Konfigurieren von Webanwendungen zur Verwendung verschiedener Identitäts-Provider
Sie können in einer Domäne ausgeführte Informatica-Webanwendungen zur Verwendung verschiedener Identitäts-Provider konfigurieren. Sie möchten Informatica Administrator beispielsweise zur Verwendung von AD FS als Identitäts-Provider und Informatica Analyst zur Verwendung von PingFederate als Identitäts-Provider konfigurieren.
Wenn Sie eine Domäne zur Verwendung von SAML-Authentifizierung aktivieren, verwenden alle in der Domäne ausgeführten Webanwendungen standardmäßig den Identitäts-Provider, den Sie beim Aktivieren von SAML-Authentifizierung in der Domäne angegeben haben. Wenn Sie beispielsweise AD FS als Identitäts-Provider konfigurieren, verwenden alle Webanwendungen AD FS als Identitäts-Provider, es sei denn, Sie konfigurieren eine Webanwendung zur Verwendung eines anderen Identitäts-Providers.
Sie geben den standardmäßigen Identitäts-Provider an, wenn Sie eine der folgenden Optionen zum Aktivieren von SAML-Authentifizierung verwenden:
- •Beim Erstellen der Domäne und Installieren der Informatica-Dienste.
- •Beim Ausführen des Befehls „infasetup defineDomain“ zum Erstellen der Domäne.
- •Beim Ausführen des Befehls „infasetup updateDomainSamlConfig“ zum Aktivieren von SAML-Authentifizierung in einer vorhandenen Domäne.
Sie konfigurieren mithilfe des Administrator Tools eine Webanwendung zur Verwendung eines anderen Identitäts-Providers. Zum Konfigurieren des Administrator Tools oder der Überwachungsanwendung zur Verwendung eines anderen Identitäts-Providers ändern Sie die SAML-Konfiguration auf dem Knoten, auf dem die Anwendung ausgeführt wird. Zum Konfigurieren weiterer Webanwendungen zur Verwendung eines anderen Identitäts-Providers ändern Sie die SAML-Konfiguration innerhalb des Anwendungsprozesses.
Vorbereiten der Verwendung eines Identitäts-Providers
Führen Sie die folgenden Aufgaben durch, um eine Informatica-Webanwendung auf die Verwendung eines Identitäts-Providers vorzubereiten.
- 1Erstellen Sie eine LDAP-Konfiguration für den Identitäts-Provider-Speicher, der Benutzerkonten der Informatica-Webanwendung enthält. Sie erstellen auch eine LDAP-Sicherheitsdomäne und importieren die Benutzerkonten dann in die Sicherheitsdomäne.
- 2Exportieren Sie das Assertionssignierzertifikat des Identitäts-Providers aus dem Identitäts-Provider.
- 3Importieren Sie das Assertionssignierzertifikat des Identitäts-Providers in eine Truststore-Datei auf allen Gateway-Knoten in der Domäne. Sie können das Zertifikat in die Truststore-Standarddatei von Informatica oder in eine benutzerdefinierte Truststore-Datei kopieren.
Importieren Sie zum Ändern des Aliasnamens das entsprechende Zertifikat in die Truststore-Datei auf allen Gateway-Knoten und starten Sie die Knoten dann neu.
- 4Fügen Sie eine oder mehrere Vertrauensstellungen der vertrauenden Seite im Identitäts-Provider hinzu und ordnen Sie LDAP-Attribute zu den jeweiligen Typen zu, die in vom Identitäts-Provider ausgegebenen Sicherheitstoken verwendet werden.
- 5Fügen Sie die URL für die Informatica-Webanwendung zum Identitäts-Provider hinzu.
Konfigurieren von Informatica Administrator zur Verwendung eines Identitäts-Providers
Konfigurieren Sie mithilfe des Administrator Tools das Administrator Tool oder die Überwachungsanwendung zur Verwendung eines SAML-Identitäts-Providers. Sie konfigurieren das Administrator Tool oder die Überwachungsanwendung zur Verwendung eines Identitäts-Providers auf dem Knoten, auf dem die Anwendung ausgeführt wird.
1Klicken Sie im Administrator Tool auf die Registerkarte Dienste und Knoten.
2Wählen Sie im Domänennavigator den Gateway-Knoten aus, auf dem das Administrator Tool und die Überwachungsanwendung ausgeführt werden.
3Klicken Sie auf das Bearbeitungssymbol neben „SAML-Konfiguration“.
4Geben Sie die notwendigen Eigenschaften ein, um die Anwendung zur Verwendung eines Identitäts-Providers zu aktivieren.
In der folgenden Tabelle werden die einzugebenden Verbindungseigenschaften beschrieben:
Eigenschaft | Beschreibung |
|---|
URL des Identitäts-Providers | Optional. Die URL für den Server des Identitäts-Providers. Sie müssen die vollständige URL-Zeichenfolge angeben. |
Dienstanbieter-ID | Optional. Der Name der Vertrauensstellung der vertrauenden Seite oder der Bezeichner des Dienstanbieters für die Domäne, die im Identitäts-Provider festgelegt ist. |
Alias für das Assertionssignierzertifikat | Optional. Der Aliasname, der beim Importieren des Assertionssignierzertifikats des Identitäts-Providers in die für die SAML-Authentifizierung verwendete Truststore-Datei angegeben wird. Importieren Sie zum Ändern des Aliasnamens das entsprechende Zertifikat in die Truststore-Datei auf allen Gateway-Knoten und starten Sie die Knoten dann neu. |
Uhrabweichungstoleranz | Optional. Der zulässige zeitliche Unterschied zwischen der Systemuhr des Identitäts-Provider-Hosts und der Systemuhr auf dem Master-Gateway-Knoten. Optional. Die Lebensdauer der vom Identitäts-Provider ausgegebenen SAML-Token wird entsprechend der Systemuhr des Identitäts-Provider-Hosts festgelegt. Die Lebensdauer eines vom Identitäts-Provider ausgegebenen SAML-Tokens ist gültig, wenn die im Token festgelegte Start- oder Endzeit mit der in der Systemuhr auf dem Master-Gateway-Knoten angegebenen Anzahl an Sekunden übereinstimmt. Die Werte müssen zwischen 0 und 600 Sekunden liegen. Legen Sie den Wert auf -1 fest, um den für die Domäne konfigurierten Wert zu verwenden. Standardwert ist 120 Sekunden. |
Die folgende Abbildung zeigt die Konfiguration, mit der das Administrator Tool zur Verwendung von AD FS als Identitäts-Provider aktiviert wird: Wenn Sie keinen Wert für eine Eigenschaft angeben, verwendet die Domäne den in der SAML-Standardkonfiguration festgelegten Wert.
5Klicken Sie auf OK.
6Starten Sie die Anwendung neu.
Konfigurieren einer Informatica-Webanwendung
Konfigurieren Sie mithilfe des Administrator Tools eine Informatica-Webanwendung zur Verwendung eines SAML-Identitäts-Providers.
1Klicken Sie im Administrator Tool auf die Registerkarte Dienste und Knoten.
2Wählen Sie die Anwendung oder den Anwendungsdienst im Domänennavigator aus.
- - Wählen Sie den Analyst-Dienst aus, um das Analyst Tool zur Verwendung eines Identitäts-Providers zu konfigurieren, und klicken Sie dann auf die Registerkarte Prozesse.
- - Wählen Sie den Massenerfassungsdienst aus, um das Massenerfassungstool zur Verwendung eines Identitäts-Providers zu konfigurieren, und klicken Sie dann auf die Registerkarte Prozesse.
- - Wählen Sie den Metadata Manager-Dienst aus, um die Metadata Manager-Anwendung zur Verwendung eines Identitäts-Providers zu konfigurieren, und klicken Sie dann auf die Registerkarte Eigenschaften.
- - Wählen Sie den Katalogdienst aus, um die Enterprise Data Catalog- oder Catalog Administrator-Anwendung zur Verwendung eines Identitäts-Providers zu konfigurieren, und klicken Sie dann auf die Registerkarte Prozesse.
- - Wählen Sie den Enterprise Data Preparation-Dienst aus, um die Enterprise Data Preparation-Anwendung zur Verwendung eines Identitäts-Providers zu konfigurieren, und klicken Sie dann auf die Registerkarte Prozesse.
- - Um die Data Privacy Management-Anwendung zur Verwendung eines Identitätsanbieters zu konfigurieren, wählen Sie den Data Privacy Management-Dienst aus und klicken Sie dann auf die Registerkarte Prozesse.
3Klicken Sie auf das Bearbeitungssymbol neben SAML-Konfiguration.
4Geben Sie die notwendigen Eigenschaften ein, um die Webanwendung zur Verwendung eines Identitäts-Providers zu aktivieren.
In der folgenden Tabelle werden die einzugebenden Verbindungseigenschaften beschrieben:
Eigenschaft | Beschreibung |
|---|
URL des Identitäts-Providers | Optional. Die URL für den Server des Identitäts-Providers. Sie müssen die vollständige URL-Zeichenfolge angeben. |
Dienstanbieter-ID | Optional. Der Name der Vertrauensstellung der vertrauenden Seite oder der Bezeichner des Dienstanbieters für die Domäne, die im Identitäts-Provider festgelegt ist. |
Alias für das Assertionssignierzertifikat | Optional. Der Aliasname, der beim Importieren des Assertionssignierzertifikats des Identitäts-Providers in die für die SAML-Authentifizierung verwendete Truststore-Datei angegeben wird. Importieren Sie zum Ändern des Aliasnamens das entsprechende Zertifikat in die Truststore-Datei auf allen Gateway-Knoten und starten Sie die Knoten dann neu. |
Uhrabweichungstoleranz | Optional. Der zulässige zeitliche Unterschied zwischen der Systemuhr des Identitäts-Provider-Hosts und der Systemuhr auf dem Master-Gateway-Knoten. Optional. Die Lebensdauer der vom Identitäts-Provider ausgegebenen SAML-Token wird entsprechend der Systemuhr des Identitäts-Provider-Hosts festgelegt. Die Lebensdauer eines vom Identitäts-Provider ausgegebenen SAML-Tokens ist gültig, wenn die im Token festgelegte Start- oder Endzeit mit der in der Systemuhr auf dem Master-Gateway-Knoten angegebenen Anzahl an Sekunden übereinstimmt. Die Werte müssen zwischen 0 und 600 Sekunden liegen. Standardwert ist 120 Sekunden. |
Die folgende Abbildung zeigt die Konfiguration, mit der Enterprise Data Catalog zur Verwendung von PingFederate als Identitäts-Provider aktiviert wird:
5Klicken Sie auf OK.
6Starten Sie die Anwendung oder den Anwendungsdienst neu, nachdem Sie eine Anwendung zur Verwendung eines SAML-Identitäts-Providers konfiguriert haben.