Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von Azure Active Directory Benutzerkonten und Personen Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory Anwendungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlage für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Unterstützte Typen von Benutzerkonten

Im One Identity Manager können unterschiedliche Typen von Benutzerkonten wie beispielsweise Standardbenutzerkonten, administrative Benutzerkonten, Dienstkonten oder privilegierte Benutzerkonten abgebildet werden.

Zur Abbildung der verschiedenen Benutzerkontentypen werden die folgenden Eigenschaften verwendet.

  • Identität

    Mit der Eigenschaft Identität (Spalte IdentityType) wird der Typ des Benutzerkontos beschrieben.

    Tabelle 14: Identitäten von Benutzerkonten
    Identität Beschreibung Wert der Spalte IdentityType

    Primäre Identität

    Standardbenutzerkonto einer Person.

    Primary

    Organisatorische Identität

    Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

    Organizational

    Persönliche Administratoridentität

    Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.

    Admin

    Zusatzidentität

    Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

    Sponsored

    Gruppenidentität

    Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird.

    Shared

    Dienstidentität

    Dienstkonto.

    Service

    HINWEIS: Um mit Identitäten für Benutzerkonten zu arbeiten, benötigen die Personen ebenfalls Identitäten. Benutzerkonten, denen eine Identität zugeordnet ist, können Sie nur mit Personen verbinden, die dieselbe Identität haben.

    Die primäre Identität, die organisatorische Identität und die persönliche Administratoridentität werden für die verschiedenen Benutzerkonten genutzt, mit denen ein und dieselbe Person ihre unterschiedlichen Aufgaben im Unternehmen ausführen kann.

    Um Benutzerkonten mit einer persönlichen Administratoridentität oder einer organisatorische Identität für eine Person bereitzustellen, richten Sie für die Person Subidentitäten ein. Diese Subidentitäten verbinden Sie mit den Benutzerkonten. Somit können für die unterschiedlichen Benutzerkonten die erforderlichen Berechtigungen erteilt werden.

    Benutzerkonten mit einer Zusatzidentität, einer Gruppenidentität oder einer Dienstidentität verbinden Sie mit Pseudo-Personen, die keinen Bezug zu einer realen Person haben. Diese Pseudo-Personen werden benötigt, um Berechtigungen an die Benutzerkonten vererben zu können. Bei der Auswertung von Berichten, Attestierungen oder Complianceprüfungen prüfen Sie, ob die Pseudo-Personen gesondert betrachtet werden müssen.

    Ausführliche Informationen zur Abbildung von Identitäten von Personen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

  • Privilegiertes Benutzerkonto

    Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

Detaillierte Informationen zum Thema

Standardbenutzerkonten

In der Regel erhält jede Person ein Standardbenutzerkonto, das die Berechtigungen besitzt, die für die tägliche Arbeit benötigt werden. Die Benutzerkonten haben eine Verbindung zur Person. Über eine Kontendefinition und deren Automatisierungsgrade kann die Auswirkung der Verbindung und der Umfang der vererbten Eigenschaften der Person an die Benutzerkonten konfiguriert werden.

Um Standardbenutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition und weisen Sie die Automatisierungsgrade Unmanaged und Full managed zu.

  2. Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  3. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für Standardbenutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in den Abbildungsvorschriften für die Spalten IsGroupAccount_Group, IsGroupAccount_SubSku und IsGroupAccount_DeniedService den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IdentityType den Standardwert Primary und aktivieren Sie die Option Immer Standardwert verwenden.

  4. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem. Wählen Sie unter Wirksam für das konkrete Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  5. Weisen Sie die Kontendefinition an die Personen zu.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Verwandte Themen

Administrative Benutzerkonten

Für bestimmte administrative Aufgaben, ist der Einsatz administrativer Benutzerkonten notwendig. Administrative Benutzerkonten werden in der Regel vom Zielsystem vorgegeben und haben feste Bezeichnungen und Anmeldenamen, wie beispielsweise Administrator.

Administrative Benutzerkonten werden durch die Synchronisation in den One Identity Manager eingelesen.

HINWEIS: Einige administrative Benutzerkonten können automatisch als privilegierte Benutzerkonten gekennzeichnet werden. Aktivieren Sie dazu im Designer den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen.

Verwandte Themen

Administrative Benutzerkonten für eine Person bereitstellen

Voraussetzungen
  • Das Benutzerkonto muss als persönliche Administratoridentität gekennzeichnet sein.

  • Die Person, die das Benutzerkonto nutzen soll, muss als persönliche Administratoridentität gekennzeichnet sein.

  • Die Person, die das Benutzerkonto nutzen soll, muss mit einer Hauptidentität verbunden sein.

Um ein administratives Benutzerkonto für eine Person bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als persönliche Administratoridentität.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Persönliche Administratoridentität.

  2. Verbinden Sie das Benutzerkonto mit der Person, die dieses administrative Benutzerkonto nutzen soll.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Person die Person, die dieses administrative Benutzerkonto nutzt.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Person erstellen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen