Chat now with support
Chat mit Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer LDAP-Umgebung

Verwalten einer LDAP-Umgebung Synchronisieren eines LDAP Verzeichnisses
Einrichten der Initialsynchronisation mit einem LDAP Verzeichnis Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse
Basisdaten zur Konfiguration LDAP Domänen LDAP Benutzerkonten LDAP Gruppen LDAP Containerstrukturen LDAP Computer Berichte über LDAP Objekte Konfigurationsparameter für die Verwaltung einer LDAP-Umgebung Standardprojektvorlagen für LDAP Einstellungen des generischen LDAP Konnektors

LDAP Gruppe in den IT Shop aufnehmen

Mit der Zuweisung einer Gruppe an ein IT Shop Regal kann sie von den Kunden des Shops bestellt werden. Für die Bestellbarkeit sind weitere Voraussetzungen zu gewährleisten.

  • Die Gruppe ist keine dynamische Gruppe.

  • Die Gruppe muss mit der Option IT Shop gekennzeichnet sein.

  • Der Gruppe muss eine Leistungsposition zugeordnet sein.

    TIPP: Im Web Portal werden alle bestellbaren Produkte nach Servicekategorien zusammengestellt. Damit die Gruppe im Web Portal leichter gefunden werden kann, weisen Sie der Leistungsposition eine Servicekategorie zu.

  • Soll die Gruppe nur über IT Shop-Bestellungen an Personen zugewiesen werden können, muss die Gruppe zusätzlich mit der Option Verwendung nur im IT Shop gekennzeichnet sein. Eine direkte Zuweisung an hierarchische Rollen oder Benutzerkonten ist dann nicht mehr zulässig.

HINWEIS: Bei rollenbasierter Anmeldung können die IT Shop Administratoren Gruppen an IT Shop Regale zuweisen. Zielsystemadministratoren sind nicht berechtigt Gruppen in den IT Shop aufzunehmen.

Um eine Gruppe in den IT Shop aufzunehmen

  1. Wählen Sie im Manager die Kategorie LDAP | Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen | LDAP Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.
  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppe an die IT Shop Regale zu.
  5. Speichern Sie die Änderungen.

Um eine Gruppe aus einzelnen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie LDAP | Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen | LDAP Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.
  4. Entfernen Sie im Bereich Zuordnungen entfernen die Gruppe aus den IT Shop Regalen.
  5. Speichern Sie die Änderungen.

Um eine Gruppe aus allen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie LDAP | Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen | LDAP Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.
  3. Wählen Sie die Aufgabe Entfernen aus allen Regalen (IT Shop).
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.
  5. Klicken Sie OK.

    Die Gruppe wird durch den One Identity Manager Service aus allen Regalen entfernt. Dabei werden sämtliche Bestellungen und Zuweisungsbestellungen mit dieser Gruppe abbestellt.

Ausführliche Informationen zur Bestellung von Unternehmensressourcen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwandte Themen

Zusätzliche Aufgaben für die Verwaltung von LDAP Gruppen

Nachdem Sie die Stammdaten erfasst haben, können Sie die folgenden Aufgaben ausführen.

Überblick über die LDAP Gruppe

Über diese Aufgabe erhalten Sie einen Überblick über die wichtigsten Informationen zu einer Gruppe.

Um einen Überblick über eine Gruppe zu erhalten

  1. Wählen Sie im Manager die Kategorie LDAP | Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Überblick über die LDAP Gruppe.

Wirksamkeit von Gruppenmitgliedschaften

Tabelle 34: Konfigurationsparameter für die bedingte Vererbung
Konfigurationsparameter Wirkung bei Aktivierung

QER | Structures | Inherite | GroupExclusion

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Parameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
  • Ob die Mitgliedschaft einer ausgeschlossenen Gruppe in einer anderen Gruppe zulässig ist (Tabelle), wird durch den One Identity Manager nicht überprüft.

Die Wirksamkeit der Zuweisungen wird in den Tabellen LDAPAccountInLDAPGroup und BaseTreeHasLDAPGroupüber die Spalte XIsInEffect abgebildet.

Beispiel für die Wirksamkeit von Gruppenmitgliedschaften
  • In einer Domäne ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in dieser Domäne. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Person sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 35: Festlegen der ausgeschlossenen Gruppen (Tabelle LDAPGroupExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 36: Wirksame Zuweisungen

Person

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 37: Ausgeschlossene Gruppen und wirksame Zuweisungen

Person

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

 Gruppe B

Gruppe A

Voraussetzungen

  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

  • Sich ausschließende Gruppen gehören zur selben Domäne.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie LDAP | Gruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen