Wirksamkeit von Mitgliedschaften in OneLogin Rollen
Bei der Zuweisung von Rollen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Rollen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Rollen bekannt. Dabei legen Sie für zwei Rollen fest, welche der beiden Rollen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Rolle ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
-
Ein wechselseitiger Ausschluss zweier Rollen kann nicht definiert werden. Das heißt, die Festlegung "Rolle A schließt Rolle B aus" UND "Rolle B schließt Rolle A aus" ist nicht zulässig.
-
Für eine Rolle muss jede auszuschließende Rolle einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
Die Wirksamkeit der Zuweisungen wird in den Tabellen OLGUserInOLGRole über die Spalte XIsInEffect abgebildet.
Voraussetzungen
-
Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.
Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
-
Sich ausschließende Rollen gehören zur selben Domäne.
Um Rollen auszuschließen
-
Wählen Sie im Manager die Kategorie OneLogin > Rollen.
-
Wählen Sie in der Ergebnisliste eine Rolle.
-
Wählen Sie die Aufgabe Rollen ausschließen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Rollen zu, die sich mit der gewählten Rolle ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Rollen, die sich nicht länger ausschließen.
- Speichern Sie die Änderungen.
Vererbung von OneLogin Rollen anhand von Kategorien
Im One Identity Manager können Rollen selektiv an die Benutzerkonten vererbt werden. Dazu werden die Rollen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält verschiedene Tabellen. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In den übrigen Tabellen geben Sie Ihre Kategorien für die Rollen an. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 63.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Rolle kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Rolle überein, wird die Rolle an das Benutzerkonto vererbt. Ist die Rolle oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Rolle ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Rollen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Rollen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 12: Beispiele für Kategorien
1 |
Standardbenutzer |
Standardberechtigung |
2 |
Systembenutzer |
Systembenutzerberechtigung |
3 |
Systemadministrator |
Systemadministratorberechtigung |
Abbildung 2: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
-
Definieren Sie im Manager an der OneLogin Domäne die Kategorien.
-
Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
-
Weisen Sie die Kategorien den Rollen über ihre Stammdaten zu.
Verwandte Themen
Übersicht aller Zuweisungen
Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.
Beispiele:
-
Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
-
Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe oder Systemberechtigung besitzen.
-
Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzen.
-
Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
-
Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.
Um detaillierte Informationen über Zuweisungen anzuzeigen
-
Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
-
Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes die Rollenklasse, für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Personen mit dem ausgewählten Basisobjekt befinden.
Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Personen befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.
-
Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
-
Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Personen dieser Rolle an, die das Basisobjekt besitzen.
-
Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Personen werden der Geschäftsrolle zugeordnet.
Abbildung 3: Symbolleiste des Berichts Übersicht aller Zuweisungen
Tabelle 13: Bedeutung der Symbole in der Symbolleiste des Berichts
|
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts. |
|
Speichern der aktuellen Ansicht des Berichts als Bild. |
|
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll. |
|
Anzeige aller Rollen oder Anzeige der betroffenen Rolle. |
Bereitstellen von Anmeldeinformationen für OneLogin Benutzerkonten
Wenn neue Benutzerkonten im One Identity Manager angelegt werden, werden sofort auch die zur Anmeldung am Zielsystem benötigten Kennwörter erstellt. Um das initiale Kennwort zu vergeben, stehen verschiedene Möglichkeiten zur Verfügung. Auf die Kennwörter werden vordefinierte Kennwortrichtlinien angewendet, die Sie bei Bedarf an Ihre Anforderungen anpassen können. Um die generierten Anmeldeinformationen an die Benutzer zu verteilen, können Sie E-Mail-Benachrichtigungen einrichten.
Detaillierte Informationen zum Thema