Chat now with support
Chat mit Support

Identity Manager 9.1.1 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Personen
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Azure Active Directory Gruppen automatisch in den IT Shop aufnehmen

Mit den folgenden Schritten können Azure Active Directory Gruppen automatisch in den IT Shop aufgenommen werden. Die Synchronisation sorgt dafür, dass die Azure Active Directory Gruppen in den IT Shop aufgenommen werden. Bei Bedarf können Sie die Synchronisation im Synchronization Editor sofort starten. Azure Active Directory Gruppen, die im One Identity Manager neu erstellt werden, werden ebenfalls automatisch in den IT Shop aufgenommen.

Um Azure Active Directory Gruppen automatisch in den IT Shop aufzunehmen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | AADGroup.

  2. Um einzelne Azure Active Directory Gruppen nicht automatisch in den IT Shop aufzunehmen, aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | AADGroup | ExcludeList.

    Der Konfigurationsparameter enthält eine Auflistung aller Azure Active Directory Gruppen, die nicht automatisch zum IT Shop zugeordnet werden sollen. Bei Bedarf können Sie die Liste erweitern. Erfassen Sie dazu im Wert des Konfigurationsparameters die Namen der Gruppen. Die Namen werden in einer Pipe (|) getrennten Liste angegeben. Reguläre Ausdrücke werden unterstützt.

  3. Kompilieren Sie die Datenbank.

Die Azure Active Directory Gruppen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Azure Active Directory Gruppe in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Azure Active Directory Gruppe ermittelt.

    Für jede Azure Active Directory Gruppe wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Azure Active Directory Gruppe.

    • Für Azure Active Directory Gruppen mit Leistungsposition wird die Leistungsposition angepasst.

    • Azure Active Directory Gruppen ohne Leitungsposition erhalten eine neue Leistungsposition.

  2. Die Leistungsposition wird entweder der Standard-Servicekategorie Azure Active Directory Gruppen | Sicherheitsgruppen oder der Standard-Servicekategorie Azure Active Directory Gruppen | Verteilergruppen zugeordnet.

  3. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet.

    Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Azure Active Directory Gruppen genehmigen. Standardmäßig wird der Eigentümer einer Azure Active Directory Gruppe als Produkteigner ermittelt.

    HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.
    • Ist der Eigentümer der Azure Active Directory Gruppe bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Azure Active Directory Gruppe.

    • Ist der Eigentümer der Azure Active Directory Gruppe noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Eigentümers.

      • Handelt es sich beim Eigentümer um ein Benutzerkonto, wird die Person des Benutzerkontos in die Anwendungsrolle aufgenommen.

      • Handelt es sich um eine Gruppe von Eigentümern, werden die Personen aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.

  4. Die Azure Active Directory Gruppe wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Azure Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Mitgliedschaften in Azure Active Directory Gruppen über das Web Portal bestellen.

HINWEIS: Wenn eine Azure Active Directory Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Ausführliche Informationen zur Konfiguration des IT Shops finden Sie im One Identity Manager Administrationshandbuch für IT Shop. Ausführliche Informationen zum Bestellen von Zugriffsanforderungen im Web Portal finden Sie im One Identity Manager Web Portal Anwenderhandbuch.

Verwandte Themen

Azure Active Directory Benutzerkonten direkt an Azure Active Directory Gruppen zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

HINWEIS: Benutzerkonten können nicht manuell in dynamische Gruppen aufgenommen werden.

Um Benutzerkonten direkt an eine Gruppe zuzuweisen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Benutzerkonten zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Benutzerkonten zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Benutzerkonten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie das Benutzerkonto und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Azure Active Directory Gruppen direkt an Azure Active Directory Benutzerkonten zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

HINWEIS: Benutzerkonten können nicht manuell in dynamische Gruppen aufgenommen werden.

Um Gruppen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Gruppen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Gruppe und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Wirksamkeit von Gruppenmitgliedschaften

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.
  • Ob die Mitgliedschaft einer ausgeschlossenen Gruppe in einer anderen Gruppe zulässig ist (Tabelle), wird durch den One Identity Manager nicht überprüft.

Die Wirksamkeit der Zuweisungen wird in den Tabellen AADUserInGroup und AADBaseTreeHasGroup über die Spalte XIsInEffect abgebildet.

Beispiel: Wirksamkeit von Gruppenmitgliedschaften
  • In einem Mandanten ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in diesem Mandanten. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Person sowohl Bestellungen auslösen als auch Rechnungen zur Zahlung anweisen kann. Das heißt, die Gruppen A und B schließen sich aus. Eine Person, die Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 15: Festlegen der ausgeschlossenen Gruppen (Tabelle AADGroupExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 16: Wirksame Zuweisungen

Person

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Das heißt, die Person ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 17: Ausgeschlossene Gruppen und wirksame Zuweisungen

Person

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

Gruppe B

Gruppe A

Voraussetzungen
  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sich ausschließende Gruppen gehören zum selben Mandanten.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen