Referenz im Dialogfeld "Bereich"

Im Dialogfeld "Bereich" konfigurieren Sie Bereiche. Das Dialogfeld enthält folgende Abschnitte:
casso128figsbrde
HID_realm
Im Dialogfeld "Bereich" konfigurieren Sie Bereiche. Das Dialogfeld enthält folgende Abschnitte:
Dialogfeld "Bereich" - Abschnitt "Allgemein"
Der Abschnitt "Allgemein" identifiziert den Bereich. Die Einstellungen sind:
  • Name
    Definiert den Bereichsnamen.
  • Beschreibung
    Beschreibt den Bereich.
Dialogfeld "Bereich" - Abschnitt "Ressource"
Im Abschnitt "Ressource" geben Sie Ressourceninformationen für den Bereich an.
Erstellen Sie keinen Bereich, dessen angegebener Agent und Ressourcenfilter mit dem angegebenen Agenten und Ressourcenfilter in einem vorhandenen Bereich übereinstimmen. Normalerweise wird die Benutzeroberfläche dies verhindern. Allerdings kann die Kombination aus zwei Agenten oder aus zwei Ressourcenfiltern, die als Zeichenfolgen unterschiedlich aussehen aber gleich aufgelöst werden, die Validierungsalgorithmen des Richtlinienservers umgehen.
Die Einstellungen sind folgende:
  • Agent
    Gibt den Namen des Agenten oder der Agentengruppe an, die die Ressourcen im Bereich schützen werden.
  • Schaltfläche "Ellipsen"
    Öffnet das Dialogfeld "Set Agent/Group" (Agenten/Gruppe festlegen), in dem Sie einen Agenten oder eine Agentengruppe aus einer Liste aller vorhandenen Objekte auswählen oder anhand des Namens suchen.
  • Ressourcenfilter
    Gibt den Pfad für den Ressourcenfilter an. Dieses Feld fungiert als Stamm für die Suche von Ressourcen.
    Jede Ressource auf dem Server, den der Agent, der mit dem Ressourcenfilter übereinstimmt, schützt, wird in den Bereich eingeschlossen, zu dem Sie eine Verbindung herstellen. Zum Beispiel zeigt /marketing/ an, dass der neue Bereich nur Ressourcen enthält, die sich im Verzeichnis /marketing/ des Servers befinden, den der Agent oder die Agentengruppe schützt.
    Hinweis:
    Sternchen (*) und Fragezeichen (?) werden als literale Zeichenfolgen in Ressourcenfiltern verarbeitet (nicht als Platzhalter).
  • Gültige Ressource
    (Information) Zeigt den Agenten und die Ressource an, den bzw. die der Bereich schützt.
  • Standardmäßiger Ressourcenschutz
    • Geschützt
      Zeigt an, dass die Ressourcen im Bereich nicht standardmäßig durch
      Single Sign-On
      geschützt sind. Um den Zugriff auf diese Ressource zu ermöglichen, müssen Sie eine Regel erstellen und an eine Richtlinie binden, die den Zugriff auf Benutzer oder Gruppen ermöglicht. Das Optionsfeld "Geschützt" ist standardmäßig ausgewählt.
      Es kann eine kurze Verzögerung zwischen den Zeiten geben, wenn Sie einen Bereich erstellen und wenn der Richtlinienserver beginnt, den Bereich zu schützen. Web-Agenten fragen den Richtlinienserver in festen Intervallen (standardmäßig 30 Sekunden) nach Änderungen ab. Standardmäßig kann es eine Minute dauern, bis der Richtlinienserver den Bereich erkennt. Statt zu warten, können Sie den Richtlinienserver auch neu starten, damit der neue Bereich sofort erkannt wird. 
    • Ungeschützt
      Zeigt an, dass die Ressourcen im Bereich nicht standardmäßig geschützt sind. Die Ressourcen im Bereich können geschützt werden, wenn Sie eine Regel erstellen und die Regel an eine Richtlinie binden.
  • Authentifizierungsschema
    Gibt das Authentifizierungsschema an, das den Bereich schützt.
Dialogfeld "Bereich" - Abschnitt "Regeln"
Der Abschnitt "Regeln" ermöglicht es Ihnen, vorhandene Regeln aufzulisten, die an den Bereich gebunden sind. Außerdem können Sie hier neue Regeln erstellen.
  • Name
    Identifiziert die Regel.
  • Beschreibung
    Beschreibt die Regel.
  • Ressource
    Gibt die Ressource an, die die Regel schützt.
  • Aktionen
    Gibt die Aktion des Web-Agenten oder das Ereignis an, die bzw. das die Regel auslöst.
  • Aktiviert
    Gibt an, ob die Regeln aktiviert oder deaktiviert sind.
  • Erstellen
    Öffnet das Dialogfeld "Regeln".
Dialogfeld "Bereich" - Abschnitt "Unterbereiche"
Im Abschnitt "Unterbereiche" können Sie geschachtelte Unterbereiche konfigurieren.
  • Name
    Identifiziert den geschachtelten Bereich.
  • Ressourcenfilter
    Zeigt den Ressourcenfilter an.
  • Unterbereich erstellen
    Öffnet den Bereich "Bereich erstellen", in dem Sie einen Bereich erstellen können. Ein Bereich, den Sie auf diese Weise erstellen, wird unter dem Bereich geschachtelt.
Dialogfeld "Bereich" - Abschnitt "Sitzung"
Im Abschnitt "Sitzung" können Sie Sitzungszeitlimits festlegen, nicht dauerhafte oder dauerhafte Sitzungen auswählen und synchrone Überwachung für den Bereich aktivieren oder deaktivieren.
Das Sitzungszeitlimit basiert auf der Sitzung, die eingerichtet wird, wenn ein Benutzer in einem Bereich authentifiziert wird. Wenn ein Benutzer auf eine Ressource in einem anderen Bereich zugreift, dann verwaltet der Richtlinienserver die Benutzersitzung. Wenn ein Benutzer beispielsweise in "BereichA" authentifiziert wird, der ein Sitzungszeitlimit von 30 Minuten hat, dann greift der Benutzer 15 Minuten später auf eine Ressource in "BereichB" zu, unabhängig vom Sitzungszeitlimit für "BereichB". Die Sitzung des Benutzers läuft in den nächsten 15 Minuten ab. Wenn Sie dieses Standardverhalten ändern möchten, können Sie Antworten erstellen, um Werte für das Sitzungszeitlimit zu ersetzen.
  • Maximales Zeitlimit
    Wenn diese Option aktiviert ist, wird die Zeit bestimmt, die eine Benutzersitzung maximal aktiv sein kann, bevor der Agent den Benutzer zur erneuten Authentifizierung auffordert.
    Hinweis:
    Sie können diese Einstellung überschreiben, indem Sie das Antwortattribut "WebAgent-OnAuthAccept-Session-Max-Timeout" verwenden.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um keine maximale Sitzungsdauer anzugeben. Die maximale Sitzungsdauer ist standardmäßig auf zwei Stunden festgelegt.
    • Stunden
      Gibt die Stunden für die maximale Sitzungsdauer an.
    • Minuten
      Gibt die Minuten für die maximale Sitzungsdauer an.
      Um diese Funktion mit dem standardmäßigen Authentifizierungsschema zu verwenden, muss Ihr Web-Agent auf "Require Cookies" (Cookies sind erforderlich) konfiguriert sein.
  • Zeitlimit des Leerlaufs
    Wenn diese Option aktiviert ist, wird die Zeit bestimmt, die eine autorisierte Benutzersitzung inaktiv bleiben kann, bevor der Agent die Sitzung beendet. Wenn Sie besorgt sind, dass Benutzer nach dem Zugriff auf eine geschützte Ressource ihre Workstations verlassen lassen, dann legen Sie das Zeitlimit des Leerlaufs auf einen kürzeren Zeitraum fest. Wenn die Sitzung das Zeitlimit überschreitet, müssen Benutzer sich erneut authentifizieren, bevor auf die Ressourcen im Bereich zugegriffen werden können.
    Diese Einstellung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen, um kein Zeitlimit des Leerlaufs anzugeben. Das standardmäßige Zeitlimit des Leerlaufs ist eine Stunde.
    Hinweis:
    Die Sitzung läuft tatsächlich innerhalb eines bestimmten Wartungszeitraums, nach dem angegebenen Zeitlimit des Leerlaufs, ab. Der zusätzliche Zeitraum wird über die Anzahl der Sekunden festgelegt, die im folgenden Registrierungsschlüssel angegeben sind: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\SessionServer\MaintenancePeriod
    Standard:
    60 Sekunden.
    Wenn Sie z. B. das Zeitlimit des Leerlaufs auf 10 Minuten festlegen und Sie den Standardwert der Registrierungseinstellung "MaintenancePeriod" verwenden, dann ist der längste Zeitraum 11 Minuten (angegebenes Zeitlimit und Wartungszeitraum), bevor eine Sitzung das Zeitlimit aufgrund von Inaktivität überschreitet.
    Um diese Funktion mit dem standardmäßigen Authentifizierungsschema zu verwenden, muss Ihr Web-Agent auf "Require Cookies" (Cookies sind erforderlich) konfiguriert sein.
    Hinweis
    : Beachten Sie Folgendes:
    • Für dauerhafte Sitzungen muss das Zeitlimit des Leerlaufs aktiviert und auf einen Wert festgelegt sein, der höher ist als der Wert, der für den Validierungszeitraum angegeben wurde.
    • Sie können diese globale Einstellung überschreiben, indem Sie das Antwortattribut "WebAgent-OnAuthAccept-Session-Idle-Timeout" verwenden. Ein Nullwert gibt an, dass die Sitzung nicht aufgrund von Inaktivität beendet wird.
    • Stunden
      Gibt die Stunden für das Zeitlimit des Leerlaufs an.
    • Minuten
      Gibt die Minuten für das Zeitlimit des Leerlaufs an.
  • Dauerhafte Sitzung
    Hinweis
    : Um diese Einstellungen anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole.
    • Nicht dauerhaft
      Gibt an, dass Sitzungen in diesem Bereich nicht dauerhaft sind. Benutzersitzungen werden mithilfe von Cookies protokolliert.
    • Dauerhaft
      Gibt an, dass Sitzungen in diesem Bereich dauerhaft sind. Benutzersitzungen werden im Sitzungsspeicher und optionalen Cookies protokolliert.
      Wenn Sie diese Option auswählen, dann
      muss
      die Option "Zeitlimit des Leerlaufs" festgelegt werden. Zusätzlich können Sie eine Validierungsdauer angeben.
      Wenn Sie einen oder mehrere Bereiche konfigurieren, um dauerhafte Sitzungen zu verwenden, müssen Sie sicherstellen, dass der Sitzungsserver aktiviert und konfiguriert ist.
  • Validierungszeitraum
    Hinweis
    : Um diese Einstellung anzuzeigen, aktivieren Sie den Sitzungsserver mithilfe der Richtlinienserver-Verwaltungskonsole, und aktivieren Sie die Option "Dauerhafte Sitzung" (oben).
    Wenn aktiviert, wird der Zeitraum bestimmt, den der Agent das Ergebnis eines Validierungsaufrufe der Sitzung auf dem Richtlinienserver zwischenspeichert. Validierungsaufrufe der Sitzung erfüllen zwei Funktionen: Der Richtlinienserver wird darüber informiert, dass ein Benutzer noch aktiv ist, und es wird überprüft, ob die Benutzersitzung noch gültig ist. Validierungsaufrufe der Sitzung informieren den Richtlinienserver darüber, dass ein Benutzer aktiv ist, und sie bestätigen, dass die Benutzersitzung gültig ist. Wenn diese Option deaktiviert ist, wird der Agent immer versuchen, die Sitzung aus dem eigenen Cache zu validieren, und der Richtlinienserver wird nur aufgerufen, wenn die Sitzung im eigenen Cache nicht verfügbar ist.
    Um den Validierungszeitraum anzugeben, geben Sie Werte in die Felder "Stunden", "Minuten" und "Sekunden" ein. Wenn Sie das System konfigurieren, um einen Windows-Benutzersicherheitskontext anzugeben, geben Sie einen hohen Wert ein, wie z. B. 15-30 Minuten.
    Hinweis
    : Der Wert "Validierungszeitraum" muss größer als Null sein.
    Wichtig!
    Der Validierungszeitraum der Sitzung muss weniger sein als der angegebene Wert für das Zeitlimit des Leerlaufs.
  • Synchrone Überwachung
    Gibt an, dass der Richtlinienserver und der Web-Agent verbundene Aktivitäten protokollieren muss, bevor Benutzer auf Ressourcen zugreifen dürfen. Der Zugriff wird auch verhindert, bis die Aktivität in den Audit-Protokollen aufgezeichnet wird. 
  • casso128figsbrde
    Erweiterte Sitzungssicherung
    Schützt die Ressourcen, die im Bereich (des Richtliniendomänenmodells) oder der Komponente (des Anwendungsmodells) festgelegt sind. Sie können auch die Authentifizierungsanforderungen von bestimmten Federation-Partnerschaften schützen. Der Sitzungssicherungsendpunkt erfasst die DeviceDNA™ vom Benutzer und validiert die Sitzung.
    Wert
    : Geben Sie die Endpunkte der Sitzungssicherung an.
  • casso128figsbrde
    Sitzungssicherung
    Gibt den Namen einer erweiterten Sitzungssicherung mit DeviceDNA™-Endpunkt an, den Sie zuvor in der Verwaltungsoberfläche definiert haben. Die Sitzungen der Benutzer, die auf diesen Bereich (für Richtliniendomänen) oder diese Komponente zugreifen (für Anwendungen), werden mithilfe dieses Endpunkts validiert.
Dialogfeld "Bereich" - Abschnitt "Erweitert"
Im Abschnitt "Erweitert" können Sie Registrierungsschemen, erweiterte Verzeichniszuordnungen (Autorisierung und Validierung) und Legacy-Verzeichniszuordnungen konfigurieren. Außerdem können Sie die Typen der Ereignisse konfigurieren, die für den Bereich verarbeitet werden. Dadurch können Sie Regeln zu den angezeigten Typen der Ereignisse und eine minimale Vertrauensebene zuordnen.
  • Autorisierung - Zuordnung von Identitäten
    Im Abschnitt "Autorisierung - Zuordnung von Identitäten" geben Sie ein Autorisierungsverzeichnis an, in dem Benutzer auf Ressourcen im Bereich zugreifen. "Autorisierung - Zuordnung von Identitäten" ermöglicht es Benutzern, die in einem Verzeichnis authentifiziert sind, in einem anderen Verzeichnis autorisiert zu werden.
    • Autorisierungszuordnung
      Gibt das Autorisierungsverzeichnis für den Bereich an. Nur Verzeichniszuordnungen, die bereits mithilfe der Verzeichniszuordnung konfiguriert wurden: Das Dialogfeld "Zuordnung von Identitäten" wird in der Liste angezeigt.
    • Zuordnung der Autorisierung erstellen
      Öffnet das Dialogfeld "Zuordnung von Identitäten", um ein Objekt für die Zuordnung von Autorisierungsidentitäten zu erstellen.
  • Validierung der Zuordnung von Identitäten
    Im Abschnitt "Validierung der Zuordnung von Identitäten" geben Sie ein Validierungsverzeichnis an, in dem Benutzer auf Ressourcen im Bereich zugreifen. Validierung der Zuordnung von Identitäten ermöglichen es Benutzern, die in einem Verzeichnis authentifiziert sind, in einem anderen Verzeichnis validiert zu werden.
    • Validierungszuordnung
      Gibt das Validierungsverzeichnis für den Bereich an. Nur Verzeichniszuordnungen, die bereits mithilfe der Verzeichniszuordnung konfiguriert wurden: Das Dialogfeld "Zuordnung von Identitäten" wird in der Liste angezeigt.
    • Validierungszuordnung erstellen
      Öffnet das Dialogfeld "Zuordnung von Identitäten", um ein Objekt für die Zuordnung von Validierungsidentitäten zu erstellen.
  • Verzeichniszuordnung der Legacy-Autorisierung
    Im Abschnitt "Verzeichniszuordnung" geben Sie ein Autorisierungsverzeichnis an, in dem Benutzer auf Ressourcen im Bereich zugreifen. Verzeichniszuordnungen von Autorisierungsidentitäten ermöglichen es Benutzern, die in einem Verzeichnis authentifiziert sind, in einem anderen Verzeichnis autorisiert zu werden.
    • Verzeichniszuordnung
      Gibt das Autorisierungsverzeichnis für den Bereich an. Nur Verzeichniszuordnungen, die bereits mithilfe der Verzeichniszuordnung konfiguriert wurden: Das Dialogfeld "Auth/Az-Zuordnung" wird in der Liste angezeigt. Sie können nur Zuordnungen zu Autorisierungsverzeichnissen auswählen, die in der Richtliniendomäne, in der sich der Bereich befindet, enthalten sind.
    • Zuordnung der Legacy-Autorisierung erstellen
      Öffnet das Dialogfeld "Verzeichniszuordnung" für die Zuordnungen von Authentifizierungs- und Autorisierungsverzeichnissen.
  • Ereignisse
    Im Abschnitt "Ereignisse" aktivieren Sie die Ereignisverarbeitung für Authentifizierungs- und Autorisierungsereignisse, um Regeln zu unterstützen, die von diesen Ereignissen ausgelöst werden.
    • Authentifizierungsereignisse verarbeiten
      Unterstützt Regeln, die von Authentifizierungsversuchen ausgelöst werden.
    • Autorisierungsereignisse verarbeiten
      Unterstützt Regeln, die von Autorisierungsversuchen ausgelöst werden.
      Wichtig!
      Wenn die Ressourcen im Bereich zu globalen Regeln in einer globalen Richtlinie zugeordnet werden, müssen Authentifizierungs- und Autorisierungsereignisse aktiviert werden. Der Richtlinienserver verarbeitet globale Richtlinien nur dann, wenn Authentifizierungs- und Autorisierungsereignisse aktiviert sind.
  • Unterstützung der Risikofaktoren
    Wenn der Richtlinienserver in einer unterstützten Risikoanalyse-Engine integriert ist, dann können Sie im Abschnitt "Unterstützung des Risikofaktors" eine minimale Vertrauensebene eingeben. Eine Vertrauensebene stellt eine Sicherung der Anmeldeinformationen dar, bei der der Benutzer, der die geschützte Ressource anfordert, aller Wahrscheinlichkeit nach legitim ist.
    Dieser Abschnitt ist nur verfügbar, wenn die Unterstützung der Vertrauensebene aktiviert ist. 
Dialogfeld "Bereich" - Abschnitt "Ressourcen im Bereich löschen"
Der Abschnitt "Ressourcen im Bereich löschen" wird angezeigt, wenn Sie einen vorhandenen Bereich ändern. Es enthält folgendes Element:
  • Löschen
    Leert die Informationen des Bereichs aus dem Ressourcenzwischenspeicher.