Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten
Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Identitäten befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.
Beispiele:
-
Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Ressource besitzen.
-
Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Gruppe oder Systemberechtigung besitzen.
-
Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Complianceregel verletzen.
-
Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Abteilung ebenfalls Mitglied sind.
-
Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Geschäftsrolle ebenfalls Mitglied sind.
Um detaillierte Informationen über Zuweisungen anzuzeigen
-
Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
-
Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes die Rollenklasse, für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Identitäten mit dem ausgewählten Basisobjekt befinden.
Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Identitäten befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.
-
Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
-
Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Identitäten dieser Rolle an, die das Basisobjekt besitzen.
-
Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Identitäten zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Identitäten werden der Geschäftsrolle zugeordnet.
Abbildung 13: Symbolleiste des Berichts Übersicht aller Zuweisungen
Tabelle 15: Bedeutung der Symbole in der Symbolleiste des Berichts
|
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts. |
|
Speichern der aktuellen Ansicht des Berichts als Bild. |
|
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll. |
|
Anzeige aller Rollen oder Anzeige der betroffenen Rolle. |
IT Betriebsdaten für Geschäftsrollen einrichten
Um für eine Identität Benutzerkonten mit dem Automatisierungsgrad Full managed zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Geschäftsrollen, Abteilungen, Kostenstellen oder Standorten definiert. Einer Identität wird eine primäre Geschäftsrolle, eine primäre Abteilung, eine primäre Kostenstelle oder ein primärer Standort zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.
Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.
Beispiel:
In der Regel erhält jede Identität der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Identitäten der Abteilung A administrative Benutzerkonten in der Domäne A.
Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.
Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.
Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Um IT Betriebsdaten festzulegen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.
-
Wählen Sie in der Ergebnisliste eine Rolle.
-
Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten.
-
Klicken Sie Hinzufügen und erfassen Sie die folgenden Daten.
-
Wirksam für: Legen Sie den Anwendungsbereich der IT Betriebsdaten fest. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.
Um den Anwendungsbereich festzulegen
-
Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
-
Wählen Sie unter Tabelle die Tabelle, die das Zielsystem abbildet oder, für eine Kontendefinition, die Tabelle TSBAccountDef.
-
Wählen Sie unter Wirksam für das konkrete Zielsystem oder die konkrete Kontendefinition.
-
Klicken Sie OK.
-
Spalte: Wählen Sie die Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.
In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
-
Wert: Erfassen Sie den konkreten Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll.
- Speichern Sie die Änderungen.
Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Identität in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.
HINWEIS: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 16: Zielsystemtyp-abhängige IT Betriebsdaten
Active Directory |
Container
Homeserver
Profilserver
Terminal Homeserver
Terminal Profilserver
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Microsoft Exchange |
Postfachdatenbank |
LDAP |
Container
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Domino |
Server
Zertifikat
Vorlage der Postdatei
Identitätstyp |
SharePoint |
Authentifizierungsmodus
Gruppen erbbar
Rollen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
SharePoint Online |
Gruppen erbbar
Rollen erbbar
Privilegiertes Benutzerkonto
Authentifizierungsmodus |
Kundendefinierte Zielsysteme |
Container (je Zielsystem)
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Azure Active Directory |
Gruppen erbbar
Administratorrollen erbbar
Abonnements erbbar
Unwirksame Dienstpläne erbbar
Identitätstyp
Privilegiertes Benutzerkonto
Kennwort bei der nächsten Anmeldung ändern |
Cloud Zielsystem |
Container (je Zielsystem)
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Unix-basierte Zielsysteme |
Login-Shell
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Oracle E-Business Suite |
Identitätstyp
Gruppen erbbar
Privilegiertes Benutzerkonto |
SAP R/3 |
Identitätstyp
Gruppen erbbar
Rollen erbbar
Profile erbbar
Strukturelle Profile erbbar
Privilegiertes Benutzerkonto |
Exchange Online |
Gruppen erbbar |
Privileged Account Management |
Authentifizierungsanbieter
Gruppen erbbar
Identitätstyp
Privilegiertes Benutzerkonto |
Google Workspace |
Organisation
Gruppen erbbar
Produkte und SKUs erbbar
Admin-Rollen-Zuordnungen erbbar
Identitätstyp
Privilegiertes Benutzerkonto
Kennwort bei der nächsten Anmeldung ändern |
OneLogin |
Rollen erbbar
Identitätstyp
Privilegiertes Benutzerkonto
Lizenzierungsstatus
OneLogin Gruppe |
IT Betriebsdaten ändern
Sobald sich die IT Betriebsdaten ändern, müssen Sie diese Änderungen für bestehende Benutzerkonten übernehmen. Dafür führen Sie die Bildungsregeln an den betroffenen Spalten erneut aus. Bevor Sie die Bildungsregeln ausführen, prüfen Sie, welche Auswirkungen eine Änderung der IT Betriebsdaten auf bestehende Benutzerkonten hat. Für jede betroffene Spalte an jedem betroffenen Benutzerkonto können Sie entscheiden, ob die Änderung in die -Datenbank übernommen werden soll.
Voraussetzungen
HINWEIS: Ändert sich die Zuordnung einer Identität zu einer primären Geschäftsrolle, werden die Bildungsregeln automatisch ausgeführt.
Um die Bildungsregeln auszuführen
-
Wählen Sie im Manager die Kategorie <Zielsystemtyp> > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.
-
Wählen Sie in der Ergebnisliste eine Kontendefinition.
-
Wählen Sie die Aufgabe Bildungsregeln ausführen.
Es wird eine Liste aller Benutzerkonten angezeigt, die über die gewählte Kontendefinition entstanden sind und deren Eigenschaften durch die Änderung der IT Betriebsdaten geändert werden. Es bedeuten:
-
Alter Wert: Wert der Objekteigenschaft vor der Änderung der IT Betriebsdaten.
-
Neuer Wert: Wert der Objekteigenschaft nach der Änderung der IT Betriebsdaten.
-
Auswahl: Gibt an, ob der neue Wert für das Benutzerkonto übernommen werden soll.
-
Markieren Sie in der Spalte Auswahl alle Objekteigenschaften, für die der neue Wert übernommen werden soll.
-
Klicken Sie Übernehmen.
Für alle markierten Benutzerkonten und Eigenschaften werden die Bildungsregeln ausgeführt.
Dynamische Rollen für Geschäftsrollen erstellen
Über diese Aufgabe definieren Sie dynamische Rollen für einzelne Geschäftsrollen. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Identitäten, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Identitäten (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Identitäten einer Geschäftsrolle zugewiesen werden; verlässt eine Identität diese Geschäftsrolle verliert sie sofort die zugewiesenen Unternehmensressourcen.
Rollenmitgliedschaften über dynamische Rollen werden als sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Identitäten, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.
HINWEIS: Die Aufgabe Dynamische Rolle erstellen wird nur für Geschäftsrollen angeboten, für welche die Option Dynamische Rollen nicht erlaubt nicht aktiviert ist.
Ausführliche Informationen zum Erstellen und Bearbeiten dynamischer Rollen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um eine dynamische Rolle für eine Geschäftsrolle zu erstellen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.
-
Wählen Sie in der Ergebnisliste eine Geschäftsrolle.
-
Wählen Sie die Aufgabe Dynamische Rolle erstellen.
-
Erfassen Sie die erforderlichen Stammdaten.
- Speichern Sie die Änderungen.
Um eine dynamische Rolle zu bearbeiten
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse> > Dynamische Rollen.
-
Wählen Sie in der Ergebnisliste eine Geschäftsrolle.
-
Öffnen Sie das Überblicksformular der Geschäftsrolle.
-
Klicken Sie im Formularelement Dynamische Rollen auf die Bezeichnung der dynamischen Rolle.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Bearbeiten Sie die Stammdaten der dynamische Rolle.
-
Speichern Sie die Änderungen.
Verwandte Themen