Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Konfigurationsparameter für die Verwaltung von Privileged Account Management Systemen

Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten > Allgemein > Konfigurationsparameter.

Weitere Informationen finden Sie unter Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems.

Synchronisieren eines Privileged Account Management Systems

Der One Identity Manager unterstützt die Synchronisation mit One Identity Safeguard ab der Version 6.0. Für die im einzelnen unterstützten Versionen finden Sie auf dem One Identity Manager Installationsmedium im Verzeichnis Modules\PAG\dvd\AddOn\safeguard-ps das passende Windows PowerShell Modul. Versionen, für die kein Windows PowerShell Modul auf dem One Identity Manager Installationsmedium vorhanden ist, werden nicht unterstützt.

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und der One Identity Safeguard Appliance sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einer One Identity Safeguard Appliance in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene One Identity Safeguard Appliances mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einer One Identity Safeguard Appliance einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit One Identity Safeguard

Der Synchronization Editor stellt Projektvorlagen bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen einer Zielsystemumgebung eingerichtet werden kann. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Nutzen Sie die Projektvorlage One Identity Safeguard Synchronisation, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einer One Identity Safeguard Appliance in Ihre One Identity Manager-Datenbank einlesen.

Um die Objekte initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie im Privileged Account Management System einen Benutzer für die Synchronisation mit ausreichenden Berechtigungen bereit.

  2. Die One Identity Manager Bestandteile für die Verwaltung von Privileged Account Management Systemen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | PAG aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  3. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  4. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation mit einer One Identity Safeguard Appliance

Bei der Synchronisation des One Identity Manager mit einer One Identity Safeguard Appliance spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation

Benutzer

Berechtigungen

Benutzer für den Zugriff auf die One Identity Safeguard Appliance (Synchronisationsbenutzer)

Für eine vollständige Synchronisation von Objekten einer One Identity Safeguard Appliance mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie auf der Appliance einen Benutzer mit folgenden Einstellungen bereit:

  • Authentifizierungsanbieter Certificate

  • Fingerabdruck eines Zertifikats, das auf der Appliance als vertrauenswürdiges Zertifikat hinterlegt ist

  • Berechtigungen:

    • Autorisier

    • Benutzer

    • Help Desk

    • Appliance

    • Vorgänge

    • Asset

    • Verzeichnis

    • Sicherheitsrichtlinie

Ausführliche Informationen zu Benutzern und Zertifikaten im One Identity Safeguard finden Sie im One Identity Safeguard Adminstration Guide.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Das Benutzerkonto benötigt im Zertifikatsspeicher des aktuellen Benutzers das Zertifikat mit dem privaten Schlüssel, das auf der One Identity Safeguard Appliance als vertrauenswürdiges Zertifikat hinterlegt ist. Das Zertifikat muss dasselbe Zertifikat sein, welches auch der Synchronisationsbenutzer verwendet.

Ausführliche Informationen zu Zertifikaten im One Identity Safeguard finden Sie im One Identity Safeguard Adminstration Guide.

HINWEIS: Der Zugriff über das lokale Systemkonto NT AUTHORITY\SYSTEM wird nicht unterstützt.

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen