalten das Installationsprogramm für SSPR.
Wenn Sie eine ältere Identity Manager-Version aufrüsten, greifen die Identitätsanwendungen standardmäßig auf SSPR als Passwortverwaltungsprogramm zurück. SSPR kann die NMAS-Methode verwenden, mit der die Passwortverwaltung in Identity Manager bislang vorgenommen wurde. Ihre bisherigen Passwortrichtlinien für die Verwaltung vergessener Passwörter erkennt SSPR allerdings nicht. Sie können SSPR umgehen und den bisherigen Anbieter für die Passwortverwaltung nutzen.
Wenn ein Benutzer das Zurücksetzen eines Passworts anfordert, vergleicht der bisherige Anbieter den Berechtigungsnachweis des Benutzers mit den festgelegten Passwortrichtlinien. Der Benutzer muss dann beispielsweise eine persönliche Sicherheitsabfrage beantworten. Je nach der gültigen Richtlinie für den Benutzer reagiert das Programm wie folgt:
Setzt das Passwort zurück
Zeigt den Passworthinweis an
Sendet den Passworthinweis per Email an den Benutzer
Sendet ein neues Passwort per Email an den Benutzer
Nutzen Sie den bisherigen Anbieter, wenn in Ihrem Unternehmen mehrere oder komplexe Passwortrichtlinien zum Einsatz kommen. Dies ist beispielsweise der Fall, wenn Ihre Passwortrichtlinien auf Benutzerrollen beruhen. Für einen Praktikanten reicht ein automatisch erzeugtes Passwort ohne Challenge-Response-Verfahren. Bei einem Manager, der auf sichere Daten zugreifen kann, gelten dagegen strengere Anforderungen. Dieser Benutzer muss das Passwort ggf. regelmäßig zurücksetzen. In beiden Fällen sollen die Benutzer ihr Passwort per Self-Service zurücksetzen können.
Wenn der bisherige Anbieter verwendet werden soll, bearbeiten Sie nach dem Installieren oder Aufrüsten von Identity Manager die Konfigurationseinstellungen für die Identitätsanwendungen. Die Passwortrichtlinien müssen nach dem Aufrüsten nicht erneut konfiguriert werden.
Weitere Informationen zum ... |
Erklärt in ... |
---|---|
Konfigurieren von Identity Manager für das Verwenden des bisherigen Anbieters |
Abschnitt 35.6.2, Verwenden des bisherigen Anbieters für die „Passwort vergessen“-Verwaltung |
Verwenden des bisherigen Anbieters für die Passwortverwaltung |
NetIQ Identity Manager Password Management Guide (Handbuch zur Passwortverwaltung in NetIQ Identity Manager) |