Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Identitäten und Benutzerkonten Der Unified Namespace

Behandlung von Gruppenmitgliedschaften

Die Behandlung von Gruppenmitgliedschaften beim Deaktivieren oder Löschen von Benutzerkonten ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

  • Über die Automatisierungsgrade der Kontendefinitionen legen Sie fest, wie Gruppenmitgliedschaften von Benutzerkonten bei der zeitweiligen Deaktivierung, bei der dauerhaften Deaktivierung, beim Löschen und bei Sicherheitsgefährdung von Identitäten behandelt werden sollen.

Szenario: Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

  • Wird eine Identität zeitweilig oder dauerhaft deaktiviert, bleiben die Gruppenmitgliedschaften der Benutzerkonten erhalten.

  • Für das verzögerte Löschen kann das Verhalten über den Konfigurationsparameter QER | Person | User | KeepMembershipsOfLinkedAccount festgelegt werden.

Vererbungseinstellungen für einzelne Gruppen überschreiben

Unter Umständen kann es erforderlich sein, für einzelne Gruppen ein abweichendes Verhalten zu definieren. Es kann beispielsweise definiert werden, dass eine Gruppe niemals automatisch von Benutzerkonten entfernt werden soll oder die Einstellungen der Kontendefinition überschrieben werden.

Für Gruppen können Sie für folgende Vererbungseinstellungen ein vom Standard abweichendes Verhalten festlegen.

  • Gruppen bei zeitweiliger Deaktivierung beibehalten

  • Gruppen bei dauerhafter Deaktivierung beibehalten

  • Gruppen bei verzögertem Löschen beibehalten

  • Gruppen bei Sicherheitsgefährdung beibehalten

  • Gruppen bei deaktiviertem Benutzerkonto beibehalten

Zulässige Werte sind:

  • Laut Automatisierungsgrad: Für die Gruppenmitgliedschaften gelten die Einstellungen des Automatisierungsgrades. Über die Automatisierungsgrade der Kontendefinitionen legen Sie fest, wie Gruppenmitgliedschaften bei der zeitweiligen Deaktivierung, bei der dauerhaften Deaktivierung, beim Löschen und bei Sicherheitsgefährdung von Identitäten behandelt werden sollen.

    Die Einstellung ist wirksam für Benutzerkonten, die mit Identitäten verbunden sind und über Kontendefinitionen verwaltet werden.

  • Niemals: Die Gruppe wird niemals vererbt. Bestehende Gruppenmitgliedschaften werden entfernt. Die Zuweisung der Gruppen bleibt erhalten, diese Zuweisung wird jedoch nicht wirksam.

    Die Einstellung ist wirksam für Benutzerkonten, die mit Identitäten verbunden sind. Die Einstellung wirkt unabhängig davon, ob die Benutzerkonten über Kontendefinitionen verwaltet werden oder nicht.

    WICHTIG: Wird für die Einstellung Gruppen bei deaktiviertem Benutzerkonto beibehalten der Wert Niemals verwendet, werden auch die Gruppenmitgliedschaften von Benutzerkonten unwirksam, die nicht mit einer Identität verbunden sind.

    HINWEIS: Die Einstellungen des Konfigurationsparameters QER | Person | User | KeepMembershipsOfLinkedAccount werden überschrieben.

  • Immer: Die Gruppe wird immer vererbt. Bestehende Gruppenmitgliedschaften bleiben erhalten.

    Die Einstellung ist wirksam für Benutzerkonten, die mit Identitäten verbunden sind. Die Einstellung wirkt unabhängig davon, ob die Benutzerkonten über Kontendefinitionen verwaltet werden oder nicht.

    HINWEIS: Die Einstellungen des Konfigurationsparameters QER | Person | User | KeepMembershipsOfLinkedAccount werden überschrieben.

Um die Vererbungseinstellungen zu überschreiben

  1. Wahlen Sie im Manager die Kategorie <Zielsystemtyp> > Gruppen > Vererbungseinstellungen überschreiben.

  2. Um eine neue Gruppe aufzunehmen, klicken Sie in der Ergebnisliste .

    1. Klicken Sie neben dem Eingabefeld Gruppe auf die Schaltfläche .
    2. Wählen Sie unter Tabelle die Tabelle, welche die Gruppe abbildet.
    3. Wählen Sie unter Gruppe die Gruppe.
    4. Klicken Sie OK.

    - ODER -

  3. Um die Werte für eine bestehende Gruppe zu ändern, wählen Sie in der Ergebnisliste die Gruppe.

  4. Erfassen Sie die Werte für die Vererbungseinstellungen.

  5. Speichern Sie die Änderungen.

HINWEIS: Abhängig vom Zielsystemtyp können die Vererbungseinstellungen für weitere Arten von Berechtigungen überschrieben werden.

Verwandte Themen

Der Unified Namespace

Der Unified Namespace ist ein virtuelles System, in dem die unterschiedlichsten Zielsysteme mit ihren Strukturen, Benutzerkonten, Systemberechtigungen und Mitgliedschaften abgebildet werden. Durch den Unified Namespace wird eine allgemeine, zielsystemübergreifende Abbildung aller angeschlossenen Zielsysteme erreicht. Dabei können Zielsysteme wie beispielsweise Active Directory Domänen ebenso abgebildet werden wie kundendefinierte Zielsysteme.

Durch die Abbildung der Zielsysteme im Unified Namespace können Sie weitere Kernfunktionen des One Identity Manager, wie das Identity Audit, die Attestierung oder die Berichtsfunktion, zielsystemübergreifend nutzen. Verschiedene Berichte werden standardmäßig mitgeliefert.

Detaillierte Informationen zum Thema

Abbildung der Zielsystemobjekte im Unified Namespace

Jeder Objekttyp des Unified Namespace vereinigt verschiedene Tabellen des One Identity Manager Schemas, in denen die Objekte der angeschlossenen Zielsysteme abgebildet sind. Die verschiedenen Zielsystemtabellen werden in Datenbanksichten vereinigt. Dadurch können die unterschiedlichen Objekteigenschaften einheitlich abgebildet werden.

Um Complianceprüfungen oder Attestierungen zielsystemübergreifend durchzuführen und um zielsystemübergreifende Berichte zu erstellen, nutzen Sie die folgenden Datenbanksichten.

GeschlossenZielsysteme (UNSRoot)
GeschlossenContainer (UNSContainer)
GeschlossenBenutzerkonten (UNSAccount)
GeschlossenSystemberechtigungen (UNSGroup)
GeschlossenBerechtigungselemente (UNSItem)
GeschlossenZuweisungen Systemberechtigungen (UNSAccountInUNSGroup)
GeschlossenZuweisungen Berechtigungselemente (UNSAccountHasUNSItem)
GeschlossenZuweisungen Systemberechtigungen (UNSGroupInUNSGroup)
GeschlossenZuweisungen Berechtigungselemente (UNSGroupHasUNSItem)
GeschlossenVererbungsausschluss (UNSGroupExclusion)
GeschlossenHierarchie der Systemberechtigungen (UNSGroupCollection)

Besonderheiten bei der Abbildung von Objekteigenschaften

In manchen Zielsystemen können die Zuweisungen von Systemberechtigungen an Benutzerkonten zeitlich befristet sein.

  • Im Unified Namespace wird der Gültigkeitszeitraum nicht abgebildet.

  • Die Kennzeichnung Zum Löschen markiert (UNSAccountInUNSGroup.XMarkedForDeletion) kann für diese Zuweisungen nicht gesetzt werden. Damit ist im Unified Namespace nicht erkennbar, ob eine Zuweisung bei der Synchronisation als ausstehend markiert wurde.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen