Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Stammdaten einer Kontendefinition

Für eine Kontendefinition erfassen Sie die folgenden Stammdaten.

Tabelle 10: Stammdaten einer Kontendefinition

Eigenschaft

Beschreibung

Kontendefinition

Bezeichnung der Kontendefinition.

Benutzerkontentabelle

Tabelle im One Identity Manager Schema, welche die Benutzerkonten abbildet.

Für Azure Active Directory Benutzerkonten wählen Sie AADUser.

Zielsystem

Zielsystem für das die Kontendefinition gelten soll.

Vorausgesetzte Kontendefinition

Angabe der vorausgesetzten Kontendefinition. Definieren Sie Abhängigkeiten zwischen Kontendefinitionen. Wenn die Kontendefinition bestellt oder zugeordnet wird, wird die vorausgesetzte Kontendefinition automatisch zugeordnet.

Für einen Azure Active Directory Mandanten lassen Sie die Angabe leer. In Verbund-Umgebungen können Sie die Kontendefinition der Active Directory Domäne eintragen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Automatisierungsgrad (initial)

Standardautomatisierungsgrad, der bei Neuanlage von Benutzerkonten standardmäßig verwendet werden soll.

Risikoindex

Wert zur Bewertung des Risikos von Zuweisungen der Kontendefinition an Identitäten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Leistungsposition

Leistungsposition, über welche die Kontendefinition im IT Shop bestellt wird. Weisen Sie eine vorhandene Leistungsposition zu oder legen Sie eine neue Leistungsposition an.

IT Shop

Gibt an, ob die Kontendefinition über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Die Kontendefinition kann weiterhin direkt an Identitäten und Rollen außerhalb des IT Shop zugewiesen werden.

Verwendung nur im IT Shop

Gibt an, ob die Kontendefinition ausschließlich über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Kontendefinition an Rollen außerhalb des IT Shop ist nicht zulässig.

Automatische Zuweisung zu Identitäten

Gibt an, ob die Kontendefinition automatisch an alle internen Identitäten zugewiesen werden soll. Um die Kontendefinition automatisch an alle internen Identitäten zuzuweisen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten aktivieren. Die Kontendefinition wird an jede Identität zugewiesen, die nicht als extern markiert ist. Sobald eine neue interne Identität erstellt wird, erhält diese Identität ebenfalls automatisch diese Kontendefinition.

Um die automatische Zuweisung der Kontendefinition von allen Identitäten zu entfernen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten deaktivieren. Ab diesem Zeitpunkt wird die Kontendefinition nicht neu an Identitäten zugewiesen. Bestehende Zuweisungen der Kontendefinition bleiben jedoch erhalten.

Kontendefinition bei dauerhafter Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei zeitweiliger Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei verzögertem Löschen beibehalten

Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei Sicherheitsgefährdung beibehalten

Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Ressourcentyp

Ressourcentyp zur Gruppierung von Kontendefinitionen.

Freies Feld 01- Freies Feld 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Abonnements erbbar

Gibt an, ob das Benutzerkonto Azure Active Directory Abonnements über die Identität erben darf. Ist die Option aktiviert, werden Azure Active Directory Abonnements über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Azure Active Directory Abonnements zugewiesen haben, dann erbt das Benutzerkonto diese Azure Active Directory Abonnements.

  • Wenn eine Identität ein Azure Active Directory Abonnement im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität dieses Azure Active Directory Abonnement nur, wenn die Option aktiviert ist.

Administratorrollen erbbar

Gibt an, ob das Benutzerkonto Azure Active Directory Administratorrollen über die Identität erben darf. Ist die Option aktiviert, werden Administratorrollen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Administratorrollen zugewiesen haben, dann erbt das Benutzerkonto diese Administratorrollen.

  • Wenn eine Identität eine Administratorrolle im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Administratorrolle nur, wenn die Option aktiviert ist.

Unwirksame Dienstpläne erbbar

Gibt an, ob das Benutzerkonto unwirksame Azure Active Directory Dienstpläne über die Identität erben darf. Ist die Option aktiviert, werden unwirksame Dienstpläne über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung unwirksame Dienstpläne zugewiesen haben, dann erbt das Benutzerkonto diese unwirksamen Dienstpläne.

  • Wenn eine Identität einen unwirksamen Dienstplan im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diesen unwirksamen Dienstplan nur, wenn die Option aktiviert ist.

Office 365 Gruppen erbbar

HINWEIS: Diese Eigenschaft ist nur verfügbar, wenn das Exchange Online Modul vorhanden ist.

Gibt an, ob das Benutzerkonto Office 365 Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Office 365 Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Office 365 Gruppen zugewiesen haben, dann erbt das Azure Active Directory Benutzerkonto diese Office 365 Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Azure Active Directory Benutzerkonto der Identität diese Office 365 Gruppe nur, wenn die Option aktiviert ist.

Ausführliche Informationen zu Office 365 Gruppen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung.

Automatisierungsgrade bearbeiten

One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged: Benutzerkonten mit dem Automatisierungsgrad Unmanaged erhalten eine Verbindung zur Identität, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial einige der Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed: Benutzerkonten mit dem Automatisierungsgrad Full managed erben definierte Eigenschaften der zugeordneten Identität. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial die Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen an das Benutzerkonto weitergereicht.

HINWEIS: Die Automatisierungsgrade Full managed und Unmanaged werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll. Ausführliche Informationen zu Automatisierungsgraden finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

  • Um die Berechtigungen zu entziehen, wenn eine Identität deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Identität gesperrt werden. Wird die Identität zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Identität gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Identitäten berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht!

Um einen Automatisierungsgrad zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Wählen Sie in der Ergebnisliste einen Automatisierungsgrad.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  5. Speichern Sie die Änderungen.

Verwandte Themen

Automatisierungsgrade erstellen

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade Unmanaged und Full managed. Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren.

WICHTIG: Erweitern Sie im Designer die Bildungsregeln um die Vorgehensweise für die zusätzlichen Automatisierungsgrade. Ausführliche Informationen zu Bildungsregeln finden Sie im One Identity Manager Konfigurationshandbuch.

Um einen Automatisierungsgrad zu erstellen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  4. Speichern Sie die Änderungen.

Verwandte Themen

Automatisierungsgrade an Kontendefinitionen zuweisen

WICHTIG: Der Automatisierungsgrad Unmanaged wird beim Erstellen einer Kontendefinition automatisch zugewiesen und kann nicht entfernt werden.

Um Automatisierungsgrade an eine Kontendefinition zuzuweisen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe Automatisierungsgrade zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Automatisierungsgrade zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Automatisierungsgraden entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie den Automatisierungsgrad und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen