Diese Tabelle enthält die verfügbaren Konfigurationsparameter, wenn Sie auf klicken.
Tabelle A-2 Benutzeranwendung - Konfiguration: Alle Optionen
|
Einstellungstyp |
Option |
Beschreibung |
|---|---|---|
|
Identitätsdepoteinstellungen |
|
Erforderlich. Geben Sie den Hostnamen oder die IP-Adresse des LDAP-Servers an. Beispiel: myLDAPhost |
|
|
Geben Sie den nicht sicheren Port des LDAP-Servers an. Beispiel: 389. |
|
|
|
Geben Sie den sicheren Port des LDAP-Servers an. Beispiel: 636. |
|
|
|
Erforderlich. Geben Sie die Berechtigungsnachweise für den LDAP-Administrator an. Dieser Benutzer muss bereits vorhanden sein. Die Benutzeranwendung verwendet dieses Konto für eine administrative Verbindung zum Identitätsdepot. Dieser Wert ist mit dem Master-Schlüssel verschlüsselt. |
|
|
|
Erforderlich. Geben Sie das LDAP-Administratorpasswort an. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt. |
|
|
|
Ermöglicht nicht angemeldeten Benutzern den Zugriff auf das öffentliche anonyme LDAP-Konto. |
|
|
|
Ermöglicht nicht angemeldeten Benutzern den Zugriff auf zulässige Portlets. Dieses Benutzerkonto muss bereits im Identitätsdepot vorhanden sein. Deaktivieren Sie das Kontrollkästchen , um „LDAP-Gast“ zu aktivieren. Aktivieren Sie das Kontrollkästchen , um „LDAP-Gast“ zu deaktivieren. |
|
|
|
Geben Sie das LDAP-Gastpasswort an. |
|
|
|
Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Admin-Konto über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung beeinträchtigen). Diese Einstellung ermöglicht, dass andere Vorgänge, für die kein SSL erforderlich ist, ohne SSL durchgeführt werden können. |
|
|
|
Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Konto des angemeldeten Benutzers über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung stark beeinträchtigen). Diese Einstellung ermöglicht, dass andere Vorgänge, für die kein SSL erforderlich ist, ohne SSL durchgeführt werden können. |
|
|
Identitätsdepot-DNs |
|
Erforderlich. Geben Sie den eindeutigen LDAP-Namen des Stammcontainers an. Diese Angabe wird als Standard-Suchstamm der Entitätsdefinition verwendet, sofern in der Verzeichnisabstraktionsschicht kein Suchstamm angegeben wurde. |
|
|
Erforderlich. Geben Sie den eindeutigen Namen des Benutzeranwendungstreibers an (beschrieben in Abschnitt 4.1, Erstellen des Benutzeranwendungstreibers in iManager). Wenn Ihr Treiber beispielsweise „UserApplicationDriver“ und der Treibersatz „myDriverSet“ ist und sich der Treibersatz in einem Kontext „o=myCompany“ befindet, geben Sie folgenden Wert ein: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
|
Erforderlich. Ein vorhandener Benutzer im Identitätsdepot mit den Rechten zum Ausführen von administrativen Tätigkeiten für den in der Benutzeranwendung angegebenen Benutzercontainer. Dieser Benutzer hat die Möglichkeit, über den Karteireiter der Benutzeranwendung das Portal zu verwalten. Wenn der Benutzeranwendungsadministrator in iManager, Novell Designer für Identity Manager oder der Benutzeranwendung (Registerkarte ) freigelegte Aufgaben zur Workflow-Administration bearbeitet, müssen Sie dem entsprechenden Administrator ausreichende Trustee-Rechte auf Objektinstanzen gewähren, die im Benutzeranwendungstreiber enthalten sind. Weitere Informationen finden Sie im Benutzeranwendung: Administrationshandbuch. Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten der Benutzeranwendung geändert werden. Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist. |
|
|
|
Der Bereitstellungsadministrator verwaltet die in der Benutzeranwendung verfügbaren Bereitstellungs-Workflow-Funktionen. Dieser Benutzer muss im Identitätsdepot vorhanden sein, bevor ihm die Rolle des Bereitstellungsadministrators zugewiesen werden kann. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. |
|
|
|
Der Konformitätsadministrator ist eine Systemrolle, die es Mitgliedern ermöglicht, alle Funktionen auf der Registerkarte durchzuführen. Dieser Benutzer muss im Identitätsdepot vorhanden sein, damit ihm die Rolle des Konformitätsmoduladministrators zugewiesen werden kann. Während der Ausführung von „ConfigUpdate“ treten Änderungen an diesem Wert nur dann in Kraft, wenn kein gültiger Konformitätsadministrator zugewiesen wurde. Wenn ein gültiger Konformitätsadministrator existiert, werden Ihre Änderungen nicht gespeichert. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. |
|
|
Mit dieser Rolle können Mitglieder alle Rollen erstellen, entfernen oder modifizieren und Benutzern, Gruppen oder Containern Rollen zuweisen oder entziehen. Außerdem können die Rollenmitglieder damit einen Bericht für einen beliebigen Benutzer ausführen. Standardmäßig wird diese Rolle dem Benutzeranwendungsadministrator zugewiesen. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. Während der Ausführung von „ConfigUpdate“ treten Änderungen an diesem Wert nur dann in Kraft, wenn Sie keinen gültigen Rollenadministrator beauftragt haben. Wenn ein gültiger Rollenadministrator existiert, werden Ihre Änderungen nicht gespeichert. |
|
|
Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Sicherheitsdomäne. Der Sicherheitsadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Sicherheitsdomäne durchführen. Die Sicherheitsdomäne erlaubt es dem Sicherheitsadministrator, Zugriffsberechtigungen für alle Objekte in allen Domänen innerhalb des rollenbasierten Bereitstellungsmoduls zu konfigurieren. Der Sicherheitsadministrator kann Teams konfigurieren sowie Domänenadministratoren, beauftragte Administratoren und andere Sicherheitsadministratoren zuweisen. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. |
|
|
|
Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Ressourcendomäne. Der Ressourcenadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Ressourcendomäne durchführen. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. |
|
|
|
Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Konfigurationsdomäne. Der RBPM-Konfigurationsadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Konfigurationsdomäne durchführen. Der RBPM-Konfigurationsadministrator steuert den Zugriff auf Navigationselemente innerhalb des rollenbasierten Bereitstellungsmoduls. Außerdem konfiguriert der RBPM-Konfigurationsadministrator den Delegierungs- und Vertretungsservice, den Digitalsignaturservice, die Bereitstellungsbenutzerschnittstelle und die Workflow-Engine. Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite in der Benutzeranwendung ändern. |
|
|
Identitätsdepot-Benutzeridentität |
|
Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Benutzercontainers an. Benutzer in diesem Container (und unterhalb) dürfen sich bei der Benutzeranwendung anmelden. Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist. WICHTIG:Stellen Sie sicher, dass der bei der Installation des Benutzeranwendungstreibers angegebene Benutzeranwendungsadministrator in diesem Container vorhanden ist, wenn dieser Benutzer Workflows ausführen können soll. |
|
Benutzercontainerbereich |
Diese Angabe definiert den Suchbereich für Benutzer. |
|
|
|
Die LDAP-Benutzerobjektklasse (in der Regel inetOrgPerson). |
|
|
|
Das LDAP-Attribut (z. B. CN), das den Anmeldenamen des Benutzers repräsentiert. |
|
|
|
Das als ID verwendete LDAP-Attribut beim Nachschlagen von Benutzern oder Gruppen. Dieses Attribut ist nicht identisch mit dem Anmeldeattribut, das nur für die Anmeldung, nicht aber bei der Suche nach Benutzern oder Gruppen verwendet wird. |
|
|
|
Optional. Das LDAP-Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten. |
|
|
Identitätsdepot-Benutzergruppen |
|
Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Gruppencontainers an. Wird von Entitätsdefinitionen innerhalb der Verzeichnisabstraktionsschicht verwendet. Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist. |
|
|
Diese Angabe definiert den Suchbereich für Gruppen. |
|
|
|
Die Objektklasse für die LDAP-Gruppen (in der Regel groupofNames). |
|
|
|
Das Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten. |
|
|
|
Wählen Sie diese Option, wenn Sie dynamische Gruppen verwenden möchten. |
|
|
|
Die Objektklasse für die dynamische Gruppe (in der Regel dynamicGroup). |
|
|
Identitätsdepot-Zertifikate |
|
Erforderlich. Geben Sie den vollständigen Pfad zur Keystore-Datei ( cacerts) der JRE an, die der Anwendungsserver für die Ausführung verwendet, oder klicken Sie auf die kleine Browser-Schaltfläche und navigieren Sie zur cacerts -Datei. Während der Installation der Benutzeranwendung wird die Keystore-Datei geändert. Unter Linux oder Solaris benötigt der Benutzer eine entsprechende Berechtigung zum Schreiben in diese Datei. |
|
|
Erforderlich. Geben Sie das cacerts-Passwort an. Die Vorgabe ist changeit. |
|
|
Speicher für Herkunftsverbürgungsschlüssel |
|
Der Speicher für Herkunftsverbürgungsschlüssel enthält alle verbürgten Zertifikate der Signierer, die zum Validieren digitaler Signaturen verwendet werden. Wurde kein Pfad angegeben, ruft die Benutzeranwendung den Pfad von der Systemeigenschaft javax.net.ssl.trustStore ab. Wurde kein Pfad angegeben, wird jre/lib/security/cacerts verwendet. |
|
|
Wurde kein Passwort angegeben, ruft die Benutzeranwendung das Passwort von der Systemeigenschaft javax.net.ssl.trustStorePassword ab. Ist dort kein Wert angegeben, lautet das Passwort changeit. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt. |
|
|
|
Gibt den Typ der von Ihnen bevorzugten Digitalsignatur an. Wenn dieses Feld aktiviert ist, ist der Pfad für den Herkunftsverbürgungsspeicher vom Typ „JKS“. |
|
|
|
Gibt den Typ der von Ihnen bevorzugten Digitalsignatur an. Wenn dieses Feld aktiviert ist, ist der Pfad für denHerkunftsverbürgungsspeicher vom Typ „PKCS12“. |
|
|
Novell Audit-Digitalsignatur-Zertifikat und Schlüssel |
|
Enthält den Digitalsignaturschlüssel und das -zertifikat für den Audit-Service. |
|
|
Zeigt das Digitalsignaturzertifikat für den Audit-Service an. |
|
|
Zeigt den privaten Schlüssel für die Digitalsignatur an. Dieser Schlüssel ist mit dem Master-Schlüssel verschlüsselt. |
|
Access Manager-Einstellungen |
|
Bei Auswahl dieser Option unterstützt die Benutzeranwendung die gleichzeitige Abmeldung von der Benutzeranwendung und dem Novell Access Manager bzw. iChain. Bei der Abmeldung leitet die Benutzeranwendung den Benutzer bei Vorhandensein des iChain- oder Novell Access Manager-Cookies zur ICS-Abmeldungsseite um. |
|
|
Die URL für die Abmeldeseite von Novell Access Manager oder iChain, wobei die URL ein Hostname ist, den Novell Access Manager oder iChain erwartet. Wenn die ICS-Protokollierung aktiviert ist und sich ein Benutzer von der Benutzeranwendung abmeldet, wird der Benutzer auf diese Seite umgeleitet. |
|
|
Email-Serverkonfiguration |
|
Geben Sie den Anwendungsserver an, der die Identity Manager-Benutzeranwendung hostet. Beispiel: myapplication serverServer Dieser Wert ersetzt das $HOST$-Token in Email-Schablonen. Die erstellte URL ist eine Verknüpfung zu Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen. |
|
|
Ersetzt das $PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungsaufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden. |
|
|
|
Ersetzt das $SECURE_PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden. |
|
|
|
Bezieht sich auf ein nicht sicheres Protokoll, HTTP. Ersetzt das $PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden. |
|
|
|
Bezieht sich auf ein sicheres Protokoll, HTTPS. Ersetzt das $SECURE_PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden. |
|
|
|
Geben Sie Emails an, die von einem Benutzer in der Bereitstellungs-Email stammen. |
|
|
|
Geben Sie den SMTP-Email-Host für die Bereitstellungs-Email an. Dies kann eine IP-Adresse oder ein DNS-Name sein. |
|
|
Passwortverwaltung |
|
|
|
|
Mithilfe dieser Funktion können Sie eine Seite „Passwort vergessen“ in einer externen WAR-Datei „Passwort vergessen“ sowie eine URL angeben, die die externe WAR-Datei „Passwort vergessen“ für den Rückruf der Benutzeranwendung über einen Webservice verwendet. Wenn Sie auswählen, müssen Sie Werte für , und angeben. Wenn nicht aktiviert ist, verwendet IDM die interne Standardfunktion zur Passwortverwaltung./jsps/pwdmgt/ForgotPassword.jsp (ohne http[s] am Anfang). Hierdurch wird der Benutzer nicht zu einer externen WAR-Datei, sondern zur in der Benutzeranwendung integrierten Funktionalität „Passwort vergessen“ umgeleitet. |
|
|
|
Diese URL verweist auf die Funktionsseite „Passwort vergessen“. Geben Sie eine ForgotPassword.jsp-Datei an, die sich in einer externen oder in einer internen WAR-Datei für die Passwortverwaltung befindet. |
|
|
|
Geben Sie den an, den der Benutzer nach Durchführung eines „Passwort vergessen“-Vorgangs anklicken kann. |
|
|
Dies ist die URL, die die externe WAR-Datei für „Passwort vergessen“ verwendet, um die Benutzeranwendung zum Durchführen von Kernfunktionen von „Passwort vergessen“ aufzurufen. Das Format der URL ist: https://<idmhost>:<sslport>/<idm>/pwdmgt/service |
|
|
Sonstige |
|
Die Sitzungszeitüberschreitung der Anwendung. |
|
|
Wenn für die Client-Installation das OSCP (On-Line Certificate Status Protocol) verwendet wird, stellen Sie eine URI (Uniform Resource Identifier) bereit. Beispiel für das Format: http://host:port/ocspLocal. Die OCSP-URI aktualisiert den Status der verbürgten Zertifikate online. |
|
|
|
Vollständig qualifizierter Name der Konfigurationsdatei für die Autorisierung. |
|
|
|
Wählen Sie dieses Kontrollkästchen aus, wenn das Installationsprogramm Indizes für die Attribute „manager“, „ismanager“ und „srvprvUUID“ erstellen soll. Sind für diese Attribute keine Indizes vorhanden, kann dies insbesondere in einer Cluster-Umgebung eine eingeschränkte Leistung der Benutzeranwendung zur Folge haben. Sie können diese Indizes manuell mithilfe des iManager erstellen, nachdem Sie die Benutzeranwendung installiert haben. Weitere Informationen hierzu finden Sie unter Abschnitt 9.3.1, Erstellen von Indizes in eDirectory. Zur Erzielung einer optimalen Leistung sollte die Erstellung des Index abgeschlossen sein. Die Indizes sollten sich im Online-Modus befinden, bevor Sie die Benutzeranwendung verfügbar machen. |
|
|
Entfernt Indizes von den Attributen „manager“, „ismanager“ und „srvprvUUID“. |
|
|
Wählen Sie den eDirectory-Server aus, auf dem die Indizes erstellt oder entfernt werden sollen. HINWEIS:Zum Konfigurieren der Indizes auf mehreren eDirectory-Servern müssen Sie das Dienstprogramm „ConfigUpdate“ mehrmals aufrufen. Es kann jeweils nur ein Server angegeben werden. |
|
Containerobjekt |
|
Wählen Sie alle zu verwendenden Containerobjekttypen aus. |
|
|
Wählen Sie die Typen aus den folgenden Standard-Containern aus: Standort-, Länder-, Organisationseinheits-, Organisations- und Domänenobjekte. Sie können in iManager auch eigene Container erstellen und mithilfe der Option hinzufügen. |
|
|
|
Listet den mit dem Containerobjekttyp verknüpften Attributnamen auf. |
|
|
|
Geben Sie den LDAP-Namen einer Objektklasse aus dem Identitätsdepot an, die als Container dienen kann. |
|
|
|
Geben Sie den Attributnamen des Containerobjekts an. |