Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für Geschäftsrollen

Geschäftsrollen verwalten
One Identity Manager Benutzer für Geschäftsrollen Grundlagen für den Aufbau von hierarchischen Rollen Grundlagen zur Zuweisung von Unternehmensressourcen Grundlagen zur Berechnung der Vererbung Vorbereiten der Geschäftsrollen für die Zuweisung von Unternehmensressourcen Basisdaten für Geschäftsrollen Geschäftsrollen erstellen und bearbeiten Identitäten, Geräte und Arbeitsplätze an Geschäftsrollen zuweisen Unternehmensressourcen an Geschäftsrollen zuweisen Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten IT Betriebsdaten für Geschäftsrollen einrichten Dynamische Rollen für Geschäftsrollen erstellen Abteilungen, Kostenstellen und Standorte an Geschäftsrollen zuweisen Vererbungsausschluss für Geschäftsrollen festlegen Zusatzeigenschaften an Geschäftsrollen zuweisen Zuweisungsressourcen für Geschäftsrollen erzeugen Dynamische Rollen für Geschäftsrollen mit fehlerhaft ausgeschlossenen Identitäten Zertifizierung von Geschäftsrollen Berichte über Geschäftsrollen
Role Mining im One Identity Manager

Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten

Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Identitäten befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.

Beispiele:
  • Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Ressource besitzen.

  • Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Gruppe oder Systemberechtigung besitzen.

  • Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Identitäten befinden, die diese Complianceregel verletzen.

  • Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Abteilung ebenfalls Mitglied sind.

  • Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Identitäten der gewählten Geschäftsrolle ebenfalls Mitglied sind.

Um detaillierte Informationen über Zuweisungen anzuzeigen

  • Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.

  • Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes die Rollenklasse, für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Identitäten mit dem ausgewählten Basisobjekt befinden.

    Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Identitäten befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.

  • Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.

  • Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Identitäten dieser Rolle an, die das Basisobjekt besitzen.

  • Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Identitäten zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Identitäten werden der Geschäftsrolle zugeordnet.

Abbildung 13: Symbolleiste des Berichts Übersicht aller Zuweisungen

Tabelle 15: Bedeutung der Symbole in der Symbolleiste des Berichts

Symbol

Bedeutung

Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts.

Speichern der aktuellen Ansicht des Berichts als Bild.

Auswählen der Rollenklasse, über die der Bericht erstellt werden soll.

Anzeige aller Rollen oder Anzeige der betroffenen Rolle.

IT Betriebsdaten für Geschäftsrollen einrichten

Um für eine Identität Benutzerkonten mit dem Automatisierungsgrad Full managed zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Geschäftsrollen, Abteilungen, Kostenstellen oder Standorten definiert. Einer Identität wird eine primäre Geschäftsrolle, eine primäre Abteilung, eine primäre Kostenstelle oder ein primärer Standort zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.

Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.

Beispiel:

In der Regel erhält jede Identität der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Identitäten der Abteilung A administrative Benutzerkonten in der Domäne A.

Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.

Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Um IT Betriebsdaten festzulegen

  1. Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.

  2. Wählen Sie in der Ergebnisliste eine Rolle.

  3. Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten.

  4. Klicken Sie Hinzufügen und erfassen Sie die folgenden Daten.

    • Wirksam für: Legen Sie den Anwendungsbereich der IT Betriebsdaten fest. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.

      Um den Anwendungsbereich festzulegen

      1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.

      2. Wählen Sie unter Tabelle die Tabelle, die das Zielsystem abbildet oder, für eine Kontendefinition, die Tabelle TSBAccountDef.

      3. Wählen Sie unter Wirksam für das konkrete Zielsystem oder die konkrete Kontendefinition.

      4. Klicken Sie OK.

    • Spalte: Wählen Sie die Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.

      In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

    • Wert: Erfassen Sie den konkreten Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll.

  5. Speichern Sie die Änderungen.

IT Betriebsdaten ändern

Sobald sich die IT Betriebsdaten ändern, müssen Sie diese Änderungen für bestehende Benutzerkonten übernehmen. Dafür führen Sie die Bildungsregeln an den betroffenen Spalten erneut aus. Bevor Sie die Bildungsregeln ausführen, prüfen Sie, welche Auswirkungen eine Änderung der IT Betriebsdaten auf bestehende Benutzerkonten hat. Für jede betroffene Spalte an jedem betroffenen Benutzerkonto können Sie entscheiden, ob die Änderung in die One Identity Manager-Datenbank übernommen werden soll.

Voraussetzungen
  • Die IT Betriebsdaten einer Geschäftsrolle wurden geändert.

    - ODER -

  • Die Standardwerte in der IT Betriebsdaten Abbildungsvorschrift für eine Kontendefinition wurden geändert.

HINWEIS: Ändert sich die Zuordnung einer Identität zu einer primären Geschäftsrolle, werden die Bildungsregeln automatisch ausgeführt.

Um die Bildungsregeln auszuführen

  1. Wählen Sie im Manager die Kategorie <Zielsystemtyp> > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe Bildungsregeln ausführen.

    Es wird eine Liste aller Benutzerkonten angezeigt, die über die gewählte Kontendefinition entstanden sind und deren Eigenschaften durch die Änderung der IT Betriebsdaten geändert werden. Es bedeuten:

    • Alter Wert: Wert der Objekteigenschaft vor der Änderung der IT Betriebsdaten.

    • Neuer Wert: Wert der Objekteigenschaft nach der Änderung der IT Betriebsdaten.

    • Auswahl: Gibt an, ob der neue Wert für das Benutzerkonto übernommen werden soll.

  4. Markieren Sie in der Spalte Auswahl alle Objekteigenschaften, für die der neue Wert übernommen werden soll.

  5. Klicken Sie Übernehmen.

    Für alle markierten Benutzerkonten und Eigenschaften werden die Bildungsregeln ausgeführt.

Dynamische Rollen für Geschäftsrollen erstellen

Über diese Aufgabe definieren Sie dynamische Rollen für einzelne Geschäftsrollen. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Identitäten, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Identitäten (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Identitäten einer Geschäftsrolle zugewiesen werden; verlässt eine Identität diese Geschäftsrolle verliert sie sofort die zugewiesenen Unternehmensressourcen.

Rollenmitgliedschaften über dynamische Rollen werden als sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Identitäten, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.

HINWEIS: Die Aufgabe Dynamische Rolle erstellen wird nur für Geschäftsrollen angeboten, für welche die Option Dynamische Rollen nicht erlaubt nicht aktiviert ist.

Ausführliche Informationen zum Erstellen und Bearbeiten dynamischer Rollen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Um eine dynamische Rolle für eine Geschäftsrolle zu erstellen

  1. Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.

  2. Wählen Sie in der Ergebnisliste eine Geschäftsrolle.

  3. Wählen Sie die Aufgabe Dynamische Rolle erstellen.

  4. Erfassen Sie die erforderlichen Stammdaten.

  5. Speichern Sie die Änderungen.

Um eine dynamische Rolle zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse> > Dynamische Rollen.

  2. Wählen Sie in der Ergebnisliste eine Geschäftsrolle.

  3. Öffnen Sie das Überblicksformular der Geschäftsrolle.

  4. Klicken Sie im Formularelement Dynamische Rollen auf die Bezeichnung der dynamischen Rolle.

  5. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  6. Bearbeiten Sie die Stammdaten der dynamische Rolle.

  7. Speichern Sie die Änderungen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen