-
Installationsbenutzer
Der Installationsbenutzer wird für die initiale Einrichtung einer One Identity Manager-Datenbank mit dem Configuration Wizard benötigt.
-
Administrativer Benutzer
Der administrative Benutzer wird durch Komponenten des One Identity Manager verwendet, die Berechtigungen auf Serverebene und Datenbankebene benötigen, beispielsweise der Configuration Wizard, der DBQueue Prozessor oder der One Identity Manager Service.
-
Konfigurationsbenutzer
Der Konfigurationsbenutzer kann Konfigurationsaufgaben innerhalb des One Identity Manager ausführen, beispielsweise kundenspezifischen Schemaerweiterungen erstellen oder mit dem Designer arbeiten. Konfigurationsbenutzer benötigen Berechtigungen auf Serverebene und Datenbankebene.
-
Endbenutzer
Endbenutzer erhalten nur Berechtigungen auf Datenbankebene, um beispielsweise Aufgaben mit dem Manager oder dem Web Portal zu erfüllen.
Ausführliche Informationen zu den minimalen Berechtigungsebenen der One Identity Manager-Werkzeuge finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Berechtigungen für den Installationsbenutzer
Der Serveradministrator, der bei der Bereitstellung von Azure SQL eingerichtet wurde, besitzt die administrativen Berechtigungen, um eine One Identity Manager-Datenbank direkt zu installieren und zu verwenden. Ebenso kann mit diesem Benutzer das abgestufte Berechtigungskonzept aktiviert werden.
Wenn dieser Benutzer nicht verwendet werden kann, müssen eine SQL-Anmeldung und ein Datenbankbenutzer mit den folgenden Berechtigungen zur Verfügung gestellt werden.
master-Datenbank:
-
Mitglied der Datenbankrolle loginmanager
Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.
One Identity Manager-Datenbank:
-
Mitglied der Datenbankrolle db_owner
Diese Datenbankrolle wird für die Installation des Schemas mit dem Configuration Wizard in eine vorhandene Datenbank sowie für die Aktualisierung des Schemas benötigt.
Berechtigungen für den administrativen Benutzer
Für den administrativen Benutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
-
Serverrolle OneIMAdminRole_<DatabaseName>
-
Berechtigung alter any server role
Die Berechtigung wird benötigt, um die Serverrolle für den Konfigurationsbenutzer zu erzeugen.
-
Berechtigung view any definition
Die Berechtigung wird benötigt, um die SQL-Anmeldungen für den Konfigurationsbenutzer und den Endbenutzer mit den entsprechenden Datenbankbenutzern zu verbinden.
-
-
SQL-Anmeldung <DatabaseName>_Admin
-
Mitglied der Serverrolle OneIMAdminRole_<DatabaseName>
-
Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option
Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.
-
master-Datenbank:
-
Datenbankrolle OneIMRole_<DatabaseName>
-
Berechtigung Execute für die Prozedur xp_readerrorlog
Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.
-
- Datenbankbenutzer OneIM_<DatabaseName>
-
Mitglied der Datenbankrolle OneIMRole_<DatabaseName>
-
Der Datenbanknutzer wird der SQL-Anmeldung <DatabaseName>_Admin zugewiesen.
-
One Identity Manager-Datenbank:
-
Datenbankbenutzer Admin
-
Mitglied in Datenbankrolle db_owner
Die Datenbankrolle wird benötigt, um eine Datenbank mit dem Configuration Wizard zu aktualisieren.
-
Der Datenbanknutzer wird der SQL-Anmeldung <DatabaseName>_Admin zugewiesen.
-
Berechtigungen für den Konfigurationsbenutzer
Für Konfigurationsbenutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
-
Serverrolle OneIMConfigRole_<DatabaseName>
-
Berechtigung view server state und Berechtigung alter any connection
Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.
-
-
SQL-Anmeldung <DatabaseName>_Config
-
Mitglied der Serverrolle OneIMConfigRole_<DatabaseName>
-
One Identity Manager-Datenbank:
-
Datenbankrolle OneIMConfigRoleDB
-
Berechtigungen Create procedure, Delete, Select, Create table, Update, Checkpoint, Create view, Insert, Execute, Create function auf die Datenbank
-
-
Datenbankbenutzer Config
-
Mitglied der Datenbankrolle OneIMConfigRoleDB
-
Der Datenbankbenutzer wird mit der SQL-Anmeldung <DatabaseName>_Config verbunden.
-
Berechtigungen für den Endbenutzer
Für Endbenutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
-
SQL-Anmeldung <DatabaseName>_User
One Identity Manager-Datenbank:
-
Datenbankrolle OneIMUserRoleDB
-
Berechtigungen Insert, Update, Select, Delete auf ausgewählte Tabellen der Datenbank
-
Berechtigung view definition auf die Datenbank
-
Berechtigungen Execute und References für einzelne Funktionen, Prozeduren und Typen
-
-
Datenbankbenutzer User
-
Mitglied der Datenbankrolle OneIMUserRoleDB
-
Der Datenbankbenutzer wird mit der SQL-Anmeldung <DatabaseName>_User verbunden.
-