Dell One Identity Manager 7.0. Installationshandbuch

Transkript

1 Dell

2 2015 Dell Inc. ALLE RECHTE VORBEHALTEN. Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Ohne ausdrückliche schriftliche Erlaubnis von Dell Software, Inc. darf diese Anleitung weder ganz noch teilweise zu einem anderen Zweck als dem persönlichen Gebrauch des Käufers vervielfältigt oder übertragen werden, unabhängig davon, auf welche Weise oder mit welchen Mitteln, elektronisch oder mechanisch, durch Fotokopieren oder Aufzeichnen, dies geschieht. Die Informationen in diesem Dokument werden in Verbindung mit Dell Software-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise, eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Dell Software-Produkten. IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON DELL SOFTWARE, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT DELL SOFTWARE KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET DELL FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN DELL SOFTWARE ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Dell Software übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Dell Software geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren. Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich an: Dell Software Inc. Attn: LEGAL Dept 5 Polaris Way Aliso Viejo, CA Informationen zu regionalen und internationalen Niederlassungen finden Sie auf unserer Website ( Patente Dieses Produkt ist durch die US-amerikanischen Patente #8,639,827 und #8,601,539 geschützt. Weitere Patente sind angemeldet. Marken Dell, das Dell-Logo und Dell One Identity Manager, Dell Dell Active Roles, Dell One Identity Password Manager und Dell One Identity Cloud Access Manager sind Marken von Dell Inc. und/oder zugehörigen Tochtergesellschaften. Microsoft, Outlook, Active Directory, SharePoint, SQL Server, Forefront, Internet Explorer, Visual Studio, Windows Server, Windows PowerShell, Windows Vista and Windows are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. SAP, SAP R/3, SAP NetWeaver Application Server und BAPI sind Marken oder eingetragene Marken der SAP AG in Deutschland und vielen anderen Ländern. IBM, Lotus Notes and LotusScript are registered trademarks of International Business Machines Corporation. Linux is the registered trademark of Linus Torvalds in the U.S. and other countries. Oracle and Java are registered trademarks of Oracle and/or its affiliates. UNIX is a registered trademark of The Open Group. Mono und SUSE sind eingetragene Marken von Novell, Inc. in den USA und anderen Ländern. Apache and Apache HTTP Server are trademarks of The Apache Software Foundation. Firefox is a registered trademark of the Mozilla Foundation. Safari is a registered trademark of Apple Inc. Chrome und Google sind eingetragene Marken von Google Inc., Verwendung mit Genehmigung. Andere in diesem Dokument verwendete Marken und Handelsnamen beziehen sich auf die Unternehmen, die Rechteinhaber der Marken und Handelsnamen sind, oder auf deren Produkte. Dell Inc. beansprucht keinerlei Eigentumsrechte an Marken und Markennamen außer den eigenen Marken und Markennamen. Legende VORSICHT: Das Symbol VORSICHT weist auf eine mögliche Beschädigung von Hardware oder den möglichen Verlust von Daten hin, wenn die Anweisungen nicht befolgt werden. WARNUNG: Das Symbol WARNUNG weist auf mögliche Personen- oder Sachschäden oder Schaden mit Todesfolge hin. WICHTIG, HINWEIS, TIPP, MOBIL, oder VIDEO: Ein Informationssymbol weist auf Begleitinformationen hin. One Identity Manager Aktualisiert: Juli 2015 Softwareversion: 7.0

3 Inhalt Überblick über den One Identity Manager 7 Editionen des One Identity Manager 7 Architektur des One Identity Manager 8 Werkzeuge des One Identity Manager 10 Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? 15 Installationsvoraussetzungen 17 Systemanforderungen für den Datenbankserver 17 Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank 18 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank 19 Systemanforderungen für die administrative Arbeitsstation 21 Systemanforderungen für den Dienstserver 22 Systemanforderungen für den Webserver 23 Systemanforderungen für den Anwendungsserver 25 Benutzer und Berechtigungen für den One Identity Manager 26 Berechtigungen für SQL Server Datenbankbenutzer 27 Berechtigungen für Oracle Datenbankbenutzer 29 Einrichten der Berechtigung zum Erstellen eines HTTP Server 30 Kommunikationsports und Firewall Konfiguration 31 Installieren des One Identity Manager 32 Bevor Sie die Installation des One Identity Manager starten 33 Installieren der One Identity Manager-Komponenten 33 Installieren der One Identity Manager-Komponenten auf einem Windows Terminalserver 36 Installieren und Konfigurieren einer One Identity Manager-Datenbank 37 Starten des Configuration Wizard 38 Erstellen einer neuen SQL Server Datenbank 38 Verwenden einer bestehenden leeren SQL Server Datenbank 41 Erstellen eines neuen Oracle Datenbankbenutzers 42 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers 44 Erfassen der Systeminformationen 45 Verarbeiten der Datenbank 46 Installieren des One Identity Manager Service für die Datenbank 47 Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung 49 Verschlüsseln von Datenbankinformationen 50 Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen 51 3

4 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen 52 Erneutes Verschlüsseln der Datenbankinformationen 53 Entschlüsseln der Datenbankinformationen 54 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank 55 Installieren und Konfigurieren des One Identity Manager Service für weitere Server 56 Benutzerkonto und Startart des One Identity Manager Service ändern 57 Der One Identity Manager Service im Cluster 58 Registrieren des One Identity Manager Service im Cluster 59 Installieren und Konfigurieren des One Identity Manager Service im Cluster 59 Aktualisieren des One Identity Manager 61 Manuelles Aktualisieren der One Identity Manager-Komponenten 62 Entfernen der One Identity Manager-Komponenten 62 Aktualisieren der One Identity Manager-Datenbank 63 Aktualisieren der One Identity Manager-Datenbank mit dem Configuration Wizard 64 Aktualisieren einer SQL Server Datenbank 65 Aktualisieren eines Oracle Datenbankbenutzers 66 Verarbeiten der Datenbank während der Aktualisierung 68 Einspielen eines Hotfixes in die One Identity Manager-Datenbank 69 Inhalt eines Transportpaketes mit dem Database Transporter anzeigen 70 Importieren eines Transportpaketes mit dem Database Transporter 70 Importieren von Dateien mit dem Software Loader 71 Automatisches Aktualisieren des One Identity Manager 73 Grundlagen zur automatischen Aktualisierung 74 Inbetriebnahme der automatischen Softwareaktualisierung 76 Installieren und Aktualisieren eines One Identity Manager Anwendungsservers 78 Installieren eines One Identity Manager Anwendungsservers 78 Aktualisieren eines One Identity Manager Anwendungsservers 82 Anzeigen des Status eines One Identity Manager Anwendungsservers 83 Deinstallieren eines One Identity Manager Anwendungsservers 83 Installieren, Konfigurieren und Warten des Web Portals 85 Vor der Installation 85 Installieren des Web Portals 85 Deinstallieren einer Webanwendung 89 Konfigurieren des Web Portals 90 Der Web Designer Configuration Editor 90 Datenbankverbindung 91 Webprojekt 92 Log 92 4

5 Automatische Aktualisierung 93 Webeinstellungen 93 Warten des Web Portals 94 Runtime Monitoring 94 Sicherheit 94 Ansehen der Protokolldateien und Exceptions 94 Anwenden automatischer Aktualisierungen für das Web Portal 95 Wartungsmodus 95 Manuelle Aktualisierung 95 Überwachung mithilfe von Leistungsindikatoren 96 Installieren und Aktualisieren der Manager Webanwendung 97 Installieren der Manager Webanwendung 97 Aktualisieren der Manager Webanwendung 100 Deinstallieren der Manager Webanwendung 101 Anmelden an den One Identity Manager-Werkzeugen 102 Anmelden an der One Identity Manager-Datenbank mit einem Datenbankbenutzer 103 Anmelden an den One Identity Manager-Werkzeugen mit einer Systembenutzerkennung 107 Aktivieren weiterer One Identity Manager Authentifizierungsmodule 109 Fehlerbehebung 110 Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version 110 Behandlung von Fehlern und Warnungen während der Systemkompilierung 110 Prüfen der Datenkonsistenz 112 Meldung: Enter address in configuration parameter 113 Anhang: One Identity Manager Authentifizierungsmodule 117 Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung 128 Anhang: Erweiterte Konfiguration der Manager Webanwendung 130 Allgemein 130 Datenbankverbindung 131 Sicherheit 132 Debugging 133 Leistung 133 Dateidownload 134 ASP.Net Basiseinstellungen 135 Verzeichnisse 135 Applikationspool 136 Plugins 136 5

6 Load Balancing 137 Single Sign-On 138 Anhang: One Identity Manager Maschinenrollen und Installationspakete 139 Anhang: Einstellungen für eine neue SQL Server Datenbank 140 Informationen zu Dell Software 141 Kontaktaufnahme zu Dell Software 141 Technische Supportressourcen 141 Index 142 6

7 1 Überblick über den One Identity Manager One Identity Manager vereinfacht konzernweit den Prozess der Verwaltung von Benutzeridentitäten, Zugriffsberechtigungen und Sicherheitsrichtlinien. Sie ermöglichen den Unternehmen die Kontrolle über Identitätsverwaltung und Zugriffsentscheidungen, während sich die IT-Teams auf ihre Kernkompetenzen fokussieren können. Mit diesen Produkten können Sie: Gruppenverwaltung mittels Selbstbedienung und Attestierung für Active Directory mit der Dell One Identity ManagerActive Directory Edition umsetzen, Zugriffsentscheidungen für unstrukturierte Daten mit der Dell One Identity Manager Data Governance Edition vereinfachen, Access Governance Anforderungen in Ihrem gesamten Konzern plattformübergreifend mit dem Dell One Identity Manager verwirklichen. Jedes dieser Szenarien-spezifischen Produkte basiert auf der selben prozessoptimierten Architektur und realisiert, im Gegensatz zu "traditionellen" Lösungen, die wesentlichen Identity- und Access Management Herausforderungen mit einem Bruchteil an Komplexität, Zeitaufkommen und Kosten. Editionen des One Identity Manager Der One Identity Manager ist in folgenden Editionen verfügbar. Tabelle 1: One Identity Manager Editionen Edition Dell One Identity Manager Dell One Identity Manager Active Directory Edition Beschreibung Die Edition enthält alle Management Module (IT Shop & Workflow, Delegation, Verwaltung von Systemrollen und Geschäftsrollen, Role Mining, Risikobewertung, Attestierung, Compliance, Unternehmensrichtlinien, Abonnements von Berichten) sowie den Unified Namespace und Konnektoren für Active Directory. Die Edition enthält alle erforderlichen Funktionen für die Active Directory Unterstützung inklusive Konnektoren für Active Directory, Attestierung, IT Shop & Workflow und Berichtsfunktionen. 7

8 Edition Dell One Identity Manager Data Governance Edition Beschreibung Die Edition enthält alle erforderlichen Funktionen für die Data Governance Unterstützung inklusive Konnektoren für Active Directory und SharePoint, Risikobewertung, Attestierung, Compliance, Unternehmensrichtlinien, Delegierung, Abonnements von Berichten und den Data Governance Dienst. Architektur des One Identity Manager Abbildung 1: Überblick über die Komponenten des One Identity Manager Der One Identity Manager besteht aus folgenden Komponenten. Datenbank Die Datenbank stellt den Kern des One Identity Manager dar. Sie erfüllt die Hauptaufgaben der Datenhaltung und der Berechnung von Vererbungen. Vererbt werden können Eigenschaften von Objekten entlang von hierarchischen Strukturen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Bei der Datenhaltung bildet die Datenbank die zu verwaltenden Zielsysteme, die ERP-Strukturen sowie Regeln zur Compliance und Zugriffsberechtigungen ab. Logisch ist die Datenbank in die zwei Bereiche der Nutzdaten und der Metadaten geteilt. Die Nutzdaten enthalten alle für die Datenpflege nötigen Informationen wie beispielsweise Informationen über Personen, Benutzerkonten, Gruppen, Mitgliedschaften und Betriebsdaten, Genehmigungsworkflows, Attestierungen, Rezertifizierungen und Complianceregeln. 8

9 Die Metadaten enthalten die Beschreibung des Nutzdatenmodells sowie Skripte für Format- und Bildungsvorschriften oder bedingte Wechselwirkungen. Die komplette Systemkonfiguration des One Identity Managers, die gesamten Einstellungen zur Steuerung der Frontends und die Queues für asynchrone Verarbeitung der Daten und Prozesse sind ebenfalls Teil der Metadaten. Die Neuberechnung von Vererbungen wird durch die Triggerlogik der Datenbank ausgelöst. Die Trigger stellen dazu Verarbeitungsaufträge in eine als "DBQueue" bezeichnete Auftragsliste ein. Der DBQueue Prozessor verarbeitet diese Aufträge und berechnet die Vererbungen der jeweiligen Datenbankobjekte neu. Eine als "JobQueue" bezeichnete Tabelle dient der Ablage von Verarbeitungsaufträgen, die von der Objektschicht auszuführen sind. Als Datenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz. Serverdienst Der One Identity Manager verwendet zur Abbildung von Geschäftsprozessen sogenannte Prozesse. Ein Prozess besteht aus Prozessschritten, die Verarbeitungsaufgaben darstellen und über Vorgänger-Nachfolger- Beziehungen miteinander verbunden sind. Dieses Funktionsprinzip erlaubt es, flexibel Aktionen und Abläufe an die Ereignisse von Objekten zu koppeln. Die Modellierung der Prozesse erfolgt über Prozessvorlagen. Die Umwandlung der als Skript definierten Vorlagen in Prozessen und Prozessschritten in einen konkreten Prozess in der JobQueue übernimmt der Jobgenerator. Der Serverdienst One Identity Manager Service sorgt für die Verbreitung der in der One Identity Manager- Datenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbank- und Dateiebene. Der One Identity Manager Service holt die Prozessschritte aus der JobQueue ab. Die Prozessschritte werden von Prozesskomponenten ausgeführt. Der One Identity Manager Service erzeugt dazu eine Instanz der benötigten Prozesskomponente und übergibt die Parameter des Prozessschrittes. Eine Entscheidungslogik überwacht die Ausführung der Prozessschritte und veranlasst abhängig vom gemeldeten Ausführungsergebnis die weitere Verarbeitung des Prozesses. Der One Identity Manager Service ermöglicht die parallele Verarbeitung von Prozessschritten, da er mehrere Instanzen von Prozesskomponenten erzeugen kann. Der One Identity Manager Service ist die einzige Komponente des One Identity Manager, die berechtigt ist, Änderungen in den Zielsystemen auszuführen. Anwendungsserver Die Clients verbinden sich zu einem Anwendungsserver, der die Geschäftslogik hält. Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zur Verfügung und sorgt für eine sichere Verbindung zur Datenbank. Die Clients senden ihre Anfragen an den Anwendungsserver, dieser führt die Verarbeitung der Objekte wie beispielsweise die Bildung von Werten nach definierten Bildungsregeln aus und sendet die Ergebnisse an die Clients zurück. Mit dem Speichern eines Objektes werden die Daten vom Anwendungsserver an die Datenbank übergeben. Die Clients können alternativ ohne externen Anwendungsserver arbeiten und selbst die Objektschicht halten und direkt auf die Datenbankschicht zugreifen. In den Clients kommt in diesem Fall nur der Teil der Objektschicht zum Einsatz, der die Erfassungsprozesse abbildet. Webserver Für den Einsatz browserbasierter Frontends wird auf einem Webserver eine Applikation betrieben, die aus einer Renderengine für Webseiten besteht. Der Benutzer greift mittels eines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. Der Austausch zwischen Datenbank und Webserver kann über den Anwendungsserver oder direkt erfolgen. 9

10 Frontends Für unterschiedliche Aufgabenstellungen gibt es verschiedene Frontends. Beispielsweise wird zur Konfiguration des One Identity Manager ein anderes Frontend verwendet als zur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschicht bestimmt. Als Frontends stehen sowohl Clients als auch eine browserbasierte Lösung zur Verfügung. Abbildung 2: Überblick über die Komponenten des One Identity Manager ohne Anwendungsserver Verwandte Themen Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? auf Seite 15 Dell One Identity Manager Konfigurationshandbuch Werkzeuge des One Identity Manager Für unterschiedliche Aufgabenstellungen gibt es verschiedene Werkzeuge. Beispielsweise wird zur Konfiguration des One Identity Manager ein anderes Werkzeuge verwendet als zur Verwaltung von Personendaten. Die darzustellenden Inhalte und ihre Änderbarkeit werden in Abhängigkeit der Zugriffsrechte des jeweiligen Benutzers durch die Objektschicht bestimmt. 10

11 Tabelle 2: Übersicht der One Identity Manager Werkzeuge Werkzeug Launchpad Kurzbeschreibung Das Launchpad ist das zentrale Werkzeug zum Starten der Administrationswerkzeuge und Konfigurationswerkzeuge des One Identity Manager. Mit dem Launchpad können Sie die vorhandene One Identity Manager Installation prüfen und die Werkzeuge des One Identity Manager zur Ausführung einzelner Aufgaben starten. Das Launchpad ist kundenspezifisch erweiterbar. Sie können im Designer eigene Einträge und Aktionen für das Launchpad definieren. Web Portal Das Web Portal ist eine webbasierte Applikation für alle One Identity Manager Benutzer. Das Web Portal stellt die stringente Arbeitsabläufe in folgenden Bereichen bereit: Eigene Personenstammdaten und eigenes Kennwort ändern. Personenstammdaten für untergeordnete Mitarbeiter bearbeiten oder neu erfassen. Produkte im IT Shop suchen, bestellen, abbestellen oder verlängern. Eigene Rollen delegieren. Zugewiesene Entscheidungen, Attestierungsvorgänge und Regelverletzungen bearbeiten. Im Infosystem erhalten Sie verschiedene Auswertungen, zum Beispiel über eigene Bestellvorgänge oder Attestierungsvorgänge, Mitarbeiterzahlen, Genehmigungen, Regelverletzungen oder den Unified Namespace. Das Web Portal benötigt einen Webserver. Der Benutzer greift mittels eines Webbrowsers auf die für ihn dynamisch erstellte und angepasste Website zu. Nach der Konfiguration des Webservers und der Freigabe eines Webprojekts im Web Designer starten Sie das Web Portal in einem Webbrowser. 11

12 Werkzeug Manager Kurzbeschreibung Der Manager ist das zentrale Administrationswerkzeug zur Einrichtung aller Informationen über Personen und ihre Identitäten. Es werden alle Informationen abgebildet und bearbeitet, die zur Verwaltung von Personen mit ihren Benutzerkonten, Berechtigungen und unternehmensspezifischen Rollen in einem One Identity Manager-Netzwerk erforderlich sind. Unternehmensressourcen, die die Mitarbeiter für ihre Arbeit benötigen, können erfasst und den Personen zugewiesen werden. Nutzen Sie den Manager außerdem, um unternehmensspezifische IT-Richtlinien zu definieren, einen IT Shop einzurichten, über den Unternehmensressourcen und Zuweisungen bestellt werden, spezielle Genehmigungsverfahren einzurichten, mit denen Bestellungen autorisiert und die Einhaltung der IT-Richtlinien überprüft werden, Attestierungsverfahren einzurichten, mit denen die Korrektheit der Informationen über Personen oder Rollen und ihre Zuweisungen regelmäßig attestiert werden. Durch den Einsatz von One Identity Manager Anwendungsrollen erhält jeder One Identity Manager Benutzer nur die Bearbeitungsrechte, die er zur Erfüllung seiner administrativen Aufgaben benötigt. Die Funktionen des Manager können als Webanwendung bereitgestellt werden. Synchronization Editor Analyzer Job Queue Info Die Anbindung verschiedener Zielsysteme an den One Identity Manager wird mit dem Synchronization Editor realisiert. Mit diesem Werkzeug konfigurieren Sie die Synchronisation von Daten beliebiger Zielsysteme und legen fest, welche Daten der Zielsysteme in der One Identity Manager-Datenbank abgebildet werden. Dazu definieren Sie das Mapping der Objekteigenschaften und den Ablauf der Synchronisation als Workflow. Mit dem Analyzer können Sie Datenkorrelationen in der Datenbank automatisch analysieren und erkennen. Diese Informationen können genutzt werden, um zum Beispiel direkte Berechtigungszuordnungen durch indirekte Zuordnungen zu ersetzen, und somit den Verwaltungsaufwand zu reduzieren. Job Queue Info unterstützt die Kontrolle des aktuellen Zustandes der in einem One Identity Manager-Netzwerk laufenden Dienste. Es ermöglicht eine detaillierte und übersichtliche Darstellung der Aufträge in der JobQueue und stellt verschiedene Abfragen des One Identity Manager Service auf den Servern zur Verfügung. Das Werkzeug liefert Zustandsinformationen im laufenden Betrieb und ermöglicht eine schnelle Fehlererkennung und Fehlersuche. 12

13 Werkzeug Configuration Wizard Kurzbeschreibung Der Configuration Wizard ist das Werkzeug mit dem die Datenbank auf einem SQL Server bzw. einem Oracle Database Datenbanksystem für die Verwendung in einem One Identity Manager-Netzwerk eingerichtet wird. Mit dem Configuration Wizard werden die benötigten Tabellen, Datentypen, Datenbankprozeduren des One Identity Manager Schemas in die Datenbank eingespielt. Die Datenbankrollen mit den Berechtigungen auf das One Identity Manager Schema werden angelegt. Im One Identity Manager ist eine automatische Versionsverwaltung integriert, die einen konsistenten Stand der Bestandteile des One Identity Manager untereinander als auch zur Datenbank sichert. Werden Erweiterungen implementiert, die die Struktur verändern (zum Beispiel Tabellenerweiterungen), ist eine Migration der Datenbank erforderlich. Der Configuration Wizard führt diese Schemainstallation in Abhängigkeit vom aktuellen Stand des Schemas durch. Designer Web Designer Web Installer Data Import Crypto Configuration Der Designer ist das zentrale Werkzeug zur Konfiguration des One Identity Manager. Das Programm bietet einen Überblick über das gesamte Datenmodell des One Identity Manager. Es ermöglicht die Konfiguration globaler Systemeinstellungen, wie beispielsweise Sprachen oder Konfigurationsparametern sowie die Anpassung der Benutzeroberfläche der unterschiedlichen Administrationswerkzeuge. Mit dem Designer können Sie die Rechtestruktur für die verschiedenen administrativen Aufgaben der einzelnen Anwender und Anwendergruppen festlegen. Eine weitere zentrale Aufgabe ist die Definition von Arbeitsabläufen zur technischen Abbildung der Administrationsprozesse in einem Unternehmen. Der Designer stellt für die Systemkonfiguration des One Identity Manager verschiedene Editoren zur Verfügung. Funktionsumfang und Arbeitsweise der Editoren sind abgestimmt auf die unterschiedlichen Konfigurationsanforderungen. Der Web Designer ist das Werkzeug zur Konfiguration und Erweiterung des Web Portals. Er stellt Funktionen zur Verfügung, mit denen die Arbeitsabläufe des Web Portals angepasst und neue Arbeitsabläufe entwickelt werden. Der Web Installer dient zur vereinfachten Installation und Konfiguration der Webfrontends, die mit dem Web Designer erstellt wurden. Mit dem Programm Data Import bietet der One Identity Manager einen einfache Möglichkeit für den Datenimport aus anderen Systemen. Nutzen Sie das Programm, um Daten betrieblicher Ressourcen aus externen Quellen in Ihre Datenbank zu importieren. Das Programm unterstützt Importe aus Dateien und direkte Importe aus anderen Datenbanksystemen. Datenimporte können sofort ausgeführt werden. Zusätzlich werden Importskripte erzeugt, mit denen Datenimporte über kundenspezifische Prozesse ausführbar sind. Die Importdefinition wird gespeichert und kann bei weiteren Datenimporten genutzt werden. Unter Umständen ist es notwendig, Informationen verschlüsselt in der Datenbank abzulegen. Die Verschlüsselung erfolgt mit dem Programm Crypto Configuration. Das Programm erzeugt eine Schlüsseldatei und konvertiert die Inhalte der betroffenen Datenbankspalten. Die Schlüsselinformationen werden in der Datenbank abgelegt. 13

14 Werkzeug Database Compiler Kurzbeschreibung Nach Änderungen von Konfigurationsdaten müssen Sie die One Identity Manager- Datenbank kompilieren. Nach dem Import eines Migrationspaketes oder eines kompletten Kundenkonfigurationspaketes wird die Kompilierung der Datenbank aus dem Configuration Wizard oder dem Database Transporter heraus sofort gestartet. Nach dem Import von Hotfixpaketen oder eingeschränkten Kundenkonfigurationspaketen sowie nach Änderungen von Prozessen, Skripten, Bildungsvorschriften, Objektdefinitionen, Methodendefinitionen und präprozessorrelevanten Konfigurationsparametern wird der Database Compiler zur Kompilierung der One Identity Manager-Datenbank eingesetzt. Report Editor Schema Extension System Debugger Database Transporter HistoryDB Manager Job Service Configuration License Meter Software Loader Mit dem Report Editor können Sie Informationen über die One Identity Manager-Objekte in Reporten zusammenzustellen. Sie können diese Daten gruppieren, aggregieren und grafisch darstellen. Bei der Migration werden bereits von uns definierte Reporte mitgeliefert. Mit dem Report Editor können Sie aber auch eigene Reporte erstellen. Schema Extension wird zur Erweiterung des bestehenden Anwendungsdatenmodells einer One Identity Manager-Datenbank um kundenspezifische Tabellen und Spalten eingesetzt. Mit der im One Identity Manager verwendeten Objekttechnologie ist es möglich, das Anwendungsdatenmodell kundenspezifisch um Spalten und Tabellen auf Datenbankebene zu erweitern, sodass diese Erweiterungen auf der Objektebene mit allen Funktionen verfügbar sind. Mit dem System Debugger können Sie Skripte erstellen, starten und debuggen. Die in Ihrer One Identity Manager-Datenbank vorhandenen Skripte werden in eine Visual Studio Skriptbibliothek importiert. Dort können Sie die Skripte lokal bearbeiten und testen. Anschließend entscheiden Sie, ob Ihre Änderungen in die One Identity Manager-Datenbank übernommen werden sollen. Der Database Transporter wird eingesetzt, um Objekte und kundenspezifische Anpassungen sowie kundenspezifische Datenbankprozeduren, Trigger, Funktionen und Views aus einer One Identity Manager-Datenbank (Quellsystem) in eine andere One Identity Manager-Datenbank (Zielsystem) zu transportieren. Historische Daten der One Identity Manager-Datenbank werden in zyklischen Abständen in eine History-Datenbank übertragen. Diese History-Datenbank stellt somit das Veränderungsarchiv dar. Der HistoryDB Manager ist das Werkzeug zur Anzeige der Daten der History-Datenbank. Nutzen Sie den HistoryDB Manager um den Zugriff auf die Quelldatenbanken einzurichten. Job Service Configuration ist das Werkzeug mit dem die Konfigurationsdatei für den One Identity Manager Service erstellt und angepasst wird. Mit dieser Datei werden der One Identity Manager Service selbst und seine Plugins konfiguriert. Die Konfigurationsdatei ist sowohl für den One Identity Manager Service auf einem Windows Betriebssystem als auch für den Linux -Deamon notwendig. Mit dem Assistenten License Meter führen Sie eine Lizenzvermessung Ihrer One Identity Manager-Datenbank durch. Der Assistent erstellt einen Bericht mit den Lizenz-relevanten Informationen. Mit dem Software Loader werden neue oder geänderte Dateien, beispielsweise kundenspezifische Formulararchive, in die One Identity Manager-Datenbank geladen um diese über die Mechanismen der automatischen Softwareaktualisierung an die Arbeitsstationen und Jobserver eines One Identity Manager-Netzwerkes zu verteilen. 14

15 Welche Komponenten und Frontends arbeiten mit einem Anwendungsserver? Der nachfolgenden Liste entnehmen Sie, welche der Komponenten des One Identity Manager gegen einen Anwendungsserver arbeiten können. Einige Frontends arbeiten nur mit eingeschränkter Funktionalität gegen einen Anwendungsserver. Tabelle 3: One Identity Manager Komponenten und Anwendungsserver Komponente Verbindung über Anwendungsserver möglich? Einschränkungen Launchpad Ja Einige der Anwendungen, die aus dem Launchpad gestartet werden, benötigen eine direkte Verbindung zur Datenbank. Web Portal Ja Manager Ja Die Konsistenzprüfung wird nicht unterstützt. Die Simulation der Complianceregeln nicht unterstützt. Einige Formulare werden nicht unterstützt. Manager Webanwendung Synchronization Editor Analyzer Job Queue Info Configuration Wizard Designer Web Designer Data Import Crypto Configuration Database Compiler Ja Ja Ja Nein Nein Nein Nein Ja Nein Nein Einige Formulare werden nicht unterstützt. Die Synchronisation erfordert eine direkte Datenbankverbindung. Report Editor Ja Testen von SQL Abfragen wird nicht unterstützt. Schema Extension System Debugger Nein Ja 15

16 Komponente Database Transporter HistoryDB Manager License Meter Software Loader SPML Webanwendung SOAP Webanwendung One Identity Manager Service Verbindung über Anwendungsserver möglich? Nein Ja Ja Ja Nein Nein Nein Einschränkungen 16

17 2 Installationsvoraussetzungen Die nachfolgend beschriebenen Installationsvoraussetzungen stellen die Mindestanforderungen zur Inbetriebnahme und uneingeschränkten Nutzung des One Identity Manager dar. HINWEIS: Sollten für den Einsatz einzelner One Identity Manager-Module zusätzliche Systemanforderungen und Berechtigungen erforderlich sein, so werden diese in den entsprechenden Handbüchern aufgeführt. Detaillierte Informationen zum Thema Systemanforderungen für den Datenbankserver auf Seite 17 Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 18 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 19 Systemanforderungen für die administrative Arbeitsstation auf Seite 21 Systemanforderungen für den Dienstserver auf Seite 22 Systemanforderungen für den Webserver auf Seite 23 Systemanforderungen für den Anwendungsserver auf Seite 25 Benutzer und Berechtigungen für den One Identity Manager auf Seite 26 Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27 Berechtigungen für Oracle Datenbankbenutzer auf Seite 29 Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 30 Kommunikationsports und Firewall Konfiguration auf Seite 31 Systemanforderungen für den Datenbankserver One Identity Manager unterstützt folgende Datenbanksysteme: SQL Server Oracle Database Für die Installation der Datenbank sind auf einem Server folgende Systemvoraussetzungen zu gewährleisten. 17

18 Tabelle 4: Minimale Systemanforderungen - Datenbankserver Prozessor Arbeitsspeicher Freier Festplattenspeicher Betriebssystem 16 physische Kerne mit 2.5 GHz+ Taktung 16 GB+ RAM 100 GB Windows Betriebssysteme Unterstützt werden die Versionen: Windows Server 2008 (nicht-itanium 64 bit) ab Service Pack 2 Windows Server 2008 R2 (nicht-itanium 64 bit) ab Service Pack 1 Windows Server 2012 Windows Server 2012 R2 UNIX und Linux Betriebssysteme Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für Oracle Datenbanken. Verwandte Themen Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank auf Seite 18 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank auf Seite 19 Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27 Berechtigungen für Oracle Datenbankbenutzer auf Seite 29 Weitere Systemanforderungen bei Einsatz einer SQL Server Datenbank Wenn Sie eine SQL Server Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit, der die folgenden Mindestanforderungen erfüllt. Tabelle 5: Zusätzliche Systemanforderungen bei Einsatz einer SQL Server Datenbank Software SQL Server Unterstützt werden die Versionen: SQL Server 2012 Standard Edition, Service Pack 1 oder höher SQL Server 2014 Standard Edition, Service Pack 1 oder höher HINWEIS: Aus Performancegründen wird der Einsatz der SQL Server Enterprise Edition empfohlen. SQL Server Management Studio (empfohlen) 18

19 Kompatibilitätsgrad für Datenbanken Standard- Sortierschema SQL Server 2012 (110) Case-Insensitiv Empfehlung: SQL_Latin1_General_CP1_CI_AS HINWEIS: Das Sortierschema "SQL_Latin1_General_CP1_CI_AS" wird bei der Installation des One Identity Manager Schemas erwartet und gegebenenfalls für die Datenbank eingestellt. Standardsprache für Benutzer des Datenbankservers Sprache für Datenbankbenutzer Zusätzliche Anforderungen English English Starten Sie den SQL Server Agent in der Dienstverwaltung des SQL Server. Sie können sich am SQL Server Agent sowohl mit einem Domänen-Benutzerkonto (Domain User) mit Windows Authentifizierung anmelden als auch mit einem lokalen Systemkonto. HINWEIS: Es kann zu einer schlechten Performance bei der Verwendung von Tabellenvariablen kommen. Hierzu gibt es einen Fix von Microsoft. Dazu muss zusätzlich das Ablaufverfolgungsflag 2453 gesetzt werden. Sie können dazu in den Serverstartoptionen den Startparameter -T2453 setzen. Weitere Informationen finden Sie unter und Verwandte Themen Systemanforderungen für den Datenbankserver auf Seite 17 Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27 Weitere Systemanforderungen bei Einsatz einer Oracle Datenbank Wenn Sie eine Oracle Datenbank einsetzen, stellen Sie für die Installation des One Identity Manager Schemas einen installierten und konfigurierten Datenbankserver bereit, der folgende Mindestanforderungen erfüllt. HINWEIS: Um die einwandfreie Funktion des One Identity Manager sicherzustellen, wird ein Datenbankserver erwartet, dessen Konfigurationseinstellungen einer Standardinstallation entsprechen. 19

20 Tabelle 6: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank Software Oracle Database Unterstützt werden die Versionen: Oracle Database 12c Standard Edition oder Enterprise Edition ab Version Das Patch Level unterscheidet sich je nach Systemplattform. HINWEIS: Es wird dringend empfohlen den Patch für Oracle Bug (Doc ID ) anzuwenden. Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32- Bit-Version benötigt. HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle Real Application Clusters sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. Zeichensatz Unicode (AL32UTF8) und Option Oracle Text Parameter NLS_LENGHT_SEMANTICS mit dem Wert "CHAR" Tablespace Es muss ein initialer Tablespace eingerichtet sein. Der Tablespace muss mindestens eine Block-Size von 8 kbyte haben. Hinweise zum Einsatz von Oracle Real Application Clusters Unterstützt wird nur ein Cluster dessen Knoten den gleichen Versionsstand (Patch Level) haben. Der Zugriff auf die Oracle Datenbank sollte über den Oracle Client erfolgen. One Identity Manager Service, Administrationswerkzeuge und Konfigurationswerkzeuge und Web Frontends werden nur unter Windows Betriebssystemen unterstützt. Verwandte Themen Systemanforderungen für den Datenbankserver auf Seite 17 Berechtigungen für Oracle Datenbankbenutzer auf Seite 29 20

21 Systemanforderungen für die administrative Arbeitsstation Zur Darstellung und Bearbeitung von Daten werden die Administrationswerkzeuge und Konfigurationswerkzeuge des One Identity Manager auf einer administrativen Arbeitsstation installiert. Zur Installation der Werkzeuge sind auf der administrativen Arbeitsstation die folgenden Systemvoraussetzungen zu gewährleisten. Tabelle 7: Minimale Systemanforderungen - Administrative Arbeitsstation Prozessor Arbeitsspeicher Freier Festplattenspeicher Betriebssystem 4 physische Kerne mit 2 GHz+ Taktung 4 GB+ RAM 1 GB Windows Betriebssysteme Unterstützt werden die Versionen: Windows Vista mit dem aktuellen Service Pack Windows 7 (32 bit oder nicht-itanium 64 bit) mit dem aktuellen Service Pack Windows 8 (32 bit oder 64 bit) mit dem aktuellen Service Pack Windows 8.1 (32 bit oder 64 bit) mit dem aktuellen Service Pack Zusätzliche Software Microsoft.NET Framework Version Windows Installer (MSI - Dienst) Unterstützte Browserversionen Internet Explorer 9.0 oder höher Mozilla Firefox (Release Channel) Tabelle 8: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank Zusätzliche Software Windows Betriebssysteme Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32- Bit-Version benötigt. HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle Real Application Clusters sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. 21

22 Systemanforderungen für den Dienstserver Der Serverdienst One Identity Manager Service sorgt für die Verbreitung der in der One Identity Manager- Datenbank verwalteten Informationen im Netzwerk. Der One Identity Manager Service übernimmt die Datensynchronisation zwischen Datenbank und den angebundenen Zielsystemen sowie die Durchführung von Aktionen auf Datenbankebene und Dateiebene. Zur Installation des One Identity Manager Service sind auf einem Server folgende Systemvoraussetzungen zu gewährleisten. Tabelle 9: Minimale Systemanforderungen - Dienstserver Prozessor Arbeitsspeicher Freier Festplattenspeicher Betriebssystem 8 physische Kerne mit 2.5 GHz+ Taktung 16 GB RAM 40 GB Windows Betriebssysteme Unterstützt werden die Versionen: Windows Server 2008 (nicht-itanium 64 bit) ab Service Pack 2 Windows Server 2008 R2 (nicht-itanium 64 bit) ab Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Linux Betriebssysteme SUSE Enterprise Server 10 Zusätzliche Software Windows Betriebssysteme Microsoft.NET Framework Version Windows Installer (MSI - Dienst) Linux Betriebssysteme Mono oder neuer 22

23 Tabelle 10: Zusätzliche Systemanforderungen bei Einsatz einer Oracle Datenbank Zusätzliche Software Windows Betriebssysteme Oracle Client Tools Die Version sollte mindestens der Version der eingesetzten Datenbank entsprechen. Beachten Sie hierbei die Empfehlungen von Oracle bezüglich der einzusetzenden Client Tools. In einer 64-Bit-Umgebung werden die Oracle Clients in der 64-Bit-Version und der 32-Bit-Version benötigt. Linux Betriebssysteme HINWEIS: Wenn eine Direktverbindung zur Oracle Datenbank per TCP/IP möglich ist, kann auf den Oracle Client verzichtet werden. Der im One Identity Manager integrierte Oracle Konnektor stellt die Verbindung zur Datenbank her. HINWEIS: Bei Einsatz von Oracle Real Application Clusters sollte der Zugriff auf die Oracle Datenbank über den Oracle Client erfolgen. Bei Verwendung eines Oracle Datenbanksystem ist der direkte Zugriff auf die Datenbank per TCP/IP erforderlich. Eine Verbindung zu Oracle Real Application Clusters wird unter Linux Betriebssystemen nicht unterstützt. Verwandte Themen Benutzer und Berechtigungen für den One Identity Manager auf Seite 26 Systemanforderungen für den Webserver Zur Installation des Web Portals sind auf einem Webserver folgende Systemvoraussetzungen zu gewährleisten. Tabelle 11: Systemanforderungen - Webserver Prozessor Arbeitsspeicher Freier Festplattenspeicher 4 physische Kerne mit 1.65 GHz+Taktung 4 GB RAM 40 GB 23

24 Betriebssystem Windows Betriebssysteme Unterstützt werden die Versionen: Windows Server 2008 (nicht-itanium 64 bit) ab Service Pack 2 Windows Server 2008 R2 (nicht-itanium 64 bit) ab Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Linux Betriebssysteme Beachten Sie die Minimalanforderungen des Betriebssystemherstellers für Apache HTTP Server. Zusätzliche Software Windows Betriebssystem Microsoft.NET Framework Version Windows Installer (MSI - Dienst) Microsoft Internet Information Service 7, 7.5, 8 oder 8.5 mit ASP.NET und den Role Services: Linux Betriebssysteme NTP - Client Web Server > Common HTTP Features > Static Content Web Server > Common HTTP Features > Default Document Web Server > Application Development > ASP.NET Web Server > Application Development >.NET Extensibility Web Server > Application Development > ISAPI Extensions Web Server > Application Development > ISAPI Filters Web Server > Security > Basic Authentication Web Server > Security > Windows Authentication Web Server > Performance > Static Content Compression Web Server > Performance > Dynamic Content Compression Mono oder höher Apache HTTP Server 2.0 oder 2.2 mit folgenden Modulen: mod_mono rewrite ssl (optional) 24

25 Systemanforderungen für den Anwendungsserver Der Anwendungsserver stellt einen Verbindungspool für den Zugriff auf die Datenbank zu Verfügung und hält die Geschäftslogik. Zur Installation des One Identity Manager auf einem Anwendungsserver sind die folgenden Systemvoraussetzungen zu gewährleisten. Tabelle 12: Systemanforderungen - Anwendungsserver Prozessor Arbeitsspeicher Freier Festplattenspeicher Betriebssystem 8 physische Kerne mit 2.5 GHz+ Taktung 8 GB RAM 40 GB Windows Betriebssysteme Unterstützt werden die Versionen: Windows Server 2008 (nicht-itanium 64 bit) ab Service Pack 2 Windows Server 2008 R2 (nicht-itanium 64 bit) ab Service Pack 1 Windows Server 2012 Windows Server 2012 R2 Zusätzliche Software Windows Betriebssystem Microsoft.NET Framework Version Windows Installer (MSI - Dienst) Microsoft Internet Information Service 7, 7.5, 8 oder 8.5 mit ASP.NET und den Role Services: Web Server > Common HTTP Features > Static Content Web Server > Common HTTP Features > Default Document Web Server > Application Development > ASP.NET Web Server > Application Development >.NET Extensibility Web Server > Application Development > ISAPI Extensions Web Server > Application Development > ISAPI Filters Web Server > Security > Basic Authentication Web Server > Security > Windows Authentication Web Server > Performance > Static Content Compression Web Server > Performance > Dynamic Content Compression 25

26 Benutzer und Berechtigungen für den One Identity Manager Tabelle 13: Benutzer für den One Identity Manager Benutzer Datenbankbenutzer zur Installation des One Identity Manager Berechtigungen SQL Server : Weitere Informationen finden Sie unter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 29. Datenbankbenutzer für den laufenden Betrieb des One Identity Manager SQL Server : Weitere Informationen finden Sie unter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 29. Datenbankbenutzer für Endbenutzer SQL Server : Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der Datenbankrolle basegroup sein. Oracle: Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 29. Benutzer zur Anmeldung am One Identity Manager Zur Anmeldung an den Administrationswerkzeugen verwendet der One Identity Manager unterschiedliche Authentifizierungsmodule. Die Authentifizierungsmodule ermitteln den anzuwendenden Systembenutzer und laden abhängig von dessen Mitgliedschaften in Rechtegruppen die Benutzeroberfläche und die Bearbeitungsrechte auf Ressourcen der Datenbank. Weitere Informationen finden Sie unter Anhang: One Identity Manager Authentifizierungsmodule auf Seite

27 Benutzer Benutzerkonto für den One Identity Manager Service Berechtigungen Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen (Rechtevergabe, Verzeichnisse und Dateien anlegen und bearbeiten). Das Benutzerkonto muss der Gruppe "Domänen-Benutzer" (Domain Users) angehören. Das Benutzerkonto benötigt das erweiterte Benutzerrecht "Anmelden als Dienst" (Log on as a service). Das Benutzerkonto benötigt Rechte für den internen Webservice. HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben: netsh http add urlacl url= user="nt AUTHORITY\NETWORKSERVICE" Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis. In der Standardinstallation wird der One Identity Manager installiert unter: %ProgramFiles(x86)%\Dell (auf 32-Bit Betriebssystemen) %ProgramFiles%\Dell (auf 64-Bit Betriebssystemen) HINWEIS: Für die Synchronisation des One Identity Manager mit den einzelnen Zielsystemen können weitere zielsystemspezifische Berechtigungen erforderlich sein. Diese Berechtigungen werden in den entsprechenden Handbüchern erläutert. Weitere Informationen finden Sie unter Einrichten der Berechtigung zum Erstellen eines HTTP Server auf Seite 30. Berechtigungen für SQL Server Datenbankbenutzer HINWEIS: Als Standardsprache für Datenbankbenutzer ist "English" auszuwählen. Die Berechtigungen der Datenbankbenutzer können nach zwei Benutzertypen unterschieden werden: Endbenutzer Endbenutzer, die beispielsweise nur mit dem Web Portal arbeiten, müssen nur Mitglied der Datenbankrolle basegroup sein. Administrative Benutzer Administrative Benutzer benötigen die nachfolgend aufgeführten Berechtigungen. Hierbei kann zwischen Berechtigungen für die Installation und Berechtigungen für den laufenden Betrieb unterschieden werden. 27

28 Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden folgende Berechtigungen benötigt. Tabelle 14: Berechtigungen für Datenbankbenutzer unter SQL Server Berechtigung Für Datenbank Benötigt für Installation Benötigt für laufenden Betrieb Benötigt für Serverrolle dbcreator * x - Erzeugen der Datenbank. Serverrolle processadmin Datenbankrolle db_ owner Datenbankrolle basegroup ** One Identity Manager One Identity Manager - x Aktivität von Verbindungen prüfen und gegebenenfalls schließen der Verbindung. x x Erzeugen der Datenbank. Betreiben der Datenbank. - x Interne Berechtigungsrolle für Datenbankobjekte. Berechtigung Execute Master x x Starten des SQL Server Agent. Datenbankrolle SQLAgentUserRole Datenbankrolle db_ Datareader Datenbankrolle SQLAgentOperatorRole msdb - x Ausführen von Datenbankschedules. msdb - x Lesen und Ändern von Datenbankschedules. msdb x x Definieren von Datenbankschedules. Berechtigung Connect tempdb x x Prüfen, ob Einzelbenutzermodus während der Verbindung erforderlich ist. *) Die Berechtigung ist nur erforderlich, wenn die Datenbank durch den Configuration Wizard erstellt wird. **) Die Datenbankrolle basegroup wird während der initialen Schemainstallation der One Identity Manager- Datenbank standardmäßig angelegt. HINWEIS: Wird das Benutzerkonto des Datenbankbenutzers erst nach der Migration der Datenbank gewechselt, dann muss der neue Datenbankbenutzer nachträglich als Eigentümer der Datenbankschedules eingetragen werden. Ansonsten kommt es zu Fehlermeldungen bei der Ausführung der Datenbankschedules. Hinweise zur Nutzung der integrierten Windows Authentifizierung Die integrierte Windows Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server Anmeldung empfohlen. 28

29 Um die integrierte Windows Authentifizierung einzusetzen Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server Anmeldung ein. Tragen Sie als Standardschema dbo ein. Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu. Weitere Informationen finden Sie unter Tabelle 14 auf Seite 28. Berechtigungen für Oracle Datenbankbenutzer Für die Nutzung der Datenbank sollte ein eigener Datenbankbenutzer eingerichtet werden. Den Datenbankbenutzer können Sie über den Configuration Wizard erzeugen oder manuell erstellen. HINWEIS: Die verwendeten Datenbankbenutzer müssen die Berechtigungen direkt erhalten. Bei der Zuweisung von Berechtigungen über Datenbankrollen kann es bei der Ausführung von Datenbankabfragen, aufgrund von Berechtigungseinschränkungen, zu Oracle Fehlermeldungen kommen. Berechtigungen für Oracle Database Installationen Um die Funktionen des One Identity Manager in vollem Umfang zu nutzen, werden für Oracle Database Installationen die folgenden Berechtigungen benötigt. Tabelle 15: Berechtigungen für Datenbankbenutzer Berechtigung GRANT ALTER SESSION TO <user> GRANT ANALYZE ANY TO <user> GRANT CONNECT TO <user> GRANT CREATE JOB TO <user> GRANT CREATE PROCEDURE TO <user> GRANT CREATE SEQUENCE TO <user> Benötigt Für Einstellungen der eigenen Benutzersitzung ändern. Die Berechtigung wird zum Ausführen der Prozedur DBMS_STATS.FLUSH_DATABASE_ MONITORING_INFO während der Statistikberechnungen verwendet. Sollen keine Statistiken ermittelt werden, kann auf diese Berechtigung verzichtet werden. Datenbank verbinden. Datenbankschedules erzeugen. Schemaobjekte erzeugen. Schemaobjekte erzeugen. 29

30 Berechtigung GRANT CREATE SYNONYM TO <user> GRANT CREATE TABLE TO <user> GRANT CREATE TRIGGER TO <user> GRANT CREATE TYPE TO <user> GRANT CREATE VIEW TO <user> GRANT EXCEUTE ON DBMS_PIPE TO <user> GRANT EXECUTE ON DBMS_CRYPTO TO <user> GRANT EXECUTE ON DBMS_LOCK TO <user> GRANT SELECT ON GV_ $OSSTAT TO <user> GRANT SELECT ON GV_ $SESSION TO <user> Benötigt Für Schemaobjekte erzeugen. Schemaobjekte erzeugen. Schemaobjekte erzeugen. Schemaobjekte erzeugen. Schemaobjekte erzeugen. Kommunikation der einzelnen Verarbeitungsschritte mit der Hauptroutine des DBQueue Prozessor im Parallelbetrieb. Zugriff auf Paket für allgemeine Verschlüsselungsroutinen. Nutzung der Sleep-Methode bei der Weiterschaltung der Verarbeitung im DBQueue Prozessor, zum Beispiel zum Warten auf Beenden einzelner Verarbeitungsschritte. Informationen zu aktuellen Serverversion auslesen. Informationen der aktuellen Sitzungen auslesen. Diese Berechtigung wird unter anderem dazu benötigt, die Datenbank in der Einzelbenutzermodus zu schalten. Einrichten der Berechtigung zum Erstellen eines HTTP Server Die Anzeige der Protokolldateien des One Identity Manager Service kann über einen HTTP Server erfolgen ( 30

31 Damit ein Benutzer einen HTTP-Server öffnen kann, muss er dazu berechtigt werden. Dazu muss der Administrator dem Benutzer die URL Genehmigung erteilen. Dies kann über folgenden Kommandozeilenaufruf erfolgen: netsh http add urlacl url= user=<domäne>\<benutzername> Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so müssen explizit Rechte für den internen Webservice vergeben werden. Dies kann über folgenden Kommandozeilenaufruf erfolgen: netsh http add urlacl url= user="nt AUTHORITY\NETWORKSERVICE" Das Ergebnis kann gegebenenfalls über folgenden Kommandozeilenaufruf überprüft werden: netsh http show urlacl Kommunikationsports und Firewall Konfiguration Der One Identity Manager besteht aus verschiedenen Komponenten die in verschiedenen Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie verschiedene Ports öffnen. Die folgenden Basisports werden benötigt. Tabelle 16: Kommunikationsports Standardport SQL Server : 1433 Beschreibung Port zur Kommunikation mit der Datenbank. Oracle: Port für das HTTP- basierte Protokoll des One Identity Manager Service Port für die Zugriffstests innerhalb des Synchronization Editor. 80 Port für den Zugriff auf die Webanwendungen. 88 Kerberos-Authentifizierungssystem. (Wenn Kerberos Authentifizierung eingesetzt wird). 135 Microsoft EPMAP (End Point Mapper) (auch DCE/RPC Locator Service) 137 NetBIOS Name Service 139 NetBIOS Session Service Für die Verbindung zu den Zielsystemen können weitere Ports erforderlich sein. Diese Ports werden in den entsprechenden Handbüchern aufgeführt. 31

32 Installieren des One Identity Manager 3 Um den One Identity Manager zu installieren, sind folgende Schritte erforderlich. 1. Installieren der One Identity Manager-Komponenten auf der administrativen Arbeitsstation, auf welcher die Schemainstallation der One Identity Manager-Datenbank gestartet wird. 2. Installieren des One Identity Manager Schemas mit dem Configuration Wizard. 3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf die Datenbank. Dieser Schritt wird während der Schemainstallation durch den Configuration Wizard ausgeführt. Zusätzlich können folgende Installationen ausgeführt werden. Installieren weiterer Arbeitsstationen. Installieren weiterer Server mit One Identity Manager Service. Installieren eines Anwendungsservers. Installieren des Web Portals auf einem Webserver. Installieren der Manager Webanwendung auf einem Webserver. Installieren weiterer Webservices wie SPML Webservice oder SOAP Webservice. Den One Identity Manager können Sie auf folgenden Arten installieren und aktualisieren. Die Erstinstallation der One Identity Manager-Komponenten auf den Arbeitsstationen nehmen Sie mit dem Installationsassistenten vor. Die Erstinstallation des One Identity Manager Service auf den Servern nehmen Sie mit dem Installationsassistenten vor. Einzelne Server können Sie remote installieren. Zur Aktualisierung vorhandener Installationen setzen Sie die automatische Softwareaktualisierung ein. Für die manuelle Aktualisierung einzelner Arbeitsstationen und einzelner Server nutzen Sie den Installationsassistenten. Detaillierte Informationen zum Thema Bevor Sie die Installation des One Identity Manager starten auf Seite 33 Installieren der One Identity Manager-Komponenten auf Seite 33 Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 37 Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 56 Installieren eines One Identity Manager Anwendungsservers auf Seite 78 32

33 Installieren des Web Portals auf Seite 85 Installieren und Aktualisieren der Manager Webanwendung auf Seite 97 Bevor Sie die Installation des One Identity Manager starten Stellen Sie vor der Installation des One Identity Manager sicher, dass die minimalen Hardware- und Softwarevoraussetzungen auf den Arbeitsstationen und den Servern gewährleistet sind. Beenden Sie alle Programm- und Dienstkomponenten, da sonst die Installation nicht beginnen kann. WICHTIG: Die Aktualisierung von One Identity Manager-Vorgängerversionen auf die aktuelle Version kann nur über die Deinstallation der Vorgängerversion durchgeführt werden. Dies ist eine Folge der Neuerungen im One Identity Manager. So haben sich zum Beispiel Dateiformate, Schnittstellen und Registrierungsstrukturen geändert. Deinstallieren Sie in diesem Fall alle Programm- und Dienstkomponenten der Vorgängerversion von den Arbeitsstationen und den Servern bevor Sie mit der Installation beginnen. Detaillierte Informationen zum Thema Installationsvoraussetzungen auf Seite 17 Installieren der One Identity Manager- Komponenten Bei der Installation der One Identity Manager-Komponenten auf Arbeitsstationen und Servern werden Sie durch einen Installationsassistenten unterstützt. HINWEIS: Starten Sie die Installation der Administrationswerkzeuge und Konfigurationswerkzeuge nach Möglichkeit immer auf einer administrativen Arbeitsstation. Um die One Identity Manager Komponenten zu installieren 1. Führen Sie die Datei autorun.exe aus dem Basisverzeichnis des One Identity Manager- Installationsmediums aus. 2. Wechseln Sie auf den Tabreiter Installation und wählen Sie die Edition und klicken Sie Installieren. 3. Der Installationsassistent wird gestartet. Auf der Startseite wählen Sie die Sprache für den Installationsassistenten und klicken Sie Weiter. 4. Auf der Seite Einstellungen für die Installation legen Sie die Daten zur Installationsquelle und Installationsziel fest. Wählen Sie unter Installationsquelle das Verzeichnis mit den Installationsdateien. Wählen Sie unter Installationsverzeichnis das Verzeichnis, in das die Dateien des One Identity Manager installiert werden sollen. 33

34 HINWEIS: Um weitere Konfigurationseinstellungen vorzunehmen, klicken Sie auf die Pfeil Schaltfläche neben dem Eingabefeld. Hier können Sie festlegen, ob die Installation auf einem 64 Bit- Betriebssystem oder auf einem 32 Bit-Betriebssystem erfolgt. Für eine Standardinstallation nehmen Sie keine weiteren Konfigurationseinstellungen vor. Wenn die Installationsinformationen über die vorhandene One Identity Manager- Datenbank geladen werden sollen, aktivieren Sie die Option Installationsmodule mit der Datenbank auswählen. HINWEIS: Für Installation der Arbeitsstation, auf der Sie die Installation des One Identity Manager Schemas starten, lassen Sie die Option deaktiviert. Um zusätzliche One Identity Manager Module zur gewählten Edition hinzuzufügen, aktivieren Sie die Option Weitere Module zur gewählten Edition hinzufügen. Klicken Sie Weiter. 5. Auf der Seite Modulauswahl wählen Sie die zusätzlich zu installierenden Module und klicken Sie Weiter. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Weitere Module zur gewählten Edition hinzufügen aktiviert haben. 6. Auf der Seite Datenbank verbinden erfassen Sie die Informationen zur Datenbankverbindung. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie die Option Installationsmodule mit der Datenbank auswählen aktiviert haben. a. Wählen Sie im Bereich "Datenbankverbindung auswählen" die Verbindung. - ODER - Klicken Sie auf Neue Verbindung erstellen, wählen Sie den Systemtyp und erfassen Sie die Verbindungsdaten. Tabelle 17: Verbindungsdaten zur SQL Server Datenbank Eingabe Server Windows Authentifizierung Nutzer Kennwort Datenbank Beschreibung Datenbankserver. Angabe, ob integrierte Windows Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows Authentifizierung unterstützt. Datenbankbenutzer. Kennwort des Datenbankbenutzers. Datenbank. 34

35 Tabelle 18: Verbindungsdaten zur Oracle Datenbank Eingabe Direktzugriff (ohne Oracle Client) Beschreibung Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Port Service Name Benutzer Kennwort Datenquelle Datenbankserver. Port der Oracle Instanz. Service Name. Oracle Datenbankbenutzer. Kennwort des Datenbankbenutzers. TNS Alias Name aus der TNSNames.ora. b. Wählen Sie im Bereich "Authentifizierungsverfahren" das Authentifizierungsmodul und geben Sie die Anmeldedaten für die Systembenutzerkennung ein. Die Anmeldedaten sind abhängig vom gewählten Authentifizierungsmodul. c. Klicken Sie Weiter. 7. Auf der Seite Maschinenrolle zuordnen legen Sie die Maschinenrollen fest und klicken Sie Weiter. HINWEIS: Die zu den One Identity Manager Modulen passenden Maschinenrollen sind aktiviert. Bei Auswahl einer Maschinenrolle werden alle untergeordneten Maschinenrollen mit ausgewählt. Sie können einzelne Maschinenrollen abwählen. 8. Auf der letzten Seite des Installationsassistenten können Sie verschiedene Programme für die weitere Installation starten. Um die Installation des One Identity Manager Schemas auszuführen, starten Sie den Configuration Wizard und folgen Sie den Anweisungen des Configuration Wizard. HINWEIS: Führen Sie diesen Schritt nur auf der Arbeitsstation aus, auf der Sie die Installation des One Identity Manager Schemas starten. Um die Konfiguration des One Identity Manager Service zu erstellen, starten Sie das Programm Job Service Configuration. HINWEIS: Führen Sie diesen Schritt nur auf Servern aus, auf denen Sie den One Identity Manager Service installiert haben. 9. Um den Installationsassistenten zu beenden, klicken Sie Ende. 10. Schließen Sie das Autorun Programm. Der One Identity Manager wird für alle Benutzerkonten auf der Arbeitsstation oder dem Server installiert. In der Standardinstallation wird der One Identity Manager installiert unter: %ProgramFiles(x86)%\Dell(auf 32-Bit Betriebssystemen) %ProgramFiles%\Dell (auf 64-Bit Betriebssystemen) 35

36 Verwandte Themen Bevor Sie die Installation des One Identity Manager starten auf Seite 33 Installationsvoraussetzungen auf Seite 17 Werkzeuge des One Identity Manager auf Seite 10 Installieren der One Identity Manager-Komponenten auf einem Windows Terminalserver auf Seite 36 Installieren und Konfigurieren einer One Identity Manager-Datenbank auf Seite 37 Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 139 Installieren der One Identity Manager-Komponenten auf einem Windows Terminalserver Zur Installation der One Identity Manager-Komponenten auf einem Windows Terminalserver wird vorausgesetzt, dass der Windows Terminalserver vollständig installiert und konfiguriert wurde. Dies schließt insbesondere das Profilhandling sowie die Berechtigungen zur Benutzung des Windows Terminalservers mit ein. HINWEIS: Beachten Sie, dass in einer Active Directory Domäne auch der Benutzer selbst das Recht haben muss, den Windows Terminalserver benutzen zu dürfen. Um die One Identity Manager Komponenten auf einem Windows Terminalserver zu installieren 1. Melden Sie sich mit einem Benutzerkonto, welches über administrative Rechte auf dem Windows Terminalserver verfügt, an. Es wird die Anmeldung über eine Konsolenverbindung empfohlen. Diese wird über Start/Ausführen: mstsc /Console /v:<servername> aufgerufen, wobei <servername> durch den Servernamen des Terminalservers (ohne führende \ ) ersetzt werden muss. 2. Öffnen Sie eine Kommandozeilenkonsole (CMD.exe) und schalten mit Hilfe des Befehls CHANGE USER /INSTALL den Windows Terminalserver in den Modus zur Softwareinstallation. 3. Starten Sie den One Identity Manager Installationsassistent und installieren die One Identity Manager Komponenten wie beschrieben. 4. Beenden Sie den Modus zur Softwareinstallation auf dem Windows Terminalserver mit dem Befehl CHANGE USER /EXECUTE in der Kommandozeilenkonsole. Nach Abschluss der Installation kann jeder hierzu berechtigte Windows Terminalserver-Benutzer die One Identity Manager-Werkzeuge starten und nutzen. Verwandte Themen Installieren der One Identity Manager-Komponenten auf Seite 33 Weitere Informationen zur Softwareinstallation auf Windows Terminalservern entnehmen Sie der Dokumentation des eingesetzten Windows Betriebssystems. 36

37 Installieren und Konfigurieren einer One Identity Manager-Datenbank Auf der Arbeitsstation, von welcher die Einrichtung einer One Identity Manager-Datenbank gestartet werden soll, müssen die folgenden Voraussetzungen erfüllt sein: Installation des Programms Configuration Wizard Die Installation des Programms erfolgt mit dem Installationsassistenten. Wählen Sie dazu im Installationsassistenten die Maschinenrolle "Workstation" und das Installationspaket "Configuration". Zugriff auf die Installationsquellen HINWEIS: Wenn Sie die Installationsquellen auf ein Ablageverzeichnis kopieren, müssen Sie sicherstellen, dass die relative Verzeichnisstruktur erhalten bleibt. Mit dem Programm Configuration Wizard richten Sie die Datenbank auf einem Datenbankserver für die Verwendung in der One Identity Manager-Umgebung ein. Als Datenbanksysteme kommen SQL Server oder Oracle Database zum Einsatz. Die Durchführung der Installation und Konfiguration unter SQL Server und Oracle Database ist ähnlich. Der Configuration Wizard führt die folgenden Schritte aus. 1. Installieren des One Identity Manager Schemas in eine Datenbank. Das One Identity Manager Schema kann in eine bereits bestehende Datenbank installiert werden. Alternativ kann der Configuration Wizard eine neue Datenbank erstellen und das One Identity Manager Schema installieren. 2. Erstellen der administrativen Systembenutzer und Rechtegruppen. 3. Installieren und Konfigurieren des One Identity Manager Service für den direkten Zugriff auf die Datenbank. HINWEIS: Abhängig von der gewählten Edition und den One Identity Manager Modulen können weitere Schritte im Configuration Wizard ausgeführt werden. Nach der Schemainstallation sind weitere Schritte zur Konfiguration der One Identity Manager-Datenbank erforderlich. Konfigurieren Sie die Datenbank für eine Testumgebung, Entwicklungsumgebung oder den produktiven Einsatz. Für die Inbetriebnahme der einzelner Funktionen im One Identity Manager können weitere Systemeinstellungen erforderlich sein. Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an. Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten Konfigurationsparameter. Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank abzulegen. Nutzen Sie dazu das Programm "Crypto Configuration". 37

38 Detaillierte Informationen zum Thema Starten des Configuration Wizard auf Seite 38 Erstellen einer neuen SQL Server Datenbank auf Seite 38 Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 41 Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 42 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 44 Erfassen der Systeminformationen auf Seite 45 Verarbeiten der Datenbank auf Seite 46 Installieren des One Identity Manager Service für die Datenbank auf Seite 47 Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung auf Seite 49 Verschlüsseln von Datenbankinformationen auf Seite 50 Verwandte Themen Systemanforderungen für den Datenbankserver auf Seite 17 Installieren der One Identity Manager-Komponenten auf Seite 33 Starten des Configuration Wizard WICHTIG: Starten Sie den Configuration Wizard immer auf einer administrativen Arbeitsstation! Wenn Sie den Configuration Wizard auf einem Server starten, auf dem Sie auch einen One Identity Manager Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines Dienstservers" für den lokalen Server im Configuration Wizard. Um den Configuration Wizard direkt aus dem Installationsassistenten zu starten Starten Sie den Configuration Wizard auf der letzten Seite des Installationsassistenten. Um den Configuration Wizard aus dem Startmenü zu starten Wählen Sie Start Dell One Identity Manager Configuration Configuration Wizard. Verwandte Themen Installieren der One Identity Manager-Komponenten auf Seite 33 Erstellen einer neuen SQL Server Datenbank HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard eine neue Datenbank erstellen möchten, in die Sie das One Identity Manager Schema installieren. Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity Manager- Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL Server Datenbankbenutzer auf Seite

39 Um eine neue Datenbank im Configuration Wizard zu erstellen 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren und klicken Sie Weiter. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server. b. Erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 19: Verbindungsdaten Eingabe Server Beschreibung Datenbankserver. Um einen Datenbankserver auszuwählen Tragen Sie den Servernamen ein. -ODER- Wählen Sie einen Server in der Liste. Windows Authentifizierung Nutzer Kennwort Angabe, ob integrierte Windows Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows Authentifizierung unterstützt. Datenbankbenutzer. Kennwort des Datenbankbenutzers. HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den korrespondierenden Datenbankeintrag im One Identity Manager übernommen. HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. c. Klicken Sie Weiter. 4. Auf der Seite Datenbank erstellen erfassen Sie die Informationen zur Erstellung einer neuen Datenbank. 39

40 a. Erfassen Sie im Bereich "Datenbankeigenschaften" die folgenden Informationen zur Datenbank. Tabelle 20: Datenbankeigenschaften Eingabe Datenbankname Datenverzeichnis Beschreibung Name der Datenbank. Verzeichnis, in dem die Datendatei erstellt wird. Zur Auswahl stehen: <Standard> <browse> Verzeichnisangabe Standardinstallationsverzeichnis des Datenbankservers. Auswahl eines Verzeichnisses über den Dateibrowser. Verzeichnis, in dem bereits Datendateien installiert sind. Log Verzeichnis Verzeichnis, in dem die Transaktionsprotokolldatei erstellt wird. Zur Auswahl stehen: <Standard> <browse> Verzeichnisangabe Standardinstallationsverzeichnis des Datenbankservers. Auswahl eines Verzeichnisses über den Dateibrowser. Verzeichnis, in dem bereits Transaktionsprotokolldateien installiert sind. Initiale Größe Anfangsgröße der Datenbankdateien. Zur Auswahl stehen: <Standard> <custom> Verschiedene empfohlene Größen Standardvorgabe des Datenbankservers. Freie Eingabe. Abhängig von der Anzahl der Personen, die verwaltet werden. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. c. Klicken Sie Weiter. 5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie den Configuration Wizard direkt gestartet haben. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. Klicken Sie Weiter. 6. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der Systeminformationen auf Seite

41 Verwandte Themen Starten des Configuration Wizard auf Seite 38 Verwenden einer bestehenden leeren SQL Server Datenbank auf Seite 41 Anhang: Einstellungen für eine neue SQL Server Datenbank auf Seite 140 Verwenden einer bestehenden leeren SQL Server Datenbank HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity Manager Schema in eine bestehende Datenbank installieren möchten. Es muss ein Datenbankbenutzer mit den Berechtigungen zur Installation einer One Identity Manager- Datenbank zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für SQL Server Datenbankbenutzer auf Seite 27. Es muss eine Datenbank mit mindestens folgenden Einstellungen zur Verfügung gestellt werden: Sortierschema: SQL_Latin1_General_CP1_CI_AS Kompatibilitätsgrad: SQL Server 2012 (110) Um eine bestehende leere Datenbank im Configuration Wizard zu verwenden 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren und klicken Sie Weiter. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem SQL Server. b. Aktivieren Sie die Option Erweitert. c. Aktivieren Sie die Option Eine bereits existierende leere Datenbank verwenden. d. Erfassen Sie die Verbindungsdaten zum Datenbankserver. Tabelle 21: Verbindungsdaten zur SQL Server Datenbank Eingabe Server Windows Authentifizierung Nutzer Kennwort Datenbank Beschreibung Datenbankserver. Angabe, ob integrierte Windows Authentifizierung verwendet wird. Die Verwendung dieser Authentifizierung wird nicht empfohlen. Sollten Sie dieses Verfahren dennoch einsetzen, stellen Sie sicher, dass Ihre Umgebung Windows Authentifizierung unterstützt. Datenbankbenutzer. Kennwort des Datenbankbenutzers. Datenbank. 41

42 HINWEIS: Die Verbindungsdaten werden bei der initialen Schemainstallation in den korrespondierenden Datenbankeintrag im One Identity Manager übernommen. HINWEIS: Über die Option Erweitert können Sie weitere Konfigurationseinstellungen für die Datenbankverbindung vornehmen. e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. f. Klicken Sie Weiter. 4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. Wenn Sie im Installationsassistenten bereits eine Edition ausgewählt haben, sind die entsprechenden Konfigurationsmodule aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. Klicken Sie Weiter. 5. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der Systeminformationen auf Seite 45. Verwandte Themen Starten des Configuration Wizard auf Seite 38 Erstellen einer neuen SQL Server Datenbank auf Seite 38 Erstellen eines neuen Oracle Datenbankbenutzers HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard einen neuen Datenbankbenutzer erstellen möchten, für den Sie das One Identity Manager Schema installieren. Mit dem Configuration Wizard können Sie einen neuen Datenbankbenutzer auf einem Datenbankserver erstellen. Für diesen Datenbankbenutzer wird während der Schemainstallation das Schema erstellt. HINWEIS: Vor der Erstellung eines neuen Datenbankbenutzers muss ein initialer Tablespace auf dem Datenbankserver vorhanden sein. Der Tablespace muss mindestens eine Block-Size von 8 kbyte haben. Um einen neuen Datenbankbenutzer zu erstellen 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren und klicken Sie Weiter. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. 42

43 a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database. b. Erfassen Sie die Verbindungsdaten zur Oracle Instanz. Tabelle 22: Verbindungsdaten Eingabe Server Port Service Name Nutzer Kennwort Beschreibung Datenbankserver. Port der Oracle Instanz. Service Name. Oracle Benutzer mit SYSDBA-Rechten. Kennwort des Benutzers. c. Klicken Sie Weiter. 4. Auf der Seite Oracle Benutzer anlegen erfassen Sie die Informationen zum Datenbankbenutzer. a. Erfassen Sie die Eigenschaften des Oracle Datenbankbenutzers. Tabelle 23: Oracle Benutzer Eigenschaften Eingabe Benutzername Kennwort Kennwortwiederholung Tablespace Temp. Tablespace Beschreibung Datenbankbenutzer, für den das Schema erstellt werden soll. Dieser Datenbankbenutzer wird für die anschließende Migration verwendet. Kennwort des Datenbankbenutzers. Kennwort des Datenbankbenutzers. Tablespace, in den das Schema erstellt werden soll. Temporärer Tablespace, auf den zugegriffen werden soll. b. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. c. Klicken Sie Weiter. Der Configuration Wizard erstellt den Datenbankbenutzer mit den benötigten Berechtigungen. 5. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. HINWEIS: Diese Seite wird nur angezeigt, wenn Sie den Configuration Wizard direkt gestartet haben. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule aus. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. Klicken Sie Weiter. 6. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der Systeminformationen auf Seite

44 Verwandte Themen Starten des Configuration Wizard auf Seite 38 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers auf Seite 44 Berechtigungen für Oracle Datenbankbenutzer auf Seite 29 Verwenden eines bestehenden leeren Oracle Datenbankbenutzers HINWEIS: Führen Sie diese Schritte aus, wenn Sie mit dem Configuration Wizard das One Identity Manager Schema für einen bestehenden Datenbankbenutzer installieren möchten. Es muss ein Datenbankbenutzer mit erforderlichen Berechtigungen zur Verfügung gestellt werden. Weitere Informationen finden Sie unter Berechtigungen für Oracle Datenbankbenutzer auf Seite 29. Um einen bestehenden leeren Datenbankbenutzer im Configuration Wizard zu verwenden 1. Starten Sie den Configuration Wizard. 2. Auf der Startseite des Configuration Wizard wählen Sie die Option Neue Datenbank erstellen und installieren und klicken Sie Weiter. 3. Auf der Seite Administrative Datenbankverbindung herstellen erfassen Sie die Informationen zur Anmeldung am Datenbankserver. a. Wählen Sie unter Verbindungsdaten das Datenbanksystem Oracle Database. b. Aktivieren Sie die Option Erweitert. c. Aktivieren Sie die Option Einen bereits existierenden leeren Oracle Benutzer verwenden. d. Erfassen Sie die Verbindungsdaten zur Oracle Instanz. Tabelle 24: Verbindungsdaten zur Oracle Datenbank Eingabe Direktzugriff (ohne Oracle Client) Beschreibung Für den direkten Zugriff aktivieren Sie die Option. Für den Zugriff über Oracle Clients deaktivieren Sie die Option. Die erforderlichen Verbindungsdaten sind abhängig von der Einstellung dieser Option. Server Port Service Name Benutzer Kennwort Datenquelle Datenbankserver. Port der Oracle Instanz. Service Name. Oracle Datenbankbenutzer. Kennwort des Datenbankbenutzers. TNS Alias Name aus der TNSNames.ora. 44

45 e. Wählen Sie im Bereich "Installationsquellen" das Verzeichnis mit den Installationsdateien. f. Klicken Sie Weiter. 4. Auf der Seite Konfigurationsmodule auswählen wählen Sie die Konfigurationsmodule. Wenn Sie im Installationsassistenten bereits eine Edition ausgewählt haben, sind die entsprechenden Konfigurationsmodule aktiviert. Prüfen Sie in diesem Fall die Modulauswahl. Wenn Sie den Configuration Wizard direkt gestartet haben, wählen Sie an dieser Stelle die Konfigurationsmodule. Abhängige Konfigurationsmodule werden automatisch mit ausgewählt. Klicken Sie Weiter. 5. Nächster Schritt: Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen administrative Benutzer. Weitere Informationen finden Sie unter Erfassen der Systeminformationen auf Seite 45. Verwandte Themen Starten des Configuration Wizard auf Seite 38 Erstellen eines neuen Oracle Datenbankbenutzers auf Seite 42 Erfassen der Systeminformationen Für die Authentifizierung am One Identity Manager wird ein Systembenutzer benötigt. Der Systembenutzer "viadmin" ist der Standard-Systembenutzer des One Identity Manager. Dieser Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen genutzt werden. WICHTIG: Der Systembenutzer "viadmin" ist im produktiven Betrieb nicht zu verwenden! Richten Sie einen eigenen Systembenutzer mit entsprechenden Berechtigungen ein. Um Systeminformationen im Configuration Wizard zu erfassen 1. Auf der Seite Systeminformationen erfassen Sie die Kundenformationen und erstellen administrative Benutzer. a. Im Bereich "Kundeninformation "erfassen Sie den vollständiger Name des Unternehmens. b. Im Bereich "Systembenutzer" konfigurieren Sie die administrativen Benutzer. Erfassen Sie das Kennwort und die Kennwortbestätigung für den Systembenutzer viadmin. Erfassen Sie die Bezeichnung, Kennwort und Kennwortwiederholung für kundenspezifische administrative Systembenutzer. Es wird die Bezeichnung "CCCAdmin" für den Systembenutzer vorgeschlagen, die Sie entsprechend ändern können. Erstellen Sie bei Bedarf weitere Systembenutzer. Es werden automatisch die Rechtegruppen "CCCViewPermissions" und "CCCEditPermissions" für den Systembenutzer erstellt. Die Rechtegruppen erhalten alle benötigten Berechtigungen zum Sehen bzw. zum Bearbeiten des One Identity Manager Datenmodells. Erstellen Sie bei Bedarf weitere Rechtegruppen. c. Klicken Sie Weiter. 45

46 2. Nächster Schritt: Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Weitere Informationen finden Sie unter Verarbeiten der Datenbank auf Seite 46. Um kundenspezifische administrative Systembenutzer einzurichten 1. Klicken Sie die Schaltfläche. 2. Erfassen Sie die Bezeichnung, Kennwort und Kennwortwiederholung für den kundenspezifischen administrativen Systembenutzer. Um kundenspezifische Rechtegruppen einzurichten 1. Aktivieren Sie die Option Erweitert. 2. Um weitere Rechtegruppen zu erstellen, klicken Sie die Schaltfläche. 3. Erfassen Sie die Bezeichnung der Rechtegruppe. HINWEIS: Die kundenspezifischen Systembenutzer erhalten alle Berechtigungen des Systembenutzers viadmin und werden in die kundenspezifischen Rechtegruppen aufgenommen. Verarbeiten der Datenbank Um die Verarbeitung der Datenbank im Configuration Wizard auszuführen 1. Auf der Seite Verarbeitung der Datenbank werden die Installationsschritte angezeigt. Die Installation und Konfiguration der Datenbank wird durch den Configuration Wizard automatisch durchgeführt. Der Vorgang kann abhängig von Datenumfang und Systemperformance einige Zeit dauern. Um detaillierte Informationen zu den Verarbeitungsschritten und zum Migrationsprotokoll zu erhalten, aktivieren Sie die Option Erweitert. Nach Abschluss der Verarbeitung, klicken Sie Weiter. 2. Nächster Schritt: Auf der Seite Dienstinstallation installieren und konfigurieren Sie den One Identity Manager Service auf dem Server, der die driekten Anfragen der Datenbank verarbeitet. Weitere Informationen finden Sie unter Installieren des One Identity Manager Service für die Datenbank auf Seite 47. Der Configuration Wizard führt bei der Verarbeitung der Datenbank die folgenden Schritte aus: Schemainstallation Vor der Schemainstallation prüft der Configuration Wizard die Datenbank. Die Fehlermeldungen werden in einem separaten Meldungsfenster ausgegeben. Die Fehler sind manuell zu korrigieren. Erst danach kann die Schemainstallation gestartet werden. Durch die Schemainstallation werden alle benötigten Tabellen, Datentypen, Datenbankprozeduren in die Datenbank eingespielt. Die Datenbankrolle basegroup wird angelegt und dieser Rolle werden volle Rechte auf die Objekte der Datenbank gegeben. Die gewählten Editionen und Konfigurationsmodule werden aktiviert. Während einer Schemainstallation werden Berechnungsaufträge in die Datenbank eingestellt. Diese werden durch den DBQueue Prozessor verarbeitet. 46

47 Bei einer Schemainstallation mit dem Configuration Wizard werden das Migrationsdatum und der Migrationsstand in der Transporthistorie der Datenbank aufgezeichnet. Systemkompilierung Es werden die Skripte, Bildungsregeln und Prozesse in der Datenbank bekannt gegeben. Es wird das Authentifizierungsmodul Systembenutzer mit dem Systembenutzer viadmin zum Kompilieren verwendet. Automatische Aktualisierung Um die Dateien des One Identity Manager über die Mechanismen der automatischen Softwareaktualisierung zu verteilen, werden die Dateien in die One Identity Manager-Datenbank geladen. Verwandte Themen Behandlung von Fehlern und Warnungen während der Systemkompilierung auf Seite 110 Automatisches Aktualisieren des One Identity Manager auf Seite 73 Anzeigen der Transporthistorie und Prüfen der One Identity Manager Version auf Seite 110 Installieren des One Identity Manager Service für die Datenbank Während der initialen Schemainstallation wird in der One Identity Manager-Datenbank ein Jobserver-Eintrag mit der Serverfunktion "Master SQL Server" erzeugt. Dieser Jobserver verarbeitet die direkten Datenbankanfragen. Mit dem Configuration Wizard installieren Sie den One Identity Manager Service auf einem Server, um diese Anfragen zu verarbeiten. Der Configuration Wizard führt dabei folgende Schritte aus. Installieren der One Identity Manager Service Komponenten Konfigurieren des One Identity Manager Service Starten des One Identity Manager Service HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55. HINWEIS: Wenn Sie den Configuration Wizard auf einem Server gestartet haben, auf dem Sie auch einen One Identity Manager Service konfigurieren wollen, so überspringen Sie den Punkt "Installieren eines Dienstservers" für den lokalen Server im Configuration Wizard. Um die Installation des One Identity Manager Service im Configuration Wizard nicht auszuführen 1. Auf der Seite Dienstinstallation aktivieren Sie die Option Keinen Dienst installieren. 2. Klicken Sie Weiter. 3. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. 47

48 Um den One Identity Manager Service im Configuration Wizard einzurichten 1. Auf der Seite Dienstinstallation erfassen Sie die Installationsinformationen für den Dienst. a. Erfassen Sie folgende Informationen für die Dienst. Tabelle 25: Installationsinformationen Eingabe Computer Beschreibung Server, auf dem der Dienst installiert und gestartet wird. Um einen Server auszuwählen Erfassen Sie den Servernamen. -ODER- Wählen Sie einen Eintrag in der Liste. Dienstkonto Angaben zum Benutzerkonto des One Identity Manager Service. Um ein Benutzerkonto für den One Identity Manager Service zu erfassen Aktivieren Sie die Option Lokales Systemkonto. Damit wird der One Identity Manager Service unter dem Konto NT AUTHORITY\SYSTEM gestartet. - ODER- Erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung. Installationskonto Angaben zum administrativen Benutzerkonto für die Installation des Dienstes. Um ein administratives Benutzerkonto für die Installation zu erfassen Aktivieren Sie die Option Erweitert. Aktivieren Sie die Option Angemeldeter Benutzer. Es wird das Benutzerkonto des aktuell angemeldeten Benutzers verwendet. - ODER- Geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein. Maschinenrollen Legen Sie die Maschinenrollen fest. Standardmäßig ist die Maschinenrolle "Job Server" festgelegt. Sie können weitere Maschinenrollen hinzufügen. b. Prüfen Sie die Konfiguration des One Identity Manager Service. Aktivieren Sie die Option Erweitert. 48

49 HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie zu einem späteren Zeitpunkt mit dem Designer durchführen. c. Um die Installation des Dienstes zu starten, klicken Sie Weiter. Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern. 2. Auf der letzten Seite des Configuration Wizard klicken Sie Fertig. HINWEIS: Der One Identity Manager Service wird mit der Bezeichnung Dell One Identity Manager Service in der Dienstverwaltung des Servers eingetragen. Verwandte Themen Systemanforderungen für den Dienstserver auf Seite 22 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Installieren und Konfigurieren des One Identity Manager Service für weitere Server auf Seite 56 Dell One Identity Manager Konfigurationshandbuch Konfigurieren einer One Identity Manager-Datenbank für eine Test-, Entwicklungs- oder Produktivumgebung Über die Staging Ebene der One Identity Manager-Datenbank legen Sie fest, ob es sich um eine Testdatenbank, Entwicklungsdatenbank oder produktive Datenbank handelt. Über die Staging Ebene werden einige Datenbankeinstellungen gesteuert. Diese werden eingestellt, wenn Sie die Staging Ebene anpassen. Tabelle 26: Datenbankeinstellungen für Entwicklungsumgebung, Testumgebung und Produktivumgebung Einstellung Staging Ebene der Datenbank Entwicklungsumgebung Testumgebung Produktivumgebung Farbe der Statuszeile der One Identity Manager-Werkzeuge Maximale Laufzeit DBQueue Prozessor Maximale Anzahl der Slots für DBQueue Prozessor keine Grün Gelb 20 Minuten 40 Minuten 120 Minuten 3 5 Maximale Anzahl der Slots laut Hardwarekonfiguration Um die Staging Ebene einer Datenbank anzupassen 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Staging Ebene der Datenbank. Der Datenbankeditor des Designer wird gestartet. 2. Wählen Sie die Datenbank und ändern Sie den Wert der Eigenschaft Staging Ebene auf "Testumgebung", "Entwicklungsumgebung" beziehungsweise "Produktivumgebung". 3. Wählen Sie im Designer den Menüeintrag Datenbank Übertragung in Datenbank und klicken Sie Speichern. 49

50 Die Konfigurationseinstellungen des DBQueue Prozessor sind für einen Normalbetrieb ausgelegt und müssen in der Regel nicht angepasst werden. Für Test- und Entwicklungsumgebungen sind die Konfigurationseinstellungen reduziert, da sich mehrere Datenbanken auf einem Server befinden können. Sollen aus Performancegründen die Einstellungen für Test- und Entwicklungsumgebungen angepasst werden, passen Sie im Designer die Einstellungen der folgenden Konfigurationsparameter an. Tabelle 27: Konfigurationsparameter für den DBQueue Prozessor Konfigurationsparameter QBM\DBQueue\CountSlotsMax Bedeutung Der Konfigurationsparameter legt die Anzahl der maximal verfügbaren Slots fest. Für die Nutzung der maximal verfügbaren Slots laut Hardwarekonfiguration geben Sie den Wert 0 an. QBM\DBQueue\KeepAlive Der Konfigurationsparameter regelt die maximale Laufzeit des zentralen Dispatchers. Nach Ablauf der Laufzeit werden die Aufträge aktuell verwendeter Slots noch abgearbeitet. Anschließend werden die Datenbankschedules der Slots gestoppt und der zentrale Dispatcher beendet. Der minimal zulässige Wert für die Laufzeit ist 5 Minuten, der maximal zulässige Wert ist 720 Minuten. Verwandte Themen Anhang: Erstellen einer One Identity Manager-Datenbank für eine Test- oder Entwicklungsumgebung aus einer Datenbanksicherung auf Seite 128 Verschlüsseln von Datenbankinformationen Unter Umständen ist es notwendig, Informationen verschlüsselt in der One Identity Manager-Datenbank abzulegen. Legen Sie im Designer über den Konfigurationsparameter Common\EncryptionScheme fest, welches Verschlüsselungsverfahren eingesetzt wird. Tabelle 28: Werte des Konfigurationsparameters Common\EncryptionScheme Wert RSA FIPSCompliantRSA Beschreibung RSA-Verschlüsselung mit AES für größere Daten (Standard). FIPS zertifizierter RSA mit AES für größere Daten. Das Verfahren ist einzusetzen, wenn die Verschlüsselung dem FIPS Standard entsprechen muss. Die lokale Sicherheitsrichtlinie Use FIPS compliant algorithms for encryption, hashing, and signing muss aktiviert sein. HINWEIS: Ist der Konfigurationsparameter Common\EncryptionScheme nicht aktiviert, wird RSA als Verfahren genutzt. Die Verschlüsselung erfolgt mit dem Programm Crypto Configuration. Mit diesem Programm wird eine Schlüsseldatei erzeugt und die Inhalte der betroffenen Datenbankspalten werden konvertiert. Die Schlüsselinformationen werden in der Datenbanktabelle DialogDatabase abgelegt. 50

51 HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Detaillierte Informationen zum Thema Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 51 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 52 Erneutes Verschlüsseln der Datenbankinformationen auf Seite 53 Entschlüsseln der Datenbankinformationen auf Seite 54 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um einen neuen Datenbankschlüssel zu erzeugen und die One Identity Manager-Datenbank zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und klicken Sie Weiter. 5. Auf der Seite Privater Schlüssel wählen Sie Bisher war keine Verschlüsselung aktiviert und klicken Sie Weiter. 6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel. a. Klicken Sie Erzeuge Schlüssel. b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der Schlüsseldatei ein. c. Klicken Sie Speichern. Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt. d. Klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 51

52 7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 52 Erneutes Verschlüsseln der Datenbankinformationen auf Seite 53 Entschlüsseln der Datenbankinformationen auf Seite 54 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen HINWEIS: Um einen Datenbankschlüssel zu ändern, benötigen Sie die Schlüsseldatei mit dem alten Datenbankschlüssel. Der Schlüssel wird geändert und in einer neuen Schlüsseldatei gespeichert. HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um einen Datenbankschlüssel zu ändern und die One Identity Manager-Datenbank zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Erzeugen oder Ändern eines Datenbankschlüssels und klicken Sie Weiter. 5. Auf der Seite Privater Schlüssel laden Sie den vorhandenen Schlüssel. a. Wählen Sie Die Verschlüsselung war aktiviert. b. Klicken Sie Lade Schlüssel. c. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem alten Datenbankschlüssel. d. Klicken Sie Öffnen. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden angezeigt. e. Klicken Sie Weiter. 52

53 6. Auf der Seite Neuer privater Schlüssel erzeugen Sie einen neuen Schlüssel. a. Klicken Sie Erzeuge Schlüssel. b. Wählen Sie über den Dateibrowser den Ablagepfad und geben Sie den Namen der Schlüsseldatei ein. c. Klicken Sie Speichern. Die Schlüsseldatei (*.key) wird erzeugt. Der Dateibrowser wird geschlossen. Pfad und Dateiname werden unter <Privater Schlüssel> angezeigt. d. Klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 7. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 8. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 51 Erneutes Verschlüsseln der Datenbankinformationen auf Seite 53 Entschlüsseln der Datenbankinformationen auf Seite 54 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Erneutes Verschlüsseln der Datenbankinformationen Verwenden Sie dieses Verfahren, wenn Sie weitere Datenbankspalten mit der Option Verschlüsselt versehen und die Datenbank bereits verschlüsselt ist. HINWEIS: Es wird empfohlen, vor der Verschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um die One Identity Manager-Datenbank mit einem vorhandenen Datenbankschlüssel erneut zu verschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Verschlüsselung mittels des bestehenden Schlüssels und klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 53

54 5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. c. Klicken Sie Weiter. 6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. Verwandte Themen Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 51 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 52 Entschlüsseln der Datenbankinformationen auf Seite 54 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Entschlüsseln der Datenbankinformationen HINWEIS: Sie benötigen Sie die Datei mit dem Datenbankschlüssel. HINWEIS: Es wird empfohlen, vor der Entschlüsselung der Datenbankinformationen eine Datenbanksicherung zu erstellen, um im Bedarfsfall den vorherigen Zustand wieder herstellen zu können. Um die One Identity Manager-Datenbank zu entschlüsseln 1. Öffnen Sie das Launchpad und wählen Sie den Eintrag Datenbank verschlüsseln. Das Programm "Crypto Configuration" wird gestartet. 2. Auf der Startseite klicken Sie Weiter. 3. Auf der Seite Herstellen der Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein und klicken Sie Weiter. 4. Auf der Seite Auswahl der Aktion wählen Sie Entschlüsselung der Daten und klicken Sie Weiter. Die zu verschlüsselnden Daten werden ermittelt. 5. Auf der Seite Konvertiere Datenbank werden die zu verschlüsselnden Daten angezeigt. a. Klicken Sie Konvertiere. b. Bestätigen Sie die folgenden zwei Sicherheitsabfragen mit Ja. c. Die Verschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. d. Wählen Sie über den Dateibrowser die Datei (*.key) mit dem Datenbankschlüssel. e. Klicken Sie Öffnen. Der Dateibrowser wird geschlossen. Die Entschlüsselung der Daten wird gestartet. Der Fortschritt der Konvertierung wird angezeigt. f. Klicken Sie Weiter. 6. Auf der letzten Seite klicken Sie Fertig, um das Programm zu beenden. 54

55 Verwandte Themen Erzeugen eines neuen Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 51 Ändern eines Datenbankschlüssels und Verschlüsseln der Datenbankinformationen auf Seite 52 Erneutes Verschlüsseln der Datenbankinformationen auf Seite 53 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55 Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank Wenn Sie die One Identity Manager-Datenbank verschlüsseln, müssen Sie dem One Identity Manager Service den Datenbankschlüssel bekanntgeben. VORSICHT: Wenn der One Identity Manager Service beim Start einen privaten Schlüssel im Installationsverzeichnis findet, so legt er diesen im benutzerbezogenen Windows internen Schlüsselcontainer ab und löscht die Datei auf der Festplatte. Sichern Sie daher den privaten Schlüssel zusätzlich an einer anderen Stelle als dem Installationsverzeichnis des Dienstes! Um den Datenbankschlüssel bekanntzugeben Geben Sie in der Konfigurationsdatei des One Identity Manager Service folgenden Informationen bekannt. Verwenden Sie den Jobservereditor im Designer oder das Programm "Job Service Configuration" zur Bearbeitung der Konfigurationsdatei. Tabelle 29: Konfiguration des One Identity Manager Service für die Verschlüsselung Konfigurationsmodul Parameter Bedeutung JobServiceDestination JobServiceDestination Datei mit privatem Schlüssel (PrivateKey) Verschlüsselungsverfahren (EncryptionScheme) Datei mit dem privaten Schlüssel. Standardwert ist private.key. Eingesetztes Verschlüsselungsverfahren. Legen Sie die erzeugte Schlüsseldatei im Installationsverzeichnis des Dienstes ab. Öffnen Sie die Dienstverwaltung und starten Sie den Dienst "Dell One Identity Manager Service" neu. HINWEIS: Die Datei mit dem privaten Schlüssel muss auf allen Servern mit aktivem One Identity Manager Service im Installationsverzeichnis des Dienstes vorhanden sein. HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die Schlüsseldatei neu im Installationsverzeichnis des Dienstes ablegen. Detaillierte Informationen zum Thema Verschlüsseln von Datenbankinformationen auf Seite 50 Dell One Identity Manager Konfigurationshandbuch 55

56 Installieren und Konfigurieren des One Identity Manager Service für weitere Server Die Verarbeitung der definierten Prozesse erfolgt über den One Identity Manager Service. Zur Prozessverarbeitung muss der Dienst auf den Servern des One Identity Manager-Netzwerkes installiert sein. Die Server müssen in der One Identity Manager-Datenbank als Jobserver bekannt gegeben werden. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue- Bezeichnung erhalten. Mit exakt diesem Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung tragen Sie in die Konfigurationsdatei des One Identity Manager Service ein. Erzeugen Sie für jede Queue einen korrespondieren Jobserver-Eintrag. HINWEIS: Mit dem Configuration Wizard richten Sie bereits einen Server mit One Identity Manager Service für den direkten Zugriff auf die One Identity Manager-Datenbank ein. Der Configuration Wizard führt dabei die erforderlichen Schritte zur Installation und Konfiguration aus. HINWEIS: Einige Prozesse und Skripte in One Identity Manager benötigen eine direkte Verbindung zur Datenbank. Dazu gehören unter anderem Synchronisationen mit den an One Identity Manager angeschlossenen Zielsystemen oder Prozessschritte wie das physische Löschen von Datenbankobjekten. Stellen Sie sicher, das für Server, die diese Prozesse abarbeiten, der Aufbau einer direkten Datenbankverbindung möglich ist. HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55. Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren 1. Wählen Sie im Designer die Kategorie Basisdaten Jobserver. 2. Starten Sie den Jobservereditor über die Aufgabe Jobserver bearbeiten. 3. Fügen Sie über den Menüeintrag Jobserver Neu einen neuen Jobserver ein. - ODER - Wählen Sie in der Jobserverübersicht den Jobserver zur Bearbeitung. 4. Bearbeiten Sie die Stammdaten des Jobservers. 5. Wählen Sie den Menüeintrag Ansicht Serverfunktionen und legen Sie die Serverfunktionen fest. 6. Wählen Sie den Menüeintrag Ansicht Maschinenrollen und weisen Sie die Rollen des Servers zu. 7. Installieren Sie den One Identity Manager Service. Starten Sie dazu über den Menüeintrag Jobserver Dienst installieren... den Assistenten zur Remote-Installation und folgen Sie den Anweisungen. WICHTIG: Tragen Sie den Queuenamen des Jobservers in die Konfigurationsdatei des One Identity Manager Service ein. Der Assistent zur Remote-Installation führt folgende Schritte aus. Installieren der One Identity Manager Service Komponenten. Konfigurieren des One Identity Manager Service. 56

57 Starten des One Identity Manager Service. 8. Nehmen Sie bei Bedarf weitere Konfigurationseinstellungen für den One Identity Manager Service vor. Die Konfiguration erzeugen Sie bereits bei der Installation des One Identity Manager Service. Verwenden Sie den Jobservereditor, um einzelne Konfigurationseinstellungen anzupassen. Um den One Identity Manager Service manuell auf einem Server zu installieren und zu konfigurieren Installieren Sie die One Identity Manager-Komponenten mit dem Installationsassistenten. Konfigurieren Sie den One Identity Manager Service mit dem Programm "Job Service Configuration". Geben Sie den Jobserver im Designer bekannt. Erzeugen Sie für jede Queue einen korrespondieren Jobserver-Eintrag. Verwandte Themen Systemanforderungen für den Dienstserver auf Seite 22 Benutzerkonto und Startart des One Identity Manager Service ändern auf Seite 57 Installieren der One Identity Manager-Komponenten auf Seite 33 Der One Identity Manager Service im Cluster auf Seite 58 Anhang: One Identity Manager Maschinenrollen und Installationspakete auf Seite 139 Dell One Identity Manager Konfigurationshandbuch Benutzerkonto und Startart des One Identity Manager Service ändern Bei der Installation des One Identity Manager Service wird der Dienst in die Dienstverwaltung des Rechners eingetragen. Um die Anmeldedaten und die Startart des Dienstes anzupassen 1. Öffnen Sie die Dienstverwaltung des Servers und wählen Sie in der Liste der Dienste den Eintrag Dell One Identity Manager Service. 2. Öffnen Sie über den Kontextmenüeintrag Eigenschaften die Eigenschaften des Dienstes. 3. Ändern Sie auf dem Tabreiter Allgemein den Starttyp (sofern erforderlich). Es wird der Starttyp Automatisch empfohlen. 4. Ändern Sie auf dem Tabreiter Anmelden das Benutzerkonto, unter dem der Dienst läuft. 5. Klicken Sie auf Übernehmen. 6. Schließen Sie die Eigenschaften des Dienstes über OK. 7. Starten Sie den Dienst über den Kontextmenüeintrag Starten. Kann der One Identity Manager Service nicht gestartet werden, wird eine entsprechende Meldung in das Ereignisprotokoll des Servers geschrieben. HINWEIS: Wenn Sie das Benutzerkonto des One Identity Manager Service ändern, müssen Sie die Konfigurationsdatei des Dienstes erneut im Installationsverzeichnis des Dienstes ablegen. 57

58 HINWEIS: Wenn Sie mit einer verschlüsselten One Identity Manager-Datenbank arbeiten, beachten Sie die Hinweise zum Arbeiten mit einer verschlüsselten One Identity Manager-Datenbank auf Seite 55. Verwandte Themen Systemanforderungen für den Dienstserver auf Seite 22 Benutzer und Berechtigungen für den One Identity Manager auf Seite 26 Der One Identity Manager Service im Cluster Sinn einer Clusterlösung ist die Hochverfügbarkeit eines Systems. Es wird angestrebt, beim Versagen einer Hardware- oder Softwarekomponente, den Systemausfall auf einige Sekunden zu beschränken. Mit der Installation einer Windows -Clusterlösung (nur mit Enterprise Servern möglich) kann dies erreicht werden. Die folgende Grafik zeigt ein Beispiel für eine derartige Lösung. Abbildung 3: Beispiel einer Clusterlösung Dieser Cluster besteht aus 2 physikalischen Maschinen Server A und Server B, die ein gemeinsames Diskarray nutzen und jeweils über eine eigene Systemfestplatte verfügen. Jeder Server ist mit einem Windows Betriebssystem ausgestattet. Beide Server sind identisch installiert, so dass im Falle eines Ausfalls der eine Server die Arbeit des anderen Servers übernehmen kann. Alle redundanten Systemkomponenten werden durch den Cluster-Manager verwaltet. Nach außen wird der Cluster als ein einzelner, virtueller Server Server C angesprochen. Hierbei wird der zugreifende Dienst oder Benutzer automatisch zu dem physikalischen Server verbunden, der momentan die Arbeit im Cluster ausführt. Tritt ein Versagen auf einem der physikalischen Server ein, so übernimmt automatisch der redundante Server im Cluster. Ansprechpartner bleibt weiter der virtuelle Server, nur der physikalische Server, der die Arbeit ausführt, wechselt. 58