Die Anmelderichtlinie festlegen

Wenn Sie eine Framework-, Web Access- oder BridgeIT-Anwendung mit dem Konfigurationscenter einrichten, können Sie die Anmelderichtlinie festlegen, die Sie verwenden möchten. Informationen zum Wählen der am besten geeigneten Anmelderichtlinie finden Sie unter Wählen der Anmelderichtlinie. Die Optionen sind:

  • Nur explizit – Diese Einstellung ist für alle drei Anwendungen verfügbar. Bei dieser Option geben die Benutzer bei jedem Starten der Anwendung ihren Benutzernamen und ihr Kennwort ein, um auf Service Desk oder Asset Manager zuzugreifen.

Jedes Mal, wenn Sie die Datenbank aktualisieren, müssen Sie eine Framework-Anwendung einsetzen, bei der die Anmelderichtlinie auf Nur explizit gesetzt ist..Weitere Informationen zur Aktualisierung Ihrer Datenbank finden Sie unter Upgrade für die Ivanti-Datenbank durchführen.

  • Nur integriert – Für Framework und Web Access verfügbar. Bei dieser Option verwenden Service Desk und Asset Manager die Netzwerkanmeldung des Benutzers zur Identifizierung des Service Desk- und Asset Manager-Benutzerkontos und nehmen dann automatisch die Anmeldung vor.
  • Nur Token – Für Framework, Web Access und BridgeIT verfügbar. Diese Option ermöglicht einmaliges Anmelden (Single sign-on, kurz SSO) für Web Access und Workspaces über Ivanti Secure Token Server (STS). STS wird im Rahmen der Ivanti Service Desk bzw. Asset ManagerServeri-Installationsoption installiert.
    Einmaliges Anmelden ermöglicht es dem Benutzer, sich einmal anzumelden und mit einem einzigen Benutzernamen und Kennwort auf eine Reihe unterschiedlicher Anwendungen zuzugreifen. Wenn Sie STS nutzen, bedeutet dies, dass sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei Workspaces (BridgeIT) oder Web Access anmelden können – in der Regel also mit denselben Anmeldeinformationen, die sie auch für die Anmeldung beim Netzwerk verwenden.
    BridgeIT und Console müssen beide eine Verbindung mit einem Framework herstellen, das über eine passende Anmelderichtlinie verfügt. Wenn Sie BridgeIT auf Nur Token eingestellt haben, müssen Sie deshalb auch das Framework angeben, zu dem die Verbindung hergestellt wird, um Nur Token zu nutzen. Da die Console Nur Token nicht unterstützt, müssen Sie in diesem Fall auch ein Framework erstellen, das die Verbindung mit derselben Datenbank herstellt, dabei aber eine Anmelderichtlinie verwendet, die Ihren Console-Implementierungen entspricht.

Wenn Sie Nur Token als Anmelderichtlinie für eine Anwendung wählen, müssen Sie die folgenden Werte angeben:
URL für STS-Tokenausstellung – Die zu nutzende URL für die STS-Tokenausstellung (z.B.: https://Servername/STS/IssueToken)
Benutzername und Kennwort – Die Anmeldeinformationen für ein Windows-Administratorkonto für den Server, der STS hostet.

Web Access stellt die Verbindung direkt mit der Datenbank selbst her, sodass Sie kein Framework benötigen, dessen Anmelderichtlinie der von Web Access entspricht.

Wenn Sie außerdem BridgeIT mit Ivanti Endpoint Manager verbinden möchten, müssen Sie über ein Framework verfügen, dessen Anmelderichtlinie auf Nur Token oder Identitätsserver gesetzt ist.

Ist die Anmelderichtlinie bei Ihrer BridgeIT-Anwendung auf Nur explizit gesetzt, können sich die Benutzer mit ihren Service Desk- oder Asset Manager-Anmeldeinformationen anmelden. Bei der Einstellung Nur Token müssen Sie sich mit ihren Netzwerkanmeldeinformationen anmelden.

  • Nur Shibboleth – Für Framework, Web Access und BridgeIT verfügbar.
    BridgeIT muss eine Verbindung mit einem Framework herstellen, das über eine passende Anmelderichtlinie verfügt. Wenn Sie BridgeIT auf Nur Shibboleth eingestellt haben, müssen Sie deshalb auch das Framework angeben, zu dem die Verbindung hergestellt wird, um Nur Shibboleth zu nutzen. Da die Console Nur Shibboleth nicht unterstützt, müssen Sie in diesem Fall auch ein Framework erstellen, das die Verbindung mit derselben Datenbank herstellt, dabei aber eine Anmelderichtlinie verwendet, die Ihren Console-Implementierungen entspricht.
    Bevor Sie Service Desk oder Asset Manager so konfigurieren, dass die Shibboleth-Authentifizierung verwendet wird, müssen Sie Shibboleth so konfigurieren, dass die Identität des Benutzers in den an Service Desk bzw. Asset Managerger gesendeten URL-Anforderungen weitergegeben wird.Die Konfiguration muss so definiert werden, dass die Benutzer-ID in der URL als Header in folgendem Format übergeben wird:
    ?http_landesk_user=Benutzer-ID.

Wenn die Anmelderichtlinie auf Nur Shibboleth gesetzt ist, liegt der sichere Zugriff auf Service Desk und Asset Manager in der Zuständigkeit des SAML-Authentifizierungsanbieters (z. B. Shibboleth).

Informationen zum Konfigurieren von Shibboleth finden Sie in der mitgelieferten Dokumentation zur Lösung sowie unter Konfigurieren der Shibboleth-Authentifizierung.

  • Identitätsserver – Ein Anmeldungsautorisierungsdienst, der sowohl Richtlinien für explizite als auch tokenbasierte Anmeldung bietet, die für Framework, Web Access und BridgeIT für interne Systeme verfügbar ist. Für diese Option müssen Sie einen Identitätsserver-Webanwendungen erstellen. Weitere Informationen hierzu finden Sie unter Webanwendungen erstellen.

Bei den Optionen Nur integriert, Nur Token, Nur Shibboleth und Identitätsserver müssen Sie Service Desk- und Asset Manager-Benutzer unter Verwendung der Komponente Administration in der Console mit einer Netzwerkanmeldung verknüpfen.

Weitere Informationen zur Benutzerverwaltung finden Sie unter Benutzermanagement.

So verknüpfen Sie einen Service Desk- oder Asset Manager-Benutzer mit einer Netzwerkanmeldung:

  1. Blenden Sie in der Console-Komponente Administration die Struktur Benutzerverwaltung ein.
    Benutzerverwaltung
  2. Blenden Sie den Zweig Benutzer ein und wählen Sie den gewünschten Benutzer aus.
  3. Klicken Sie in der Liste Aktionen auf Netzwerkanmeldung hinzufügen.
    Das Dialogfeld „Netzwerkanmeldung“ wird geöffnet.
  4. Geben Sie die Netzwerkanmeldung für den Benutzer (im Format Domäne\Benutzername) ein und klicken Sie auf OK.
    Die Netzwerkanmeldung wird im Ordner „Netzwerkanmeldung“ unter dem Benutzer aufgelistet.

Erwägen Sie die Erstellung einer weiteren Web Access- und BridgeIT-Anwendung in derselben Instanz und mit Verbindung zur selben Datenbank, jedoch mit einer Anmelderichtlinie, die auf Nur explizit festgelegt ist. Auf diese Weise können Benutzer, die zwar keine Netzwerkanmeldung, aber ein Service Desk- oder Asset Manager-Konto haben, unter Verwendung einer anderen Webadresse auf Ihr Service Desk-oder Asset Manager-System zugreifen.