Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten für Geschäftsrollen Geschäftsrollen erstellen und bearbeiten Identitäten, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten IT Betriebsdaten für Geschäftsrollen einrichten Dynamische Rollen für Geschäftsrollen erstellen Abteilungen, Kostenstellen und Standorte an Geschäftsrollen zuweisen Vererbungsausschluss für Geschäftsrollen festlegen Zusatzeigenschaften an Geschäftsrollen zuweisen Zuweisungsressourcen für Geschäftsrollen erzeugen Dynamische Rollen für Geschäftsrollen mit fehlerhaft ausgeschlossenen Identitäten Zertifizierung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Mögliche Zuweisungen von Unternehmensressourcen über Geschäftsrollen

Identitäten, Geräte und Arbeitsplätze können über indirekte Zuweisung Unternehmensressourcen erhalten. Dazu sind Identitäten, Geräte und Arbeitsplätze in beliebig viele Rollen eingeordnet. Über definierte Regeln erhalten die Identitäten, Geräte und Arbeitsplätze die entsprechenden Unternehmensressourcen.

Um Unternehmensressourcen an Rollen zuzuweisen, nutzen Sie die entsprechenden Aufgaben an den Rollen.

In der nachfolgenden Tabelle sind die möglichen Zuweisungen von Unternehmensressourcen an Identitäten, Geräte und Arbeitsplätze über Rollen dargestellt.

HINWEIS: Die Unternehmensressourcen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Tabelle 5: Mögliche Zuweisungen von Unternehmensressourcen über Rollen
Zuweisbare Unternehmensressourcen Mitglieder in Rollen
Identitäten Arbeitsplätze

Ressourcen

möglich

-

Kontendefinitionen möglich  

Gruppen kundendefinierter Zielsysteme

möglich (Zuweisung an alle Benutzerkonten kundendefinierter Zielsysteme einer Identität, für welche die Vererbung von Gruppen zugelassen ist)

-

Systemberechtigungen kundendefinierter Zielsysteme

möglich (Zuweisung an alle Benutzerkonten kundendefinierter Zielsysteme einer Identität, für welche die Vererbung von Systemberechtigungen zugelassen ist)

-

Active Directory Gruppen

möglich (Zuweisung an alle Active Directory Benutzerkonten und Active Directory Kontakte einer Identität, für welche die Vererbung von Active Directory Gruppen zugelassen ist)

-

SharePoint Gruppen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Identität, für welche die Vererbung von SharePoint Gruppen zugelassen ist)

-

SharePoint Rollen

möglich (Zuweisung an alle SharePoint Benutzerkonten einer Identität, für welche die Vererbung von SharePoint Rollen zugelassen ist)

-

LDAP Gruppen

möglich (Zuweisung an alle LDAP Benutzerkonten einer Identität, für welche die Vererbung von LDAP Gruppen zugelassen ist)

-

Notes Gruppen

möglich (Zuweisung an alle Notes Benutzerkonten einer Identität, für welche die Vererbung von Notes Gruppen zugelassen ist)

-

SAP Gruppen

möglich (Zuweisung an alle SAP Benutzerkonten einer Identität, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Gruppen zugelassen ist)

-

SAP Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Identität, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Profilen zugelassen ist)

-

SAP Rollen

möglich (Zuweisung an alle SAP Benutzerkonten einer Identität, die im selben SAP Mandanten liegen und für welche die Vererbung von SAP Rollen zugelassen ist)

-

SAP Parameter

möglich (Zuweisung an alle SAP Benutzerkonten einer Identität, die im selben SAP System liegen)

-

Strukturelle Profile

möglich (Zuweisung an alle SAP Benutzerkonten einer Identität, die im selben SAP Mandanten liegen und für welche die Vererbung von strukturellen Profilen zugelassen ist)

-

BI Analyseberechtigungen

möglich (Zuweisung an alle BI Benutzerkonten einer Identität, die im selben System liegen und für welche die Vererbung von Gruppen zugelassen ist)

-

Azure Active Directory Gruppen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Identität, für welche die Vererbung von Azure Active Directory Gruppen zugelassen ist)

-

Azure Active Directory Administratorrollen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Identität, für welche die Vererbung von Azure Active Directory Administratorrollen zugelassen ist)

-

Azure Active Directory Abonnements

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Identität, für welche die Vererbung von Azure Active Directory Abonnements zugelassen ist)

-

Unwirksame Azure Active Directory Dienstpläne

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Identität, für welche die Vererbung von unwirksamen Azure Active Directory Dienstplänen zugelassen ist)

-

Cloud Gruppen

möglich (Zuweisung an alle Cloud Benutzerkonten einer Identität, für welche die Vererbung von Cloud Gruppen zugelassen ist)

-

Cloud Systemberechtigungen

möglich (Zuweisung an alle Cloud Benutzerkonten einer Identität, für welche die Vererbung von Cloud Systemberechtigungen zugelassen ist)

-

Unix Gruppen

möglich (Zuweisung an alle Unix Benutzerkonten einer Identität, für welche die Vererbung von Unix Gruppen zugelassen ist)

-

E-Business Suite Berechtigungen

möglich (Zuweisung an alle E-Business Suite Benutzerkonten einer Identität, die im selben E-Business Suite System liegen und für welche die Vererbung von E-Business Suite Gruppen zugelassen ist)

-

PAM Benutzergruppen

möglich (Zuweisung an alle PAM Benutzerkonten einer Identität, für welche die Vererbung von PAM Gruppen zugelassen ist)

-

Google Workspace Produkte und SKUs

möglich (Zuweisung an alle Google Workspace Benutzerkonten einer Identität, die in der selben Kunden-Umgebung liegen und für welche die Vererbung von Google Workspace Produkten und SKUs zugelassen ist)

-

Google Workspace Gruppen

möglich (Zuweisung an alle Google Workspace Benutzerkonten einer Identität, die in der selben Kunden-Umgebung liegen und für welche die Vererbung von Google Workspace Gruppen zugelassen ist)

-

SharePoint Online Gruppen

möglich (Zuweisung an alle SharePoint Online Benutzerkonten einer Identität, für welche die Vererbung von SharePoint Online Gruppen zugelassen ist)

-

SharePoint Online Rollen

möglich (Zuweisung an alle SharePoint Online Benutzerkonten einer Identität, für welche die Vererbung von SharePoint Online Rollen zugelassen ist)

-

Office 365 Gruppen

möglich (Zuweisung an alle Azure Active Directory Benutzerkonten einer Identität, für welche die Vererbung von Office 365 Gruppen zugelassen ist)

-

Exchange Online E-Mail-aktivierte Verteilergruppen

möglich (Zuweisung an alle an Exchange Online Postfächer, Exchange Online E-Mail Benutzer und Exchange Online E-Mail Kontakte einer Identität, für welche die Vererbung von Exchange Online E-Mail-aktivierten Verteilergruppen zugelassen ist)

-

OneLogin Rollen

möglich (Zuweisung an alle OneLogin Benutzerkonten einer Identität, für welche die Vererbung von OneLogin Rollen zugelassen ist)

 

Systemrollen

möglich

möglich

Abonnierbare Berichte

möglich

-

Software

möglich

möglich

Verwandte Themen

Zuweisung von Identitäten, Geräten, Arbeitsplätzen und Unternehmensressourcen an Geschäftsrollen erlauben

Das Standardverfahren für die Zuweisung von Unternehmensressourcen über Rollen ist die sekundäre Zuweisung. Dafür werden sowohl Identitäten, Geräte und Arbeitsplätze als auch die Unternehmensressourcen über die sekundäre Zuweisung in die Rollen aufgenommen.

Die sekundäre Zuweisung von Objekten zu Rollen einer Rollenklasse wird über folgende Optionen definiert:

  • Zuweisungen erlaubt: Mit dieser Option legen Sie fest, ob die Zuweisung der jeweiligen Objekttypen zu Rollen der Rollenklasse generell erlaubt ist.

  • Direkte Zuweisungen erlaubt: Mit dieser Option legen Sie fest, ob die jeweiligen Objekttypen direkt an die Rollen der Rollenklasse zugewiesen werden können. Sollen beispielsweise Ressourcen über die Zuweisungsformulare im Manager an Abteilungen, Kostenstellen oder Standorte zugewiesen werden, dann setzen Sie diese Option.

    HINWEIS: Ist die Option nicht gesetzt, dann ist die Zuweisung des jeweiligen Objekttyps nur über Bestellungen im IT Shop, dynamische Rollen oder Systemrollen möglich.

Beispiel:

Um Identitäten im Manager direkt an Geschäftsrollen zuzuweisen, aktivieren Sie an der Rollenklasse Geschäftsrolle, für den Eintrag Identitäten die Optionen Zuweisungen erlaubt und Direkte Zuweisungen erlaubt.

Sollen Identitäten die Mitgliedschaft in einer Geschäftsrolle nur über den IT Shop erhalten, dann aktivieren Sie an der Rollenklasse Geschäftsrolle, für den Eintrag Identitäten, die Option Zuweisungen erlaubt und deaktivieren die Option Direkte Zuweisungen erlaubt. Im IT Shop muss dann eine entsprechende Zuweisungsressource verfügbar sein.

Um die Zuweisungen zu Rollen einer Rollenklasse zu konfigurieren

  1. Wählen Sie im Manager in der Kategorie Geschäftsrollen > Basisdaten zur Konfiguration > Rollenklassen die Rollenklasse.

  2. Wählen Sie die Aufgabe Rollenzuweisungen konfigurieren.

  3. Verwenden Sie die Spalte Zuweisungen erlaubt um festzulegen, ob eine Zuweisung generell erlaubt ist.

    HINWEIS: Sie können die Option Zuweisungen erlaubt nur dann deaktivieren, wenn es keine Zuweisungen der jeweiligen Objekte zu Rollen dieser Rollenklasse gibt oder über bestehende dynamische Rollen entstehen könnten.

  4. Verwenden Sie die Spalte Direkte Zuweisungen erlaubt um festzulegen, ob eine direkte Zuweisung erlaubt ist.

    HINWEIS: Sie können die Option Direkte Zuweisungen erlaubt nur dann deaktivieren, wenn es keine direkten Zuweisungen der jeweiligen Objekte zu Rollen der Rollenklasse gibt.

  5. Speichern Sie die Änderungen.

Festlegen der Vererbungsrichtung

Innerhalb einer Rollenhierarchie entscheidet die Vererbungsrichtung über die Zuteilung der Unternehmensressourcen. Die Vererbungsrichtung wird an den Rollenklassen festgelegt.

Die Vererbungsrichtung kann nur beim Einfügen einer Rollenklasse festgelegt werden.

  • Um die Top-Down-Vererbung festzulegen, aktivieren Sie die Option Vererbt von oben nach unten.

  • Um die Bottom-Up-Vererbung festzulegen, aktivieren Sie die Option Vererbt von unten nach oben.

Detaillierte Informationen zum Thema

Vererbung über Geschäftsrollen blockieren

In speziellen Fällen ist die Vererbung über mehrere Hierarchieebenen nicht gewünscht. Deshalb ist die Unterbrechung der Vererbung innerhalb einer Hierarchie möglich. Abhängig von der Vererbungsrichtung hat diese Festlegung unterschiedliche Auswirkungen.

  • Bei einer Top-Down-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle keine Zuweisungen aus der übergeordneten Ebene. Sie vererbt die ihr direkt zugewiesenen Unternehmensressourcen ihrerseits jedoch an die ihr untergeordneten Ebenen weiter.

  • In einer Bottom-Up-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle alle Zuweisungen der untergeordneten Ebenen. Die Rolle selbst vererbt jedoch keinerlei Zuweisungen weiter nach oben.

Um die Vererbung für Geschäftsrollen zu unterbrechen

  1. Wählen Sie im Manager in der Kategorie Geschäftsrollen die Geschäftsrolle.

  2. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  3. Aktivieren Sie die Option Vererbung blockieren.

  4. Speichern Sie die Änderungen.
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen