Erteilen von Berechtigungen auf das One Identity Manager Schema über Berechtigungsgruppen
Die Berechtigungen für den Zugriff auf die Tabellen und Spalten des One Identity Manager Schemas werden im Schema selbst über Berechtigungsgruppen abgebildet. Berechtigungsgruppen können Sie an Systembenutzer und an Anwendungsrollen zuweisen.
Berechtigungsgruppen werden zusätzlich verwendet, um den Zugriff auf die Bestandteile der Benutzeroberfläche wie Menüeinträge, Formulare, Methoden und Programmfunktionen zu steuern. Meldet sich ein Benutzer an den One Identity Manager-Werkzeugen an, so werden abhängig von den Berechtigungsgruppen des ermittelten Systembenutzers die verfügbaren Menüeinträge, Oberflächenformulare und Methoden ermittelt und die für ihn angepasste Benutzeroberfläche geladen. Ausführliche Informationen zur Bearbeitung der Benutzeroberfläche finden Sie im One Identity Manager Konfigurationshandbuch.
Der One Identity Manager stellt Berechtigungsgruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche und Berechtigungen auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar.
Detaillierte Informationen zum Thema
Verwandte Themen
Vordefinierte Berechtigungsgruppen und Systembenutzer
Der One Identity Manager stellt Berechtigungsgruppen und Systembenutzer mit einer vordefinierten Benutzeroberfläche und speziellen Berechtigungen auf die Tabellen und Spalten des One Identity Manager Schemas bereit. Diese vordefinierten Konfigurationen werden durch die Schemainstallation gepflegt und sind bis auf einige Eigenschaften nicht bearbeitbar.
Tabelle 18: Vordefinierte Berechtigungsgruppen
|
Berechtigungsgruppe QBM_BaseRights |
Die Berechtigungsgruppe QBM_BaseRights definiert die Basisberechtigungen, die für die Anmeldung eines Systembenutzers an den One Identity Manager-Werkzeugen erforderlich sind. Diese Berechtigungsgruppe ist implizit immer zugewiesen. |
|
Berechtigungsgruppe VID_Features |
Die Berechtigungsgruppe VID_Features besitzt alle Programmfunktionen, die zum Starten der One Identity Manager-Werkzeuge erforderlich sind. Zusätzlich besitzt die Berechtigungsgruppe weitere Programmfunktionen zum Ausführen spezieller Funktionen im One Identity Manager. |
|
Berechtigungsgruppe VI_View |
Die Berechtigungsgruppe VI_View besitzt die Sichtbarkeitsberechtigungen auf alle Tabellen und Spalten, die Anwendungsdaten abbilden.
HINWEIS: Weisen Sie der Berechtigungsgruppe die Sichtbarkeitsberechtigungen auf kundenspezifischen Schemaerweiterungen zu. |
|
Berechtigungsgruppe VI_Everyone |
Die Berechtigungsgruppe VI_Everyone sind Formularelemente der Übersichtformulare, die Links zu den korrespondieren Menüeinträgen verwenden, zugewiesen. Zusätzlich stellt diese Berechtigungsgruppen Funktionen für Web Portal Benutzer zur Verfügung.
Hinweis: Weisen Sie die Berechtigungsgruppe ihren kundenspezifischen Systembenutzern zu, damit die Übersichtsformulare für die Benutzer vollständig angezeigt werden. |
|
Berechtigungsgruppen für One Identity Manager-Anwendungsdaten |
Die Berechtigungsgruppen besitzen Berechtigungen auf die Tabellen und die Spalten, die Anwendungsdaten abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um die Anwendungsdaten beispielsweise mit dem Manager zu bearbeiten. |
|
Berechtigungsgruppen für One Identity Manager-Systemdaten |
Die Berechtigungsgruppen besitzen die Berechtigungen auf die Tabellen und die Spalten, die Systemdaten des One Identity Manager abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um Systemdaten zu bearbeiten, beispielsweise mit den Editoren des Designer.
Die Berechtigungsgruppe vid besitzt alle Berechtigungen für die Systemkonfiguration mit dem Designer. |
|
Rollenbasierte Berechtigungsgruppe VI_4_ALLUSER |
Die Berechtigungsgruppe VI_4_ALLUSER stellt die Basisberechtigungen sowie Menüeinträge, Formulare, Methode und Programmfunktionen zur Verfügung, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Berechtigungsgruppe ist implizit immer zugewiesen. |
|
Rollenbasierte Berechtigungsgruppe vi_4_ADMIN_LOOKUP |
Die Berechtigungsgruppe vi_4_ADMIN_LOOKUP besitzt die Sichtbarkeitsberechtigungen auf alle Tabellen und Spalten, die Anwendungsdaten abbilden.
HINWEIS: Weisen Sie der Berechtigungsgruppe die Sichtbarkeitsberechtigungen auf kundenspezifischen Schemaerweiterungen zu. |
|
Rollenbasierte Berechtigungsgruppe QER_OperationsSupport |
Die Berechtigungsgruppe QER_OperationsSupport besitzt spezielle Berechtigungen für die Arbeit mit dem Web Portal für Betriebsunterstützung. Die Berechtigungsgruppe ist der Anwendung OperationsSupportWebPortal zugewiesen. Die Berechtigungen der Berechtigungsgruppe gelten nur im Web Portal für Betriebsunterstützung. |
|
Rollenbasierte Berechtigungsgruppen |
Rollenbasierte Berechtigungsgruppen besitzen Berechtigungen auf die Tabellen und Spalten, die Anwendungsdaten abbilden. Diese Berechtigungsgruppen sind mit Menüeinträgen, Formularen, Methoden und Programmfunktionen ausgestattet, um mit dem Manager und dem Web Portal die Anwendungsdaten zu bearbeiten. Diese Berechtigungsgruppen sind mit One Identity Manager Anwendungsrollen verknüpft und vereinfachen im One Identity Manager Rollenmodell die Administration der Berechtigungen. |
Tabelle 19: Vordefinierte Systembenutzer
|
Dynamische Systembenutzer |
Für die Anmeldung an den One Identity Manager-Werkzeugen mit rollenbasierten Authentifizierungsmodulen werden dynamische Systembenutzer verwendet. Bei der Anmeldung einer Person werden zunächst die Mitgliedschaften der Person in den One Identity Manager Anwendungsrollen ermittelt. Über die Zuordnung der Berechtigungsgruppen zu One Identity Manager Anwendungsrollen wird bestimmt, welche Berechtigungsgruppen für die Person gültig sind. Aus diesen Berechtigungsgruppen wird ein dynamischer Systembenutzer berechnet, der für die Anmeldung der Person benutzt wird. |
|
Systembenutzer sa |
Der Systembenutzer sa wird ausschließlich durch den One Identity Manager Service verwendet. Der Systembenutzer ist keiner Berechtigungsgruppe zugeordnet, besitzt jedoch alle Berechtigungen, Methoden und Programmfunktionen. |
|
Systembenutzer viadmin |
Der Systembenutzer viadmin ist der Standard-Systembenutzer des One Identity Manager. Dieser Systembenutzer kann zum Kompilieren einer initialen One Identity Manager-Datenbank und zur ersten Anmeldung an den Administrationswerkzeugen genutzt werden.
WICHTIG: Verwenden Sie den Systembenutzer viadmin nicht im produktiven Betrieb. Erstellen Sie einen eigenen Systembenutzer mit entsprechenden Berechtigungen.
Der Systembenutzer hat die kompletten vorgegebenen Berechtigungen und die komplette Benutzeroberfläche. Der Systembenutzer erhält implizit die Berechtigungen und Benutzeroberflächenanteile der kundenspezifischen Berechtigungsgruppen. Der Systembenutzer hat die Berechtigung, eine Person als One Identity Manager Administrator für die rollenbasierte Anmeldung einzurichten. Er ist selbst jedoch nicht Mitglied der Anwendungsrollen. |
|
Systembenutzer Synchronization |
Der Systembenutzer Synchronization hat die vorgegebenen Berechtigungen, um Zielsystemsynchronisationen über einen Anwendungsserver einrichten und ausführen zu können. |
|
Systembenutzer viHelpdesk |
Der Systembenutzer viHelpdesk hat die vorgegebenen Berechtigungen und die Benutzeroberfläche, um mit dem Manager auf die Helpdesk-Ressourcen des One Identity Manager zuzugreifen. |
Verwandte Themen
Regeln für die Ermittlung der gültigen Berechtigungen für Tabellen und Spalten
Meldet sich ein Systembenutzer am System an, werden anhand seiner Berechtigungsgruppen die effektiv wirksamen Berechtigungen für die Objekte bestimmt. Bei der Ermittlung der gültigen Berechtigungen werden folgende Regeln angewendet:
-
Die Berechtigungen hierarchischer Berechtigungsgruppen werden von oben nach unten vererbt. Das heißt, eine Berechtigungsgruppe erhält alle Berechtigungen ihrer übergeordneten Berechtigungsgruppen.
-
Bei hierarchischer Berechtigungsgruppen wird zuerst die Menge der Objekte ermittelt. Anschließend werden die Spaltenberechtigungen zusammengefasst. Damit ergeben sich unter Umständen mehr effektive Berechtigungen als auf den einzelnen Berechtigungsgruppen definiert sind.
-
Ein Systembenutzer erhält ein Berechtigung, wenn mindestens eine seiner Berechtigungsgruppen das Berechtigung besitzt (direkt oder geerbt).
-
Die einschränkenden Bedingungen aller Berechtigungsgruppen des Systembenutzers werden zusammengefasst und somit eine gültige Bedingung pro Berechtigung zum Anzeigen, Bearbeiten, Einfügen und Löschen eines Objektes ermittelt.
-
Durch das System werden fest definierte Sichtbarkeitsberechtigungen auf die Systemdaten des One Identity Manager Schemas vergeben, die für die Anmeldung eines Systembenutzers an den Administrationswerkzeugen ausreichend sind.
-
Ein Systembenutzer, der nur Leseberechtigungen besitzt, erhält unabhängig von weiteren Berechtigungen nur die Sichtbarkeitsberechtigungen auf die Objekte.
-
Werden auf eine Tabelle die Berechtigungen zum Einfügen, Bearbeiten oder Löschen vergeben, werden implizit auch Sichtbarkeitsberechtigungen vergeben.
-
Werden auf eine Spalte die Berechtigungen zum Einfügen oder Bearbeiten vergeben, werden implizit die Sichtbarkeitsberechtigungen vergeben.
-
Werden Berechtigungen auf eine Tabelle vergeben, so werden implizit Sichtbarkeitsberechtigungen auf die Primärschlüsselspalte der Tabelle vergeben.
-
Ist mindestens die Sichtbarkeitsberechtigung auf eine Fremdschlüsselspalte vergeben, so werden implizit Sichtbarkeitsberechtigungen auf die referenzierte Tabelle, auf die Primärschlüsselspalte und die Spalten, die laut definiertem Anzeigemuster an der referenzierten Tabelle zur Anzeige benötigt werden, vergeben.
-
Spalten, die im definiertem Anzeigemuster an der Tabelle zur Anzeige benötigt werden, erhalten implizit Sichtbarkeitsberechtigungen.
-
Berechtigungen für Datenbanksichten vom Typ Proxy gelten auch für die zugrunde liegenden Tabellen.
-
Für Datenbanksichten vom Typ ReadOnly gelten unabhängig von weiteren Berechtigungen nur die Sichtbarkeitsberechtigungen.
-
Ist eine Tabelle oder Spalte durch Präprozessorbedingungen deaktiviert, werden keine Berechtigungen auf diese Tabellen und Spalten ermittelt; die Tabelle oder Spalte gilt als nicht vorhanden.
-
Ist eine Berechtigungsgruppe durch Präprozessorbedingungen deaktiviert, werden Berechtigungen dieser Berechtigungsgruppe nicht berücksichtigt; die Berechtigungsgruppe gilt als nicht vorhanden.
Beispiel: Zusammensetzung der Berechtigungen über Berechtigungsgruppen
Nachfolgendes Beispiel zeigt die Zusammensetzung der Berechtigungen, wenn der Benutzer in den Berechtigungsgruppen direkt zugeordnet ist und keine hierarchische Verbindung der Berechtigungsgruppen besteht.
Ein Systembenutzer erhält über verschiedene Berechtigungsgruppen die Berechtigungen auf die Tabelle ADSAccount.
Zusätzlich erhält er über diese Berechtigungsgruppen Berechtigungen auf die Tabelle LDAPAccount.
Somit hat der Systembenutzer effektiv folgende Berechtigungen:
|
ADSAccount |
1 |
1 |
1 |
1 |
|
LDAPAccount |
1 |
1 |
1 |
0 |
Beispiel: Einschränkende Bedingungen
Ein Systembenutzer erhält über verschiedene Berechtigungsgruppen Sichtbarkeitsberechtigungen auf die Tabelle Person.
|
A |
|
Lastname |
|
B |
Lastname like 'B%' |
Lastname, Firstname, Entrydate |
|
C |
Lastname like 'Be%' |
Lastname, Firstname, Gender |
|
D |
Lastname like 'D%' |
Lastname |
Damit ergeben sich folgende Berechtigungen auf die einzelnen Personenobjekte.
|
Meier |
Lastname |
|
Bischof |
Lastname, Firstname, Entrydate |
|
Beyer |
Lastname, Firstname, Gender |
|
Dreyer |
Lastname |
Bearbeitung von Berechtigungsgruppen
Der One Identity Manager stellt Berechtigungsgruppen mit einer vordefinierten Benutzeroberfläche und speziellen Berechtigungen auf die Tabellen und die Spalten des One Identity Manager Schemas bereit. In einigen wenigen Fällen kann es notwendig sein, eigene kundenspezifische Berechtigungsgruppen zu definieren. Eigene Berechtigungsgruppen benötigen Sie beispielsweise, wenn:
-
die Standarberechtigungsgruppen zu viele Berechtigungen gewähren,
-
ausgewählte Standarberechtigungsgruppen zu einer neuer Berechtigungsgruppe zusammengefasst werden sollen,
-
zusätzliche rollenbasierte Berechtigungsgruppen für die kundenspezifischen Anwendungsrollen benötigt werden,
-
Berechtigungen auf kundenspezifische Anpassungen wie beispielsweise Schemaerweiterungen, Formulare oder Menüstrukturen erforderlich sind.
Bei der Installation der One Identity Manager-Datenbank mit dem werden bereits kundenspezifische Berechtigungsgruppen erstellt, die Sie nutzen können.
-
Für die nicht-rollenbasierte Anmeldung werden die Berechtigungsgruppen CCCViewPermissions und CCCEditPermissions erstellt. Administrative Systembenutzer werden automatisch in diese Berechtigungsgruppen aufgenommen.
-
Für die rollenbasierte Anmeldung werden die Berechtigungsgruppen CCCViewRole und CCCEditRole erstellt.
Berechtigungsgruppen werden im Designer in der Kategorie Berechtigungen > Berechtigungsgruppen verwaltet. Sie erhalten hier einen Überblick über die Berechtigungen und die Bestandteile der Benutzeroberfläche, die den einzelnen Berechtigungsgruppen zugewiesen sind. Zusätzlich werden die Systembenutzer abgebildet, die der Berechtigungsgruppe zugewiesen sind.
Berechtigungsgruppen erstellen und bearbeiten Sie im Designer mit dem Benutzer-& Berechtigungsgruppeneditor. Im Benutzer-& Berechtigungsgruppeneditor werden die Berechtigungsgruppen in ihrer Hierarchie dargestellt. Jede Berechtigungsgruppe wird durch ein Berechtigungsgruppenelement repräsentiert. Das Berechtigungsgruppenelement verfügt über einen Tooltip. Der Inhalt des Tooltips setzt sich aus dem Namen und der Beschreibung der Berechtigungsgruppe zusammen.
Folgende Aufgaben können Sie ausführen:
-
Stammdaten der Berechtigungsgruppen bearbeiten
-
Neue Abhängigkeiten zwischen Berechtigungsgruppen definieren
-
Berechtigungsgruppen kopieren
-
Neue Berechtigungsgruppen erstellen
Verwandte Themen
