Systemeinstellungen: Registerkarte „Sicherheit“

IT-Asset-Management (Cloud)
Auf der Registerkarte Sicherheit der Seite Systemeinstellungen können Sie globale Sicherheitseinstellungen vornehmen. Die Sicherheitseinstellungen auf dieser Seite werden in folgende Abschnitte unterteilt:
  • Dokumente
  • Zeitlimit für Sitzung
  • Authentifizierung.

Dokumente

Dieser Abschnitt enthält globale Einstellungen, mit denen Sie festlegen können, welche Möglichkeiten zum Anhängen von Dokumenten in der Weboberfläche von IT-Asset-Management zulässig sind. Die mit diesen Einstellungen verbundenen Felder werden in der Weboberfläche der Website auf Basis der Einstellungen, die Sie hier vornehmen, angezeigt oder ausgeblendet. Sie können eine beliebige Kombination der folgenden Optionen auswählen:
  • Dokumentupload: Markieren Sie dieses Kontrollkästchen, um zuzulassen, dass Dokumente an allen Orten hochgeladen werden können, an denen in der Weboberfläche von IT-Asset-Management Dateien angehängt werden können. Hochgeladene Dokumente werden in der zentralen Compliance-Datenbank hinterlegt.
  • Dateispeicherort: Markieren Sie dieses Kontrollkästchen, um Textfelder zuzulassen, in denen Operatoren den Pfad zum Speicherort einer Datei (etwa eine Netzwerkverbindung) angeben können. Die Datei selbst wird nicht hochgeladen, sondern lediglich eine Referenz auf ihren Speicherort hinterlegt.
  • URL: Markieren Sie dieses Kontrollkästchen, um Textfelder zuzulassen, in die Operatoren eine URL-Adresse als Hyperlink zu einem Speicherort an anderer Stelle, nach Bedarf entweder in Ihrem unternehmenseigenen Intranet oder dem öffentlichen Internet, eingeben können.
    Tipp: Wenn ein Operator eine URL in ein Feld eingibt, das aus dieser Einstellung hervorgeht (zum Beispiel auf der Registerkarte Dokumente in den Lizenz- oder Vertragseigenschaften), wird ein modales Dialogfenster eingeblendet, das den Operator fragt, ob mit der Weiterleitung fortgefahren werden soll. Die URL wird in einem schreibgeschützten Textfeld im modalen Dialogfeld festgelegt, was es dem Operator ermöglicht, die URL durch Kopieren und Einfügen sicher zu überprüfen, bevor er die Weiterleitungsanfrage bestätigt.

Zeitlimit für Sitzung

Hinweis: Die Einstellung Zeitlimit für Sitzung wirkt auf zwei leicht unterschiedliche Arten:
  1. Wenn sich Operatoren über Flexera Account Management angemeldet haben, wird das Zeitlimit, wie unten beschrieben, immer angewendet.
  2. Wenn Sie die Konten von Operatoren so konfiguriert haben, dass eine Anmeldung über einen SAML 2.0-kompatiblen Identitätsanbieter (wie Okta) erfolgt, wird das Zeitlimit nur angewendet, wenn der Identitätsanbieter im optionalen Attribut SessionNotOnOrAfter in seiner Assertion kein eigenes Zeitlimit vorgibt:
    • Wenn der Identitätsanbieter keine Angaben zur Zeitüberschreitung macht, wird der hier eingestellte Wert als Zeitdauer verwendet, nach deren Ablauf der Identitätsanbieter gefragt wird, ob die Sitzung noch gültig ist. Ist das der Fall, bleibt die Sitzung bestehen. Ist das nicht der Fall, wird der Operator an die konfigurierte Authentifizierungs-URL weitergeleitet.
    • Wenn der Identitätsanbieter einen Wert für das Attribut SessionNotOnOrAfter vorgibt, wird das mitgelieferte Datums-/Zeitlimit für die Sitzung des Operators übernommen, und der hier in der Einstellung Zeitlimit für Sitzung festgelegte Wert wird für Sitzungen, die auf diese Art autorisiert wurden, vollständig ignoriert.
Weitere Informationen finden Sie im Kapitel Authentication der PDF-Datei IT-Asset-Management -Systemreferenz, die über die Startseite der Onlinehilfe verfügbar ist.

Wenn relevant. legt die Einstellung Zeitlimit für Sitzung die maximale Dauer fest, während der ein Operator ohne Aktivität an der Weboberfläche von IT-Asset-Management angemeldet sein kann. Dies ist ein „gleitender Ablauf“: Wenn ein Operator irgendeine Aktivität zur Interaktion mit dem zentralen Anwendungsserver ausführt (z. B. Daten speichern, eine Seite aufrufen oder eine Suche starten), wird das Zeitlimit für den Operator zurückgesetzt, und der Countdown startet erneut. Die Aktivität muss nicht in einer einzigen Browser-Registerkarte oder einem einzigen Fenster erfolgen: Der Operator kann unterschiedliche Registerkarten oder Fenster im selben Browser verwenden, und jede Serverinteraktion in beliebigen dieser Registerkarten bzw. Fenster setzt den Countdown zurück.

Dies ist ein einziges Zeitlimit für alle Operatoren in Ihrem Unternehmen (der Countdown läuft aber selbstverständlich für jeden Operator separat). Wie oben angemerkt gelten Ausnahmen für alle Operatoren, die sich durch das von Ihnen gewählte Single-Sign-on anmelden, und für die Ihr Identitätsanbieter einen Wert für das Attribut SessionNotOnOrAfter in der Assertion vorgibt.
  1. Wählen Sie eine Einstellung für Ihr Unternehmen aus der Optionsliste Zeitlimit:
    • 12 Stunden (Standardwert)
    • 4 Stunden
    • 1 Stunde
    • 30 Minuten.
  2. Klicken Sie (auf der rechten Seite) auf Speichern.
Das Zeitlimit setzt ein Cookie, das den Anwendungsserver davon abhält, eine neue Anmeldeaufforderung zu senden. Das bedeutet, dass beim ersten Zugriffsversuch auf eine beliebige Seite der Weboberfläche nach einem der folgenden Ereignisse eine erneute Anmeldung erforderlich ist:
  • Das Zeitlimit läuft ab
  • Cookies im Webbrowser werden gelöscht
  • Der Operator meldet sich ab
  • Der Operator wechselt zu einem anderen Webbrowser oder Computer.

Da der Countdown-Wert des Cookies bei der Anmeldung des Operators gesetzt wird, wirkt sich eine Änderung dieses Werts nur dann für ihn aus, wenn eines der oben beschriebenen Ereignisse eintritt und er sich erneut anmelden muss. Eine Änderung dieser Einstellung hat keinen Einfluss auf Sitzungen, die gestartet wurden, bevor die Änderung gespeichert wurde. Diese Sitzungen werden mit dem alten Wert fortgesetzt, bis eines der oben beschriebenen Ereignisse eintritt.

Authentication (Authentifizierung)

Die Einstellungen in diesem Bereich lassen eine Integration Ihrer cloudbasierten Implementierung von IT-Asset-Management mit einer SAML-basierten Single-Sign-on-Lösung (wie Okta oder ähnliche Produkte) zu. In der SAML-Terminologie wird das Authentifizierungstool Identitätsanbieter (Identity Provider) genannt. Dieser kontrolliert den Zugang zu einem Dienstanbieter (Service Provider) oder einer Anwendung (in diesem Fall IT-Asset-Management). Einzelheiten zur Verwendung eines SAML 2.0-konformen Systems für SSO finden Sie im Kapitel über Authentication im Leitfaden IT-Asset-Management -Systemreferenz, der über die Startseite der Onlinehilfe verfügbar ist.

General information (Allgemeine Informationen)

Im Bereich Allgemeine Informationen finden Sie schreibgeschützte Werte der in IT-Asset-Management konfigurierten Einstellungen. Diese können sicher kopiert und in die Einstellungen für Ihren Identitätsanbieter eingefügt werden. Weitere Informationen zum Konfigurieren Ihres gewählten Identitätsanbieters finden Sie in der Dokumentation für dieses Tool.
Tipp: Der Liste Unterstützte Funktionen können Sie Folgendes entnehmen:
  • Signieren von SAML-Assertions wird unterstützt – Wenn SAML-Tools Assertions zur Identifizierung an die Dienstanbieter senden, verlangen viele von ihnen die Unterstützung durch digitale Zertifikate, um die Kommunikation zu schützen. IT-Asset-Management unterstützt die Verwendung digitaler Zertifikate und entnimmt alle erforderlichen Daten der XML-Datei mit den Metadaten, die vom Identitätsanbieter bereitgestellt wird. (Dies gilt jedoch nur für die Signierung der Assertion vom Identitätsanbieter zum Dienstanbieter. Umgekehrt wird die ursprüngliche Anforderung vom Dienstanbieter nicht signiert.)
  • Verschlüsselung von SAML-Assertions wird nicht unterstützt – Die Kommunikation zwischen Ihrem Identitätsanbieter und Ihrem Dienstanbieter wird immer über den Webbrowser des Operators geleitet. Diese Kommunikation ist durch das HTTPS-Protokoll und die von diesem Protokoll gebotene Verschlüsselung geschützt. Und was den IT-Asset-Management-Dienstanbieter angeht, sind alle ausgetauschten Pakete digital signiert und können nicht manipuliert werden. IT-Asset-Management bietet jedoch keine zusätzliche Verschlüsselung innerhalb dieses Frameworks, sodass die Daten in dem Zeitraum, in dem sie sich im Webbrowser des Operators befinden, nicht verschlüsselt sind.
  • Abmeldung über Identitätsanbieter wird nicht unterstützt – Wenn sich ein Operator (lokal) von IT-Asset-Management abmeldet, hat dies naturgemäß keine Auswirkung auf den Identitätsanbieter: Abmelden vom Dienstanbieter entfernt die lokal hinterlegten Cookies der Sitzung aus dem Webbrowser des Operators, ändert aber nicht die Identitätsvalidierung des Operators beim Identitätsanbieter (siehe nächster Tipp). Im Falle von IT-Asset-Management gilt jedoch: Eine (zentrale) Abmeldung vom Identitätsanbieter erzwingt keine Abmeldung vom Dienstanbieter und die aktuelle Sitzung des Operators in IT-Asset-Management wird fortgesetzt, bis sich der Operator auch lokal abmeldet (d. h. Single-Sign-out wird nicht unterstützt).
Zudem bedeutet eine Beschränkung der zugrunde liegenden Bibliothek (Kentor.AuthServices), dass die SAML-Authentifizierung für IT-Asset-Management keine Federal Information Processing Standards (FIPS) unterstützen kann.
Tipp: Da durch die lokale Abmeldung von IT-Asset-Management die lokal hinterlegten Cookies aus dem Browser des Operators gelöscht werden, wird beim nächsten Anmeldeversuch des Operators bei IT-Asset-Management eine erneute Authentifizierung erzwungen, genau wie erwartet. Wenn der Operator mit einem SAML-Tool-Konto noch beim Identitätsanbieter angemeldet (und daher autorisiert) ist, gelingt die Authentifizierung sofort und dem Operator wird keine weitere Anmeldemaske angezeigt. Das führt häufig zu Verwirrung bei den Operatoren: „Ich habe mich gerade abgemeldet, wie kann es sein, dass ich noch Zugriff habe?“ Die Antwort darauf lautet: Weil Sie immer noch durch den Identitätsanbieter autorisiert sind, ist keine erneute Anmeldung erforderlich.

Metadaten des SAML-Identitätsanbieters

Im Bereich Metadaten des SAML-Identitätsanbieters können Sie für Ihren Dienstanbieter (IT-Asset-Management) Informationen über den von Ihnen gewählten Identitätsanbieter hinterlegen, die eine Kommunikation zwischen diesen beiden zulassen. Sie können sich für eine der folgenden Methoden (aber nicht für beide) entscheiden, um die erforderlichen Daten bereitzustellen:
  • URL – Die von Ihrem Identitätsanbieter genannte URL zum Herunterladen seines Metadaten-Dokuments. Bei den Metadaten handelt es sich um ein XML-Dokument mit Informationen, die IT-Asset-Management für die Interaktion mit dem Identitätsanbieter benötigt. Die Datei kann URLs von Endpunkten oder Informationen über unterstützte Bindungen (Bindings), Identifier und öffentliche Schlüssel enthalten. (Weitere Informationen finden Sie im SAML 2.0-Metadatenschema, das unter http://docs.oasis-open.org/security/saml/v2.0/saml-schema-metadata-2.0.xsd verfügbar ist.)
    Tipp: Wenn Sie mit einem Wert in diesem Feld auf Speichern klicken, lädt IT-Asset-Management die Metadatendatei sofort herunter und validiert sie. Werden Fehler gefunden, wird eine Warnung eingeblendet, um Ihnen bei der Fehlerbehebung zu helfen. Die Authentifizierungseinstellungen können erst gespeichert werden, wenn eine gültige Metadatendatei abgerufen wurde.
  • Metadatendatei – Sie können zur Metadatendatei navigieren, wenn Sie eine lokale Kopie besitzen (oder Sie geben den vollständigen Dateipfad ein, wenn Sie nicht zur Datei navigieren können). Bei Auswahl dieser Option muss die XML-Datei mit den Metadaten die URLs enthalten, die erforderlich sind, damit sich IT-Asset-Management mit Ihrem Identitätsanbieter verbinden kann. Nachdem Sie die Metadatendatei ausgewählt haben, klicken Sie auf Hochladen, um eine Kopie auf dem zentralen Anwendungsserver zu hinterlegen. Die hochgeladene Datei wird geprüft. Authentifizierungseinstellungen können ohne eine gültige Metadatendatei nicht gespeichert werden.

Aktive(r) Identitätsanbieter

Im letzten Bereich können Sie den Betriebsmodus für Ihre SAML-Integration einrichten und festlegen, welche Identitätsanbieter in Ihrem Unternehmen/Mandanten eingesetzt werden.
Tipp: Sie können eine der letzten drei Optionen nur speichern, wenn auch eine gültige Metadatendatei erkannt wurde.
Sie können zwischen den folgenden Optionen wählen:
  • Flexera-Kontenverwaltung – Diese Option ist immer die Voreinstellung und die richtige für Unternehmen, die keine SAML-konforme SSo-Lösung implementieren. Mit dieser Einstellung müssen sich alle Operatoren (in diesem Mandanten) unter Nutzung der Flexera-Kontenverwaltung anmelden und ihren Benutzername und das Kennwort vor dem Start jeder Sitzung angeben. Der Anmeldebildschirm enthält keine Zugriffsmöglichkeit auf eine Single-Sign-on-Option. Wenn ein derzeit nicht angemeldeter Operator versucht, zu Ihrer benutzerdefinierten mandantenspezifischen URL zu navigieren, wird er/sie auf die Flexera-Anmeldeseite zurückgeleitet.
    Tipp: Jeder Operator, der an einem Tag sechs erfolglose Versuche unternimmt, sich anzumelden, wird permanent ausgeschlossen. (Uhrzeit und Datum für die Tage richten sich nach Mitternacht auf dem Anwendungsserver der Cloud, also Pazifik-Zeit für den US-Server und mitteleuropäische Zeit für die EU-Instanz.) Um das Konto eines Operators, der ausgeschlossen wurde, wiederherzustellen, wenden Sie sich bitte mit Einzelheiten an den Support von Anwendungsserver.
  • Flexera (Standard) mit SAML-Identitätsanbieter (Pilotprojekt) – Diese Einstellung ist als Übergangsperiode gedacht, wenn Sie Operatoren von der Flexera-Kontenverwaltung auf die Nutzung Ihres SAML-konformen Identitätsanbieters migrieren. Operatoren, die zu Ihrer angepassten, mandantenspezifischen URL gehen, sehen einen Anmeldebildschirm, auf dem Sie ihre Flexera-Anmeldeinformationen eingeben müssen. Um Ihre Single-Sign-on-Lösung zu testen, können Operatoren zur Liste der unterstützten Anwendungen Ihres SAML-Identitätsanbieters navigieren und IT-Asset-Management aus dieser Liste auswählen (durch den Dienstanbieter initiiertes SSO).
  • SAML-Identitätsanbieter (Standard) mit Flexera-Option – Diese Option bietet zwei verschiedene Möglichkeiten, sich anzumelden:
    • Operatoren, die zu Ihrer benutzerdefinierten mandantenspezifischen URL navigieren (wie etwa https://exampleTenant.flexnetmanager.com/Suite), werden auf die Anmeldeseite Ihres SAML-Identitätsanbieters (z. B. Okta) zurückgeleitet.
      Tipp: Der in der URL verwendete Mandantenname (hier als exampleTenant dargestellt) muss durch Ihren Berater oder Support-Ansprechpartner bei Flexera registriert werden. Solange der Mandantenname noch nicht registriert ist, wird stattdessen die Mandanten-UID verwendet, die für Ihre Operatoren weder besonders aussagekräftig noch besonders gut zu merken ist.
    • Operatoren, die zu einer keinem Mandanten zugehörigen URL navigieren (wie etwa https://www.flexnetmanager.com/Suite), werden auf die Flexera-Anmeldeseite zurückgeleitet.
  • Nur SAML-Identitätsanbieter – Alle Operatoren (für Ihren Mandanten) müssen sich über Ihren SAML-Identitätsanbieter anmelden. Wenn ein derzeit nicht angemeldeter Operator versucht, zu Ihrer benutzerdefinierten mandantenspezifischen URL zu navigieren, wird er/sie zur Ihrer Single-Sign-on-Lösung zurückgeleitet.
    Warnung: In diesem Modus kann sich kein Operator, der nur durch Ihren SAML-Identitätsanbieter über Anmeldedaten verfügt, über die keinem Mandanten zugehörige URL (wie etwa https://www.flexnetmanager.com/Suite) anmelden. Alle Anmeldeversuche werden scheitern. Wenn ein Administrator über Anmeldedaten für beide Arten von Identitätsanbieter verfügt, kann er/sie zu der keinem Mandanten zugehörigen URL (wie etwa https://www.flexnetmanager.com/Suite) navigieren und sich mit seinen/ihren Flexera-Anmeldedaten anmelden. Die Flexera-Kontenverwaltung gibt dann die Autorisierung für diese Person, auf den bestimmten Mandanten zuzugreifen, an IT-Asset-Management zurück. Da dieser Mandant aber jetzt für die Option Nur SAML-Identitätsanbieter konfiguriert ist, wird der Zugriff verweigert. Der Anmeldeversuch wird zu Ihrer Single-Sign-on-Lösung umgeleitet und der Administrator muss sich erneut anmelden.

Wenn Sie alle Einstellungen vorgenommen haben, klicken Sie (unten rechts) auf Speichern. Ihre Einstellungen werden überprüft und Sie erhalten die Gelegenheit, Probleme zu beheben. Wenn alles in Ordnung ist, werden die Konfigurationsdetails in der zentralen Compliance-Datenbank für den aktuellen Mandanten gespeichert.

Fehlerbehebung bei Ihren Authentifizierungseinstellungen

Probleme mit der Interaktion zwischen Ihrem Identitätsanbieter und Ihrem Dienstanbieter/Service-Provider (IT-Asset-Management) werden auf der Seite Aktivitätsprotokoll in der Weboberfläche kenntlich gemacht. Suchen Sie die Seite Aktivitätsprotokoll. Auf dieser Seite können Sie bestimmte Schwierigkeiten durch eine der folgenden Vorgehensweisen identifizieren:
  • Wenn Sie einen Fehler mit einem bestimmten Fehlercode erhalten haben, kopieren Sie diesen aus Ihrer Fehlermeldung und fügen Sie ihn in einen einfachen Filter für die Spalte Beschreibung ein. Die Fehlercodes werden in der ausführlichen Beschreibung wiedergegeben, so dass dieser Filter Vorkommnisse mit genau dem angegebenen Fehler findet.
  • Um alle verbundenen Protokolleinträge zu überprüfen, klicken Sie auf Filter hinzufügen, wählen Sie Aktivität und dann SAML-Authentifizierung.

IT-Asset-Management (Cloud)

Current