Benutzersicherheit
Der Dienstmanager und einige Anwendungsdienste steuern die Benutzersicherheit in den Anwendungs-Clients. Zu den Anwendungs-Clients gehören Informatica Administrator, Informatica Analyst, Informatica Developer, Metadata Manager und PowerCenter Client.
Der Dienstmanager und die Anwendungsdienste steuern die Benutzersicherheit durch die Ausführung folgender Funktionen:
- Verschlüsselung
- Wenn Sie sich bei einer Client-Anwendung anmelden, verschlüsselt der Dienstmanager das Passwort.
- Authentifizierung
- Wenn Sie sich bei einer Client-Anwendung anmelden, authentifiziert der Dienstmanager Ihr Benutzerkonto auf der Basis Ihres Benutzernamens und Passworts oder anhand Ihres Benutzer-Authentifizierungs-Tokens.
- Autorisierung
- Wenn Sie ein Objekt in einem Anwendungs-Client anfordern, autorisieren der Dienstmanager und einige andere Anwendungsdienste die Anforderung anhand Ihrer Berechtigungen und Rollen.
Sie können HTTPS ebenfalls für die sichere Verbindung zur Domäne und zu den Anwendungsdiensten verwenden. Die folgenden Anwendungsdienste stellen eine HTTPS-Verbindung zusammen mit der Informatica-Domäne bereit:
- •Datenintegrationsdienst
- •Analyst-Dienst
- •Content-Managementdienst
- •Metadaten-Zugriffsdienst
- •Metadata Manager-Dienst
- •Webdienst-Hub-Dienst
Encryption
Informatica encrypts passwords sent from application clients to the Service Manager. Informatica uses AES encryption with multiple 128-bit or 256-bit keys to encrypt passwords and stores the encrypted passwords in the domain configuration database. Configure HTTPS to encrypt passwords sent to the Service Manager from application clients.
Authentifizierung
Der Service Manager authentifiziert Benutzer, die sich bei Anwendungs-Clients anmelden.
Wenn Sie sich erstmals bei einem Client anmelden, geben Sie einen Benutzernamen, ein Passwort und die Sicherheitsdomäne ein. Eine Sicherheitsdomäne ist eine Ansammlung von Benutzerkonten und Gruppen in einer Informatica-Domäne.
Die von Ihnen gewählte Sicherheitsdomäne bestimmt die Authentifizierungsmethode, die der Service Manager zum Authentifizieren Ihres Benutzerkontos verwendet:
- •Nativ. Wenn Sie sich als nativer Benutzer bei einem Anwendungs-Client anmelden, authentifiziert der Service Manager Ihren Benutzernamen und Ihr Passwort gegen die Benutzerkonten in der Datenbank für die Domänenkonfiguration.
- •Lightweight Directory Access Protocol (LDAP) Melden Sie sich bei einem Anwendungs-Client als LDAP-Benutzer an, übergibt der Service Manager Ihren Benutzernamen und Ihr Passwort an den externen LDAP-Verzeichnisdienst für die Authentifizierung.
Single Sign-On
Nach der Anmeldung bei einem Anwendungs-Client ermöglicht der Dienstmanager es Ihnen, einen anderen Anwendungs-Client zu starten, um auf mehrere Repositorys innerhalb des Anwendungs-Client zugreifen. Sie müssen sich bei der zusätzlichen Anwendung dem oder Client-Repository nicht anmelden.
Beim ersten Start authentifiziert der Dienstmanager Ihr Benutzerkonto, erstellt einen verschlüsselten Authentifizierungs-Token für Ihr Konto und gibt den Authentifizierungs-Token an die Client-Anwendung zurück. Der Authentifizierungs-Token enthält Benutzernamen, Sicherheits-Domäne und eine Ablaufzeit. Der Dienstmanager erneuert in regelmäßigen Abständen, vor Ablauf der Gültigkeit, den Authentifizierungs-Token.
Wenn Sie innerhalb eines Anwendungs-Client auf mehrere Repositorys zugreifen, sendet der Anwendungs-Client den Authentifizierungs-Token an den Dienstmanager, um den Benutzer zu authentifizieren.
Wenn Sie einen Web-Anwendungs-Client von einem anderen aus starten, übergibt der Anwendungs-Client den Authentifizierungs-Token an den nächsten Anwendungs-Client. Der nächste Web-Anwendungs-Client sendet den Authentifizierungs-Token an den Dienstmanager, um den Benutzer zu authentifizieren. Sie müssen sich von jedem Web-Anwendungs-Client separat abmelden. Wenn Sie beispielsweise das Analyst Tool über das Administrator Tool öffnen, müssen Sie sich vom Analyst Tool und dem Administrator Tool separat abmelden.
HINWEIS: Um Single Sign-On zwischen dem Administrator Tool, dem Analyst Tool und dem Monitoring Tool verwenden zu können, müssen Sie deren vollständig qualifizierte Domänennamen zur Hostdatei für jeden Knoten hinzufügen.
Sie können Single Sign-On nicht verwenden, um über ein Client-Tool eine Verbindung mit einem Web-Anwendungs-Client herzustellen. Wenn Sie beispielsweise das Administrator Tool über das Developer Tool starten, müssen Sie sich beim Administrator Tool anmelden.
Autorisierung
Der Service Manager autorisiert Benutzeranfragen für Domänenobjekte. Anfragen können vom Administrator-Tool ausgehen. Folgende Anwendungsdienste autorisieren Benutzeranfragen für andere Objekte:
- •Datenintegrationsdienst
- •Metadata Manager-Dienst
- •Modellrepository-Dienst
- •PowerCenter-Repository-Dienst
Beim Erstellen nativer Benutzer und Gruppen oder Importieren von LDAP-Benutzern und Gruppen speichert der Service Manager die Informationen in der Domänenkonfigurationsdatenbank in folgenden Repositorys:
- •Modellrepository
- •PowerCenter-Repository
- •PowerCenter Repository für Metadata Manager
Der Service Manager synchronisiert die Benutzer- und Gruppeninformationen zwischen den Repositorys und der Datenbank für die Domänenkonfiguration, wenn folgende Ereignisse eintreten:
- •Sie starten den Metadata Manager-Dienst, den Modellrepository-Dienst oder den PowerCenter-Repository-Dienst neu.
- •Hinzufügen oder Entfernen nativer Benutzer oder Gruppen.
- •Der Service Manager synchronisiert die Liste der LDAP-Benutzer und Gruppen in der Domänenkonfigurations-Datenbank mit der Liste der Benutzer und Gruppen im LDAP-Verzeichnisdienst.
Beim Zuordnen von Berechtigungen zu Benutzern und Gruppen in einem Anwendungs-Client speichert der Anwendungsdienst die Berechtigungszuordnungen zusammen mit den Benutzer- und Gruppeninformationen im entsprechenden Repository.
Wenn Sie ein Objekt in einem Anwendungs-Client anfordern, autorisiert der entsprechende Anwendungsdienst Ihre Anfrage. Beispiel: Bei dem Versuch, ein Projekt im Informatica Developer zu bearbeiten, autorisiert der Modellrepository-Dienst Ihre Anfrage basierend auf Ihren Rechten, Ihrer Rolle und den Ihnen zugeordneten Berechtigungen.