Chat now with support
Chat mit Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer HCL Domino-Umgebung

Verwalten einer HCL Domino-Umgebung Synchronisieren einer Domino-Umgebung
Einrichten der Initialsynchronisation einer Domino-Umgebung Konfiguration des Domino-Servers Einrichten eines Gateway Servers Erstellen eines Synchronisationsprojektes für die initiale Synchronisation einer Notes Domäne Anpassen der Synchronisationskonfiguration für Domino-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von Notes Benutzerkonten und Personen
Kontendefinitionen für Notes Benutzerkonten Automatische Zuordnung von Personen zu Notes Benutzerkonten Personen manuell mit Notes Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Notes Benutzerkonten festlegen
Managen von Mitgliedschaften in Notes Gruppen Bereitstellen von Anmeldeinformationen für Notes Benutzerkonten Nutzung von AdminP-Aufträgen zur Verarbeitung von Domino-Prozessen Abbilden von Notes Objekten im One Identity Manager
Notes Domänen Notes Benutzerkonten Notes Gruppen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Mail-In-Datenbanken Notes Server Berichte über Notes Objekte
Behandeln von Notes Objekten im Web Portal Basisdaten für die Verwaltung einer Domino-Umgebung Konfigurationsparameter für die Verwaltung einer Domino-Umgebung Standardprojektvorlage für Domino Verarbeitungsmethoden von Domino Systemobjekten Einstellungen des Domino Konnektors

Sperrgruppen

Ein Benutzerkonto gilt in einer Domino-Umgebung dann als gesperrt, wenn der Benutzer keine Möglichkeit mehr hat, sich mit diesem Benutzerkonto an Servern der Domäne anzumelden. Dadurch verliert er auch den Zugriff auf seine Postfachdatei. Der Zugriff auf einen Server kann unterbunden werden, indem das Benutzerkonto auf dem entsprechenden Serverdokument den Berechtigungstyp Not Access Server erhält. In Umgebungen mit mehreren Servern ist dies sehr aufwändig, da ein zu sperrendes Benutzerkonto auf jedem Serverdokument diesen Berechtigungstyp erhalten muss.

Aus diesem Grund werden Sperrgruppen verwendet. Eine solche Sperrgruppe erhält zunächst auf jedem Serverdokument den Berechtigungstyp Not Access Server. Ein Benutzer, der gesperrt werden soll, wird nur noch Mitglied der Sperrgruppe und hat somit automatisch keinen Zugriff mehr auf die Server der Domäne.

Sobald ein Benutzerkonto im One Identity Manager gesperrt wird, wird eine Sperrgruppe ermittelt, in der das Benutzerkonto Mitglied werden soll. Ist eine solche Sperrgruppe nicht vorhanden, wird vom One Identity Manager Service eine Gruppe mit dem Gruppentyp Nur Negativliste angelegt und automatisch mit dem Berechtigungstyp Not Access Server auf den einzelnen Servern versehen. Der Gruppenname besteht dabei aus einem Präfix und einem fortlaufenden Index (beispielsweise viDenyAccess0001). Des Weiteren wird diese Gruppe mit der Option Sperrgruppe gekennzeichnet.

Um das Präfix für Sperrgruppen zu ändern

  1. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters TargetSystem | NDO | DenyAccessGroups | Prefix.

  2. Erfassen Sie das Präfix, das beim Erstellen von Sperrgruppen verwendet werden soll.

  3. Speichern Sie die Änderungen.

Es ist außerdem möglich, die maximale Anzahl von Benutzerkonten in einer Sperrgruppe festzulegen. Dies ist in Umgebungen mit einer sehr großen Menge an Benutzerkonten notwendig, um die maximale Anzahl der Benutzernamen in einer Gruppe nicht zu überschreiten. Wird dieses Limit erreicht, wird eine neue Sperrgruppe mit einem um den Wert 1 erhöhten Index angelegt und ebenfalls mit dem Berechtigungstyp Not Access Server auf sämtlichen Servern der Domäne eingetragen.

Um die zulässige Anzahl von Benutzerkonten in einer Sperrgruppe zu ändern

  • Bearbeiten Sie im Designer den Wert des Konfigurationsparameters TargetSystem | NDO | DenyAccessGroups | Memberlimit.

TIPP: Die Sperrgruppen werden durch das Skript VI_Notes_GetOrCreateRestrictGroup ermittelt und angelegt. Sind in einer Domino-Umgebung bereits Sperrgruppen vorhanden, werden diese wie normale Gruppen behandelt.

Um diese Gruppen für Sperrprozesse im One Identity Manager zu verwenden

  1. Aktivieren Sie im Manager für diese Gruppen die Option Sperrgruppe.

  2. Passen Sie im Designer bei Bedarf das Präfix im Konfigurationsparameter TargetSystem | NDO | DenyAccessGroups | Prefix an.

  3. Passen Sie das Skript NDO_Notes_GetOrCreateRestrictGroup entsprechend Ihren Erfordernissen an.

Dynamische Gruppen

Seit der Domino Version 8.5 ist es möglich, Benutzerkonten über bestimmte Auswahlkriterien an Gruppen zuzuweisen. Ein Kriterium ist beispielsweise der Mailserver eines Benutzerkontos. Benutzerkonten können darüber hinaus explizit aus einer Gruppe ausgeschlossen oder zusätzlich aufgenommen werden. Eine Gruppe wird im One Identity Manager als dynamische Gruppe abgebildet, wenn in der Eigenschaft Dynamische Mitglieder einlesen die Methode Home server ausgewählt ist (Spalte AutoPopulateInput = '1'). An diese Gruppen können keine Mitglieder direkt zugewiesen werden.

Dynamische Gruppen sind von der Vererbung über hierarchische Rollen ausgeschlossen. Damit können Systemrollen, Geschäftsrollen und Organisationen nicht an dynamische Gruppen zugewiesen werden. Es kann kein Vererbungsausschluss festgelegt werden. Dynamische Gruppen können nicht im IT Shop bestellt werden.

Detaillierte Informationen zum Thema

Erweiterungsgruppen

Domino legt sogenannte Erweiterungsgruppen an, wenn die maximale Anzahl der Mitglieder einer dynamischen Gruppe erreicht ist. Diese Erweiterungsgruppen werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen, können jedoch nicht bearbeitet werden. Die Verbindung zur dynamischen Gruppe wird über die Eigenschaft Übergeordnete Notes Gruppe (Spalte UID_NotesGroupParent) hergestellt. Ausschluss- und Einschlusslisten werden ausschließlich an der übergeordneten dynamischen Gruppe gepflegt. Erweiterungsgruppen werden nur im Überblicksformular angezeigt.

Mitgliedschaften in dynamischen Gruppen

An dynamische Gruppen können keine Mitglieder direkt zugewiesen werden. Die Mitglieder werden über die Homeserver ermittelt, welche der Gruppe zugewiesen sind. Alle Benutzerkonten, denen einer dieser Server als Mailserver zugeordnet ist, sind automatisch Mitglied der dynamischen Gruppe. Zusätzlich können die Mitgliedschaften über eine Ausschluss- und eine Einschlussliste bearbeitet werden. Dabei werden Benutzerkonten, die sowohl der Ausschluss- als auch der Einschlussliste zugewiesen sind, nicht Mitglied der dynamischen Gruppe. Es können sowohl Benutzerkonten als auch Gruppen in die Ausschluss- und die Einschlussliste aufgenommen werden.

Bei der Berechnung der effektiven Mitglieder einer dynamischen Gruppe ermittelt Domino alle Benutzerkonten,

  • denen einer der Homeserver als Mailserver zugeordnet ist,

  • die einer Einschlussliste direkt zugewiesen sind,

  • die als Mitglied einer Notes Gruppe einer Einschlussliste zugewiesen sind,

  • die einer Ausschlussliste zugewiesen sind,

  • die als Mitglied einer Notes Gruppe einer Ausschlussliste zugewiesen sind.

Die effektiven Mitgliedschaften in dynamischen Gruppen (Tabelle NDOUserInGroup) werden nicht im One Identity Manager gepflegt, sondern nur durch die Synchronisation in die One Identity Manager eingelesen. Die Ausschluss- und die Einschlussliste können im Manager bearbeitet werden. Änderungen werden sofort in das Zielsystem provisioniert. Dort wird die Mitgliederliste neu berechnet. Nach erneuter Synchronisation sind die Änderungen an den effektiven Mitgliedschaften auch im One Identity Manager sichtbar und können beispielsweise bei Complianceprüfungen berücksichtigt werden.

Wenn Sie die Identity Audit Funktionalität des One Identity Manager nutzen und in den Complianceregeln auch Mitgliedschaften in dynamischen Notes Gruppen prüfen, beachten Sie folgenden Hinweis:

HINWEIS: Änderungen an der Einschluss- oder der Ausschlussliste im Manager können nicht sofort bei Complianceprüfungen berücksichtigt werden, da die effektiven Mitgliedschaften in den dynamischen Gruppen erst nach erneuter Synchronisation aktualisiert sind. Passen Sie den Zeitplan für die Synchronisation Ihrer Domino-Umgebung so an, dass Änderungen an den effektiven Mitgliedschaften zeitnah in die One Identity Manager-Datenbank übertragen werden.

Ausführliche Informationen zur Bearbeitung von Zeitplänen für die Synchronisation finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen