A.2 Konfiguration der Benutzeranwendung: Alle Parameter

Diese Tabelle enthält die verfügbaren Konfigurationsparameter, wenn Sie auf Erweiterte Optionen anzeigen klicken.

Tabelle A-2 Benutzeranwendung - Konfiguration: Alle Optionen

Einstellungstyp

Option

Beschreibung

Identitätsdepot-einstellungen

Identitätsdepot-Server

Erforderlich. Geben Sie den Hostnamen oder die IP-Adresse des LDAP-Servers an. Beispiel:

myLDAPhost

LDAP-Port

Geben Sie den nicht sicheren Port des LDAP-Servers an. Beispiel: 389.

Sicherer LDAP-Port

Geben Sie den sicheren Port des LDAP-Servers an. Beispiel: 636.

Identitätsdepot-Administrator

Erforderlich. Geben Sie die Berechtigungsnachweise für den LDAP-Administrator an. Dieser Benutzer muss bereits vorhanden sein. Die Benutzeranwendung verwendet dieses Konto für eine administrative Verbindung zum Identitätsdepot. Dieser Wert ist mit dem Master-Schlüssel verschlüsselt.

Identitätsdepot-Administrator-passwort

Erforderlich. Geben Sie das LDAP-Administratorpasswort an. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

Öffentliches anonymes Konto verwenden

Ermöglicht nicht angemeldeten Benutzern den Zugriff auf das öffentliche anonyme LDAP-Konto.

LDAP-Gast

Ermöglicht nicht angemeldeten Benutzern den Zugriff auf zulässige Portlets. Dieses Benutzerkonto muss bereits im Identitätsdepot vorhanden sein. Deaktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu aktivieren. Aktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu deaktivieren.

LDAP-Gastpasswort

Geben Sie das LDAP-Gastpasswort an.

Sichere Administrator-verbindung:

Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Admin-Konto über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung beeinträchtigen). Diese Einstellung ermöglicht, dass andere Vorgänge, für die kein SSL erforderlich ist, ohne SSL durchgeführt werden können.

Sichere Benutzer-verbindung

Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Konto des angemeldeten Benutzers über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung stark beeinträchtigen). Diese Einstellung ermöglicht, dass andere Vorgänge, für die kein SSL erforderlich ist, ohne SSL durchgeführt werden können.

Identitätsdepot-DNs

Stammcontainer-DN

Erforderlich. Geben Sie den eindeutigen LDAP-Namen des Stammcontainers an. Diese Angabe wird als Standard-Suchstamm der Entitätsdefinition verwendet, sofern in der Verzeichnisabstraktionsschicht kein Suchstamm angegeben wurde.

Benutzeran-wendungstreiber-DN

Erforderlich. Geben Sie den eindeutigen Namen für den Benutzeranwendungstreiber an. Wenn Ihr Treiber beispielsweise „UserApplicationDriver“ und der Treibersatz „myDriverSet“ ist und sich der Treibersatz in einem Kontext „o=myCompany“ befindet, geben Sie folgenden Wert ein:

cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

Benutzeran-wendungs-administrator

Erforderlich. Ein vorhandener Benutzer im Identitätsdepot mit den Rechten zum Ausführen von administrativen Tätigkeiten für den in der Benutzeranwendung angegebenen Benutzercontainer. Dieser Benutzer hat die Möglichkeit, über den Karteireiter Administration der Benutzeranwendung das Portal zu verwalten.

Wenn der Benutzeranwendungsadministrator in iManager, Novell Designer für Identity Manager oder der Benutzeranwendung (Registerkarte Anforderungen und Genehmigungen) freigelegte Aufgaben zur Workflow-Administration bearbeitet, müssen Sie dem entsprechenden Administrator ausreichende Trustee-Rechte auf Objektinstanzen gewähren, die im Benutzeranwendungstreiber enthalten sind. Weitere Informationen finden Sie im Benutzeranwendung: Administrationshandbuch.

Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten Administration > Sicherheit der Benutzeranwendung geändert werden.

Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist.

Bereitstellungs-administrator

Der Bereitstellungsadministrator verwaltet die in der Benutzeranwendung verfügbaren Bereitstellungs-Workflow-Funktionen. Dieser Benutzer muss im Identitätsdepot vorhanden sein, bevor ihm die Rolle des Bereitstellungsadministrators zugewiesen werden kann.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

 

Konformitäts-administrator

Der Konformitätsadministrator ist eine Systemrolle, die es Mitgliedern ermöglicht, alle Funktionen auf der Registerkarte Konformität durchzuführen. Dieser Benutzer muss im Identitätsdepot vorhanden sein, damit ihm die Rolle des Konformitätsmoduladministrators zugewiesen werden kann.

Während der Ausführung von „ConfigUpdate“ treten Änderungen an diesem Wert nur dann in Kraft, wenn kein gültiger Konformitätsadministrator zugewiesen wurde. Wenn ein gültiger Konformitätsadministrator existiert, werden Ihre Änderungen nicht gespeichert.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

 

Rollenadminis-trator

Mit dieser Rolle können Mitglieder alle Rollen erstellen, entfernen oder modifizieren und Benutzern, Gruppen oder Containern Rollen zuweisen oder entziehen. Außerdem können die Rollenmitglieder damit einen Bericht für einen beliebigen Benutzer ausführen. Standardmäßig wird diese Rolle dem Benutzeranwendungsadministrator zugewiesen.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

Während der Ausführung von „ConfigUpdate“ treten Änderungen an diesem Wert nur dann in Kraft, wenn Sie keinen gültigen Rollenadministrator beauftragt haben. Wenn ein gültiger Rollenadministrator existiert, werden Ihre Änderungen nicht gespeichert.

Sicherheits-administrator

Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Sicherheitsdomäne.

Der Sicherheitsadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Sicherheitsdomäne durchführen. Die Sicherheitsdomäne erlaubt es dem Sicherheitsadministrator, Zugriffsberechtigungen für alle Objekte in allen Domänen innerhalb des rollenbasierten Bereitstellungsmoduls zu konfigurieren. Der Sicherheitsadministrator kann Teams konfigurieren sowie Domänenadministratoren, beauftragte Administratoren und andere Sicherheitsadministratoren zuweisen.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

Ressourcen-administrator

Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Ressourcendomäne. Der Ressourcenadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Ressourcendomäne durchführen.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

RBPM-Konfigurations-administrator

Diese Rolle bietet Mitgliedern die ganze Funktionspalette innerhalb der Konfigurationsdomäne. Der RBPM-Konfigurationsadministrator kann für alle Objekte alle möglichen Aktionen innerhalb der Konfigurationsdomäne durchführen. Der RBPM-Konfigurationsadministrator steuert den Zugriff auf Navigationselemente innerhalb des rollenbasierten Bereitstellungsmoduls. Außerdem konfiguriert der RBPM-Konfigurationsadministrator den Delegierungs- und Vertretungsservice, die Bereitstellungsbenutzeroberfläche und die Workflow-Engine.

Sie können diese Zuweisung nach dem Bereitstellen der Benutzeranwendung über die Seite Verwaltung > Administratorzuweisung in der Benutzeranwendung ändern.

RBPM Reporting-Administrator

Zeigt auf den Reporting-Administrator. Das Installationsprogramm setzt diesen Wert standardmäßig auf denselben Benutzer wie die anderen Sicherheitsfelder.

RBPM-Sicherheit neu initiieren

Kontrollkästchen zum Zurücksetzen der Sicherheit.

IDMReport-URL

URL, die auf die Benutzeroberfläche des Identity-Berichterstellungsmoduls zeigt.

Identitätsdepot-Benutzeridentität

Benutzer-container-DN

Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Benutzercontainers an.

Benutzer in diesem Container (und unterhalb) dürfen sich bei der Benutzeranwendung anmelden.

Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist.

WICHTIG:Stellen Sie sicher, dass der bei der Installation des Benutzeranwendungstreibers angegebene Benutzeranwendungsadministrator in diesem Container vorhanden ist, wenn dieser Benutzer Workflows ausführen können soll.

Benutzercon-tainerbereich

Diese Angabe definiert den Suchbereich für Benutzer.

Benutzerobjekt-klasse

Die LDAP-Benutzerobjektklasse (in der Regel inetOrgPerson).

Anmeldeattribut

Das LDAP-Attribut (z. B. CN), das den Anmeldenamen des Benutzers repräsentiert.

Benennungs-attribut

Das als ID verwendete LDAP-Attribut beim Nachschlagen von Benutzern oder Gruppen. Dieses Attribut ist nicht identisch mit dem Anmeldeattribut, das nur für die Anmeldung, nicht aber bei der Suche nach Benutzern oder Gruppen verwendet wird.

Benutzermit-gliedschafts-attribut

Optional. Das LDAP-Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten.

Identitätsdepot-Benutzergruppen

Gruppencon-tainer-DN

Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Gruppencontainers an. Wird von Entitätsdefinitionen innerhalb der Verzeichnisabstraktionsschicht verwendet.

Sie können diese Einstellung nicht über „ConfigUpdate“ ändern, wenn Sie den Anwendungsserver gestartet haben, auf dem die Benutzeranwendung installiert ist.

Gruppencon-tainerbereich

Diese Angabe definiert den Suchbereich für Gruppen.

Gruppenobjekt-klasse

Die Objektklasse für die LDAP-Gruppen (in der Regel groupofNames).

Gruppenmit-gliedschafts-attribut

Das Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten.

Dynamische Gruppen verwenden

Wählen Sie diese Option, wenn Sie dynamische Gruppen verwenden möchten.

Klasse für dynamisches Gruppenobjekt

Die Objektklasse für die dynamische Gruppe (in der Regel dynamicGroup).

Identitätsdepot-Zertifikate

Keystore-Pfad

Erforderlich. Geben Sie den vollständigen Pfad zur Keystore-Datei ( cacerts) der JRE an, die der Anwendungsserver für die Ausführung verwendet, oder klicken Sie auf die kleine Browser-Schaltfläche und navigieren Sie zur cacerts -Datei.

Während der Installation der Benutzeranwendung wird die Keystore-Datei geändert. Unter Linux oder Solaris benötigt der Benutzer eine entsprechende Berechtigung zum Schreiben in diese Datei.

Hinweis zu WebSphere. Das Feld für den Keystore-Pfad muss auf das Installationsverzeichnis des RBPMs gesetzt werden, nicht auf den Speicherort der JDK-cacerts-Datei wie bei JBoss-Installationen. Der Standardwert ist auf den richtigen Speicherort gesetzt.

Keystore-Passwort

Keystore-Passwort bestätigen

Erforderlich. Geben Sie das cacerts-Passwort an. Die Vorgabe ist changeit.

Speicher für Herkunftsver-bürgungsschlüssel

Pfad für Herkunftsver-bürgungs-speicher

Der Speicher für Herkunftsverbürgungsschlüssel enthält alle verbürgten Zertifikate der Signierer. Wurde kein Pfad angegeben, ruft die Benutzeranwendung den Pfad von der Systemeigenschaft javax.net.ssl.trustStore ab. Wurde kein Pfad angegeben, wird jre/lib/security/cacerts verwendet.

Passwort für Herkunftsver-bürgungs-speicher

Wurde kein Passwort angegeben, ruft die Benutzeranwendung das Passwort von der Systemeigenschaft javax.net.ssl.trustStorePassword ab. Ist dort kein Wert angegeben, lautet das Passwort changeit. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

Keystore-Typ JKS

Gibt den Typ der von Ihnen bevorzugten Digitalsignatur an. Wenn dieses Feld aktiviert ist, ist der Pfad für den Herkunftsverbürgungsspeicher vom Typ „JKS“.

Keystore-Typ PKCS12

Gibt den Typ der von Ihnen bevorzugten Digitalsignatur an. Wenn dieses Feld aktiviert ist, ist der Pfad für denHerkunftsverbürgungsspeicher vom Typ „PKCS12“.

Novell Audit-Digitalsignatur-Zertifikat und Schlüssel

 

Enthält den Digitalsignaturschlüssel und das -zertifikat für den Audit-Service.

 

Novell Audit-Digitalsignatur-Zertifikat

Zeigt das Digitalsignaturzertifikat für den Audit-Service an.

 

Privater Schlüssel für Novell Audit-Digitalsignatur

Zeigt den privaten Schlüssel für die Digitalsignatur an. Dieser Schlüssel ist mit dem Master-Schlüssel verschlüsselt.

Access Manager-Einstellungen

Gleichzeitige Abmeldung aktiviert

Bei Auswahl dieser Option unterstützt die Benutzeranwendung die gleichzeitige Abmeldung von der Benutzeranwendung und dem Novell Access Manager bzw. iChain. Bei der Abmeldung leitet die Benutzeranwendung den Benutzer bei Vorhandensein des iChain- oder Novell Access Manager-Cookies zur ICS-Abmeldungsseite um.

Seite 'Gleichzeitige Abmeldung'

Die URL für die Abmeldeseite von Novell Access Manager oder iChain, wobei die URL ein Hostname ist, den Novell Access Manager oder iChain erwartet. Wenn die ICS-Protokollierung aktiviert ist und sich ein Benutzer von der Benutzeranwendung abmeldet, wird der Benutzer auf diese Seite umgeleitet.

Email-Serverkonfiguration

Benachrichti-gungs-schablone HOST

Geben Sie den Anwendungsserver an, der die Identity Manager-Benutzeranwendung. Beispiel:

myapplication serverServer

Dieser Wert ersetzt das $HOST$-Token in Email-Schablonen. Die erstellte URL ist eine Verknüpfung zu Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen.

Benachrichti-gungs-schablone PORT

Ersetzt das $PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungsaufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

für den sicheren Port der Benachrichti-gungs-schablone

Ersetzt das $SECURE_PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

Benachrichti-gungs-schablone PROTOCOL

Bezieht sich auf ein nicht sicheres Protokoll, HTTP. Ersetzt das $PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

für das sichere Protokoll der Benachrichti-gungs-schablone

Bezieht sich auf ein sicheres Protokoll, HTTPS. Ersetzt das $SECURE_PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

Benachrichti-gungs-SMTP-Email von:

Geben Sie Emails an, die von einem Benutzer in der Bereitstellungs-Email stammen.

SMTP-Servername:

Geben Sie den SMTP-Email-Host für die Bereitstellungs-Email an. Dies kann eine IP-Adresse oder ein DNS-Name sein.

Passwortverwaltung

 

 

Externe WAR-Datei für Passwort verwenden

Mithilfe dieser Funktion können Sie eine Seite „Passwort vergessen“ in einer externen WAR-Datei „Passwort vergessen“ sowie eine URL angeben, die die externe WAR-Datei „Passwort vergessen“ für den Rückruf der Benutzeranwendung über einen Webservice verwendet.

Wenn Sie Externe WAR-Datei für Passwort verwenden auswählen, müssen Sie Werte für 'Passwort vergessen'-Link, Link zurück zu 'Passwort vergessen' und Webservice-URL zu 'Passwort vergessen' angeben.

Wenn Externe Passwort-WAR-Datei verwenden nicht aktiviert ist, verwendet Identity Manager die interne Standardfunktion zur Passwortverwaltung./jsps/pwdmgt/ForgotPassword.jsp (ohne http[s] am Anfang). Hierdurch wird der Benutzer nicht zu einer externen WAR-Datei, sondern zur in der Benutzeranwendung integrierten Funktionalität „Passwort vergessen“ umgeleitet.

'Passwort vergessen'-Link

Diese URL verweist auf die Funktionsseite „Passwort vergessen“. Geben Sie eine ForgotPassword.jsp-Datei an, die sich in einer externen oder in einer internen WAR-Datei für die Passwortverwaltung befindet.

 

Link zurück zu 'Passwort vergessen'

Geben Sie den Link zurück zu 'Passwort vergessen' an, den der Benutzer nach Durchführung eines „Passwort vergessen“-Vorgangs anklicken kann.

Webservice-URL zu 'Passwort vergessen'

Dies ist die URL, die die externe WAR-Datei für „Passwort vergessen“ verwendet, um die Benutzeranwendung zum Durchführen von Kernfunktionen von „Passwort vergessen“ aufzurufen. Das Format der URL ist:

https://<idmhost>:<sslport>/<idm>/pwdmgt/service

Sonstige

Sitzungszeit-überschreitung

Die Sitzungszeit-überschreitung der Anwendung.

OCSP-URI

Wenn für die Client-Installation das OSCP (On-Line Certificate Status Protocol) verwendet wird, stellen Sie eine URI (Uniform Resource Identifier) bereit. Beispiel für das Format: http://host:port/ocspLocal. Die OCSP-URI aktualisiert den Status der verbürgten Zertifikate online.

Konfigurations-pfad für Autorisierung

Vollständig qualifizierter Name der Konfigurationsdatei für die Autorisierung.

 

Identitätsdepot-index erstellen

Wählen Sie dieses Kontrollkästchen aus, wenn das Installationsprogramm Indizes für die Attribute „manager“, „ismanager“ und „srvprvUUID“ erstellen soll. Sind für diese Attribute keine Indizes vorhanden, kann dies insbesondere in einer Cluster-Umgebung eine eingeschränkte Leistung der Benutzeranwendung zur Folge haben. Sie können diese Indizes manuell mithilfe des iManager erstellen, nachdem Sie die Benutzeranwendung installiert haben. Weitere Informationen hierzu finden Sie in Abschnitt 9.3.1, Erstellen von Indizes in eDirectory.

Zur Erzielung einer optimalen Leistung sollte die Erstellung des Index abgeschlossen sein. Die Indizes sollten sich im Online-Modus befinden, bevor Sie die Benutzeranwendung verfügbar machen.

 

Identitätsdepot-index entfernen

Entfernt Indizes von den Attributen „manager“, „ismanager“ und „srvprvUUID“.

 

Server-DN

Wählen Sie den eDirectory-Server aus, auf dem die Indizes erstellt oder entfernt werden sollen.

HINWEIS:Zum Konfigurieren der Indizes auf mehreren eDirectory-Servern müssen Sie das Dienstprogramm „ConfigUpdate“ mehrmals aufrufen. Es kann jeweils nur ein Server angegeben werden.

Containerobjekt

Ausgewählt

Wählen Sie alle zu verwendenden Containerobjekttypen aus.

Container-objekttyp

Wählen Sie die Typen aus den folgenden Standard-Containern aus: Standort-, Länder-, Organisationseinheits-, Organisations- und Domänenobjekte. Sie können in iManager auch eigene Container erstellen und mithilfe der Option Neues Containerobjekt hinzufügen hinzufügen.

Container-attributname

Listet den mit dem Containerobjekttyp verknüpften Attributnamen auf.

Neues Containerobjekt hinzufügen: Containerobjekt-typ

Geben Sie den LDAP-Namen einer Objektklasse aus dem Identitätsdepot an, die als Container dienen kann.

Neues Containerobjekt hinzufügen: Container-attributname

Geben Sie den Attributnamen des Containerobjekts an.