2.2 Planung allgemeiner Installationsszenarios

Die folgenden Szenarios sind Beispiele für eine Umgebung, in der Identity Manager verwendet werden kann. Für jedes Szenario finden Sie einige Richtlinien, die Sie bei der Implementierung unterstützen.

2.2.1 Neue Installation von Identity Manager

Abbildung 2-1 Neue Installation

Identity Manager ist eine Datenzugriffslösung, die das so genannte Identitätsdepot verwendet, um Daten anwendungs-, datenbank- und verzeichnisübergreifend zu synchronisieren, zu transformieren und zu verteilen.

Die Identity Manager-Lösung umfasst folgende Komponenten:

Identitätsdepot mit Identity Manager

Das Identitätsdepot enthält die Benutzer- oder Objektdaten, die mit den verbundenen Systemen gemeinsam genutzt oder synchronisiert werden sollen. Es wird empfohlen, Identity Manager in einer eigenen eDirectory™-Instanz zu installieren und als Identitätsdepot zu verwenden.

iManager-Server mit Identity Manager-Plugins

Novell iManager und die Identity Manager-Plugins werden zur Verwaltung der Identity Manager-Lösung verwendet.

Verbundene Systeme

Die verbundenen Systeme enthalten möglicherweise andere Anwendungen, Verzeichnisse und Datenbanken, die mit dem Identitätsdepot gemeinsam Daten nutzen und synchronisieren sollen. Wenn Sie eine Verbindung zwischen dem Identitätsdepot und dem verbundenen System herstellen möchten, installieren Sie den entsprechenden Treiber für das System. Eine ausführliche Anleitung finden Sie in den entsprechenden Treiberimplementierungshandbüchern.

Allgemeine Identity Manager-Aufgaben

  • Installation der Systemkomponenten: Da die Identity Manager-Lösung möglicherweise auf mehreren Computern, Servern oder Plattformen bereitgestellt wird, sollten Sie das Installationsprogramm ausführen und die entsprechenden Komponenten auf jedem System installieren. Weitere Informationen finden Sie in Abschnitt 1.4, Identity Manager - Installationsprogramme und Services.

  • Einrichtung verbundener Systeme: Eine ausführliche Anleitung finden Sie in Abschnitt 1.4, Identity Manager - Installationsprogramme und Services und in den entsprechenden Treiberimplementierungshandbüchern.

  • Aktivieren der Lösung: Identity Manager-Produkte (Professional, Servereditionen, Integrationsmodule und Benutzeranwendungen) müssen innerhalb von 90 Tagen nach der Installation aktiviert werden. Siehe Abschnitt 6.0, Aktivieren von Novell Identity Manager-Produkten.

  • Definieren von Geschäftsrichtlinien: Mit Geschäftsrichtlinien können Sie für eine bestimmte Umgebung den Informationsfluss in das und aus dem Identitätsdepot anpassen. Außerdem können Sie mithilfe von Richtlinien neue Objekte erstellen, Attributwerte aktualisieren, Schema-Transformationen ausführen, Übereinstimmungskriterien definieren und Identity Manager-Verknüpfungen verwalten. Einen ausführlichen Leitfaden für Richtlinien finden Sie in Richtlinien in iManager für Identity Manager 3.5.1.

  • Konfiguration der Passwortverwaltung: Mithilfe von Passwortrichtlinien kann die Sicherheit verbessert werden, indem Regeln zur Erstellung von Passwörtern durch Benutzer eingerichtet werden. Darüber hinaus können die Helpdeskkosten reduziert werden, indem Benutzern Selbstbedienungsoptionen für vergessene Passwörter bereitgestellt werden. Ausführliche Informationen zur Passwortverwaltung finden Sie im Abschnitt zur Verwaltung von Passwörtern mithilfe von Passwortrichtlinien.

  • Konfigurieren von Berechtigungen: Mithilfe von Berechtigungsdefinitionen können Sie auf verbundenen Systemen einer definierten Gruppe im Identitätsdepot Berechtigungen gewähren. Mithilfe von Berechtigungsrichtlinien lässt sich die Administration von Geschäftsrichtlinien vereinfachen und der Konfigurationsaufwand für die Identity Manager-Treiber wird reduziert. Weitere Informationen hierzu finden Sie unter „Creating and Using Entitlements“ (Erstellung und Verwendung von Berechtigungen) im Novell Identity Manager 3.5.1 Administrationshandbuch.

  • Protokollierung von Ereignissen mit Novell Audit: Identity Manager kann mit Novell Audit zur Revision und Berichterstellung verwendet werden. Novell Audit besteht aus mehreren Modulen, die Funktionen zum Überwachen, zur Protokollierung, zur Berichterstellung und zur Benachrichtigung zur Verfügung stellen. Durch die Integration mit Novell Audit bietet Identity Manager detaillierte Informationen zum aktuellen und vergangenen Status der Treiber- und Engine-Aktivitäten. Diese Informationen werden von mehreren vorkonfigurierten Berichten, Standard-Benachrichtigungsservices und benutzerdefinierten Protokollierungen zur Verfügung gestellt. Weitere Informationen finden Sie unter „Using Status Logs“ (Statusprotokolle verwenden) in Identity Manager 3.5.1 Logging and Reporting (Identity Manager 3.5.1 Protokollierung und Berichterstellung).

  • Workflow-Genehmigung und Benutzeranwendung: Die Novell Identity Manager-Benutzeranwendung ist eine leistungsstarke Webanwendung (mit unterstützenden Werkzeugen), die dem Benutzer ein umfangreiches, intuitives und flexibel konfigurierbares System auf der Grundlage eines hoch entwickelten Identitätsservices-Framework zur Verfügung stellt. Wenn die Identity Manager-Benutzeranwendung zusammen mit dem Bereitstellungsmodul für Identity Manager und Novell Audit verwendet wird, liefert sie eine umfassende Komplettlösung für die Bereitstellung, die sicher, skalierbar und einfach zu verwalten ist. Weitere Informationen hierzu finden Sie in der Dokumentation zur Benutzeranwendung.

2.2.2 Verwendung von Identity Manager und DirXML 1.1a in derselben Umgebung

Abbildung 2-2 Installation von Identity Manager und DirXML 1.1a im selben Baum

Wenn Sie Identity Manager und DirXML® 1.1a in derselben Umgebung ausführen, müssen folgende Aspekte beachtet werden:

Erstellen eines Identitätsdepots

Es wird empfohlen, Identity Manager in einer separaten eDirectory-Instanz zu installieren und als Identitätsdepot zu verwenden.

Management-Tools

  • ConsoleOne® wird für DirXML 1.1a, nicht aber für Identity Manager unterstützt.

  • Es werden zwei iManager-Server benötigt: einen für die DirXML 1.1a-Plugins und einen für die Identity Manager-Plugins. Dies ist erforderlich, weil die Plugins erweitert wurden und Identity Manager DirXML-Skript verwendet.

  • iManager-Plugins für DirXML 1.1a können DirXML-Skript nicht lesen, das in den definierten Treiberkonfigurationen für die meisten Identity Manager-Treiber verwendet wird.

  • Designer ist ein Werkzeug, mit dem Sie Identity Manager-Treiber entwerfen, testen, aktualisieren und dokumentieren können.

Abwärtskompatibilität

  • Sie können DirXML 1.1a-Treiberschnittstellenmodule und -konfigurationen auf einem Identity Manager-Server ausführen und die Treiber des Treibersatzes in iManager unter „Identity Manager-Überblick“ anzeigen. Aber die Identity Manager-Plugins lassen die Anzeige oder Bearbeitung der Treiberkonfigurationen erst nach einer Umwandlung in das Identity Manager-Format zu.

    Wenn Sie in den Identity Manager-Plugins einen Treiber im 1.1a-Format auswählen, werden Sie aufgefordert, ihn zu konvertieren. Hierbei handelt es sich um einen einfachen Vorgang, der mithilfe eines Assistenten ausgeführt wird, und durch den die Funktionalität der Treiberkonfiguration nicht geändert wird. Als Teil des Vorgangs wird eine Sicherungskopie der DirXML 1.1a-Version gespeichert.

  • Die Aktivierung für DirXML 1.1a-Treiber ist auch bei der Ausführung mit der Identity Manager-Engine noch gültig. Wenn Sie allerdings das Treiberschnittstellenmodul auf eine Identity Manager-Version aufrüsten, benötigen Sie für die Aktivierung einen neuen Berechtigungsnachweis. Weitere Informationen hierzu finden Sie in Abschnitt 6.0, Aktivieren von Novell Identity Manager-Produkten.

  • In den meisten Fällen kann ein Identity Manager-Treiberschnittstellenmodul mit einer DirXML 1.1a-Konfiguration ausgeführt werden. Upgrade-Informationen finden Sie in den jeweiligen Treiberimplementierungshandbüchern.

    Es wird jedoch darauf hingewiesen, dass die Passwortsynchronisierung 1.0 unter Windows AD und Windows NT nach dem Upgrade des Treiberschnittstellenmoduls nur richtig ausgeführt wird, wenn weitere Treiberrichtlinien hinzugefügt werden. Eine Anleitung finden Sie in den Abschnitten zur Passwortsynchronisierung in den Treiber-Implementierungshandbüchern zu den Identity Manager-Treibern für Active Directory und NT Domain.

  • Die Ausführung von Identity Manager-Treiberschnittstellenmodulen und Treiberkonfigurationen mit der DirXML 1.1a-Engine wird nicht unterstützt.

  • Die Ausführung von Identity Manager-Treiberkonfigurationen mit DirXML 1.1a-Treiberschnittstellenmodulen wird nicht unterstützt.

  • Wenn auf mehreren Servern dieselbe Identity Manager-Treiberkonfiguration ausgeführt wird, stellen Sie sicher, dass auch dieselben Versionen von Identity Manager und eDirectory verwendet werden.

Passwortverwaltung

  • Sie können Passwortrichtlinien einrichten, die den Benutzern Funktionen wie erweiterte Passwortregeln für sicherere Passwörter und Selbsthilfeoptionen bei vergessenen Passwörtern und zum Zurücksetzen von Passwörtern zur Verfügung stellen. Weitere Informationen hierzu finden Sie im Abschnitt zur Verwaltung der Passwortsynchronisierung im Handbuch zur Passwortverwaltung 3.1.

  • Wenn Sie bei der ersten Ausgabe von NetWare® 6.5 ein universelles Passwort verwendet haben, sind einige Upgrade-Schritte erforderlich, bevor die neuen Passwortrichtlinien-Funktionen verwendet werden können. Weitere Informationen hierzu finden Sie im Abschnitt zum Bereitstellen eines universellen Passworts (nur NetWare 6.5) im Handbuch zur Passwortverwaltung 3.1. Diese Schritte sind nicht erforderlich, wenn Sie das universelle Passwort in NetWare 6.5 SP2 verwendet haben.

  • Die Identity Manager-Passwortsynchronisierung bietet eine bidirektionale Passwortsynchronisierung und unterstützt mehr Plattformen als die Passwortsynchronisierung 1.0.

  • Wenn Sie die Passwortsynchronisierung 1.0 unter Windows AD oder Windows NT verwendet haben, lesen Sie vor der Installation der neuen Treiberschnittstellenmodule die Upgrade-Anweisungen. Siehe Abschnitt 2.2.4, Upgrade von Passwortsynchronisierung 1.0 auf die Identity Manager-Passwortsynchronisierung.

  • Es werden Treiberrichtlinien-Overlays zur Verfügung gestellt, mit denen Sie die bidirektionale Passwortsynchronisierung zu bestehenden Treibern hinzufügen können. Weitere Informationen hierzu finden Sie unter „Upgrading Existing Driver Configurations to Support Password Synchronization“ (Aufrüsten bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung) im Novell Identity Manager 3.5.1 Administrationshandbuch.

2.2.3 Upgrade vom Starter Pack auf Identity Manager

Abbildung 2-3 Upgrade vom Starter Pack auf Identity Manager

Die Lösungen des Identity Manager Starter Pack, die in anderen Novell-Produkten enthalten sind, stellen eine lizenzierte Synchronisierung von Informationen in NT-Domänen, Active Directory und eDirectory zur Verfügung. Weiterhin sind Evaluierungstreiber für verschiedene andere Systeme, z. B. PeopleSoft, GroupWise® und Lotus Notes enthalten, mit denen die Datensynchronisierung der anderen Systeme erkundet werden kann.

Diese Lösung bietet auch die Möglichkeit zur Synchronisierung von Benutzerpasswörtern. Mit PasswordSync muss ein Benutzer sich nur an ein einziges Passwort erinnern, über das er sich bei all diesen Systemen anmelden kann. Die Administratoren können die Passwörter in einem System ihrer Wahl verwalten. Wird ein Passwort in einer dieser Umgebungen geändert, wird es auch in den anderen Umgebungen aktualisiert.

Identity Manager Starter Packs, die in NetWare 6.5 und Nterprise™ Linux Services 1.0 enthalten sind, basieren auf der DirXML 1.1a-Technologie. Beim Upgrade von einem Starter Pack zu der neuesten Version von Identity Manager müssen folgende Aspekte beachtet werden:

Abwärtskompatibilität

  • Sie können DirXML 1.1a-Treiberschnittstellenmodule und -konfigurationen auf einem Identity Manager-Server ausführen und die Treiber des Treibersatzes in iManager unter „Identity Manager-Überblick“ anzeigen. Aber die Identity Manager-Plugins lassen die Anzeige oder Bearbeitung der Treiberkonfigurationen erst nach einer Umwandlung in das Identity Manager-Format zu.

    Wenn Sie in den Identity Manager-Plugins einen Treiber im 1.1a-Format auswählen, werden Sie aufgefordert, ihn zu konvertieren. Hierbei handelt es sich um einen einfachen Vorgang, der mithilfe eines Assistenten ausgeführt wird, und durch den die Funktionalität der Treiberkonfiguration nicht geändert wird. Als Teil des Vorgangs wird eine Sicherungskopie der DirXML 1.1a-Version gespeichert.

  • Die Aktivierung für DirXML 1.1a-Treiber ist auch bei der Ausführung mit der Identity Manager-Engine noch gültig. Wenn Sie allerdings das Treiberschnittstellenmodul auf eine Identity Manager-Version aufrüsten, benötigen Sie eine neue Aktivierung.

  • In den meisten Fällen kann ein Identity Manager-Treiberschnittstellenmodul mit einer DirXML 1.1a-Konfiguration ausgeführt werden. Upgrade-Informationen finden Sie in den jeweiligen Treiberimplementierungshandbüchern.

    Es wird jedoch darauf hingewiesen, dass die Passwortsynchronisierung 1.0 unter Windows AD und Windows NT nach dem Upgrade des Treiberschnittstellenmoduls nur richtig ausgeführt wird, wenn weitere Treiberrichtlinien hinzugefügt werden. Eine Anleitung finden Sie in den Abschnitten zur Passwortsynchronisierung in den Treiber-Implementierungshandbüchern zu den Identity Manager-Treibern für Active Directory und NT Domain.

  • Die Ausführung von Identity Manager-Treiberschnittstellenmodulen und Treiberkonfigurationen mit der DirXML 1.1a-Engine wird nicht unterstützt.

  • Die Ausführung von Identity Manager-Treiberkonfigurationen mit DirXML 1.1a-Treiberschnittstellenmodulen wird nicht unterstützt.

  • Wenn auf mehreren Servern dieselbe Identity Manager-Treiberkonfiguration ausgeführt wird, stellen Sie sicher, dass auch dieselben Versionen von Identity Manager und eDirectory verwendet werden.

Passwortverwaltung

Aktivierung

  • Alle Identity Manager-Produkte müssen innerhalb von 90 Tagen aktiviert werden. Wenn Sie weitere Novell-Software erworben haben, enthielt das DirXML Starter Pack Aktivierungen für die DirXML 1.1a-Engine und die NT-, AD- und eDirectory-Treiber. Erfolgt das Upgrade vom Identity Manager Starter Pack, müssen Sie möglicherweise die Berechtigungsnachweise für die Aktivierung dieser Treiber erneut verwenden.

    Weitere Informationen zur Aktivierung finden Sie in Abschnitt 6.0, Aktivieren von Novell Identity Manager-Produkten.

2.2.4 Upgrade von Passwortsynchronisierung 1.0 auf die Identity Manager-Passwortsynchronisierung

Abbildung 2-4 Upgrade von Passwortsynchronisierung 1.0 auf die Identity Manager-Passwortsynchronisierung

Die Identity Manager-Passwortsynchronisierung stellt viele Funktionen zur Verfügung, einschließlich bidirektionaler Passwortsynchronisierung, zusätzlichen Plattformen und Email-Benachrichtigung, falls bei der Passwortsynchronisierung ein Fehler auftritt.

Wenn Sie die Passwortsynchronisierung 1.0 mit Active Directory oder NT-Domäne verwenden, ist es sehr wichtig, vor der Installation der neuen Treiberschnittstellenmodule die Upgrade-Anleitung durchzulesen.

Wenn Sie Identity Manager 2.x mit der Passwortsynchronisierung 2.0 ausführen, müssen Sie diese Schritte nicht befolgen.

Allgemeine Informationen zur Identity Manager-Passwortsynchronisierung finden Sie unter „Password Synchronization across Connected Systems“ (Passwortsynchronisierung mit verbundenen Systemen) im Novell Identity Manager 3.5.1 Administrationshandbuch. Dieser Abschnitt enthält Informationen zur Konzeption sowie einen Vergleich alter und neuer Funktionen, Voraussetzungen, eine Liste mit den unterstützten Funktionen der verbundenen Systeme, Anweisungen zur Unterstützung vorhandener Treiber und verschiedene Szenarios, in denen dargestellt wird, wie Sie die neuen Funktionen verwenden können.

In diesem Abschnitt:

Upgrade der Passwortsynchronisierung für Active Directory oder Windows NT

Die neue Passwortsynchronisierung erfolgt nicht über einen separaten Agenten, sondern auf Basis von Treiberrichtlinien. Dies hat zur Folge, dass die Passwortsynchronisierung 1.0 auch weiterhin nur für vorhandene Benutzer funktioniert, wenn Sie das neue Treiberschnittstellenmodul installieren, ohne gleichzeitig auch ein Upgrade der Treiberkonfiguration durchzuführen. Für neue, verschobene oder umbenannte Benutzer funktioniert die Passwortsynchronisierung erst, wenn das Upgrade der Treiberkonfiguration abgeschlossen ist.

Führen Sie das Upgrade wie folgt durch:

  1. Führen Sie ein Upgrade der Umgebung durch, sodass die Verwendung eines universellen Passworts unterstützt wird. Führen Sie ggf. auch ein Upgrade von Novell Client™ durch.

  2. Installieren Sie das Identity Manager 3.5.1-Treiberschnittstellenmodul. Es ersetzt das DirXML 1.1a-Treiberschnittstellenmodul für Active Directory oder Windows NT.

  3. Erstellen Sie direkt eine Abwärtskompatibilität mit der Passwortsynchronisierung 1.0, indem Sie der Treiberkonfiguration eine neue Richtlinie hinzufügen.

    Durch diesen Schritt funktioniert die Passwortsynchronisierung 1.0 auch weiterhin korrekt, bis die Umstellung auf die Identity Manager-Passwortsynchronisierung erfolgt.

  4. Sorgen Sie mithilfe von Treiberrichtlinien für die Unterstützung der neuen Identity Manager-Passwortsynchronisierung.

  5. Installieren und konfigurieren Sie neue Filter für die Passwortsynchronisierung.

  6. Richten Sie ggf. SSL ein.

  7. Aktivieren Sie ggf. mithilfe von Passwortrichtlinien das universelle Passwort.

  8. Richten Sie das Szenario für die Identity Manager-Passwortsynchronisierung ein, das Sie verwenden möchten.

    Weitere Informationen hierzu finden Sie unter „Implementing Password Synchronization“ (Implementierung der Passwortsynchronisierung) im Novell Identity Manager 3.5.1 Administrationshandbuch.

  9. Entfernen der Passwortsynchronisierung 1.0

Eine ausführliche Anleitung finden Sie in den Treiber-Implementierungshandbüchern zu den Identity Manager-Treibern für Active Directory und NT-Domäne.

Upgrade der Passwortsynchronisierung für eDirectory

Das Upgrade für eDirectory ist recht unkompliziert. Sofern das Treiberschnittstellenmodul und die Konfiguration über die neuesten Patches verfügen, sollte das Treiberschnittstellenmodul mit der vorhandenen DirXML 1.1a-Treiberkonfiguration funktionieren, ohne dass Änderungen vorgenommen werden müssen. Eine Anleitung finden Sie im Implementierungshandbuch zum Identity Manager 3.5.1-Treiber für eDirectory.

Upgrade anderer Treiber verbundener Systeme

Die Identity Manager-Passwortsynchronisierung unterstützt mehr verbundene Systeme als die Passwortsynchronisierung 1.0.

Eine Liste der Funktionen, die für andere Systeme unterstützt werden, finden Sie unter „Connected System Support for Password Synchronization“ (Unterstützung von verbundenen Systemen bei der Passwortsynchronisierung) im Novell Identity Manager 3.5.1 Administrationshandbuch.

Es werden Treiberrichtlinien-Overlays zur Verfügung gestellt, mit denen Sie die bidirektionale Passwortsynchronisierung zu bestehenden Treibern verbundener Systeme hinzufügen können, die zuvor nicht unterstützt wurden. Weitere Informationen hierzu finden Sie unter „Upgrading Existing Driver Configurations to Support Password Synchronization“ (Aufrüsten bestehender Treiberkonfigurationen zur Unterstützung der Passwortsynchronisierung) im Novell Identity Manager 3.5.1 Administrationshandbuch.

Bearbeitung vertraulicher Informationen

Das universelle Passwort wird in eDirectory durch vier Verschlüsselungsstufen geschützt, sodass es in der Umgebung sehr sicher ist. Wenn Sie die bidirektionale Passwortsynchronisierung ausgewählt haben und Sie das universelle Passwort mit dem Verteilungspasswort synchronisieren, denken Sie daran, das Passwort aus eDirectory zu extrahieren und an andere verbundene Systeme zu senden. Sie müssen sowohl die Übertragung des Passworts als auch die verbundenen Systeme, mit denen es synchronisiert wird, absichern.

Zusätzlich zu den Passwörtern können Sie auch Novell SecretStore® und Novell SecureLogin für die Synchronisierungen von Berechtigungsnachweisen verwenden. Dies ermöglicht die Bereitstellung der SecureLogin-Passwortfrage und -antwort in Umgebungen, in denen absolute Eindeutigkeit erwünscht ist. Weitere Informationen hierzu finden Sie unter „Security: Best Practices“ (Sicherheit: Best Practices) im Novell Identity Manager 3.5.1 Administrationshandbuch.