Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für Systemrollen

Wirksamkeit von Systemrollen

Durch die Zuweisung von Systemrollen an Identitäten, Arbeitsplätze oder hierarchische Rollen kann es vorkommen, dass eine Identität verschiedene Unternehmensressourcen erhält, die in dieser Kombination nicht zugewiesen sein dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Systemrollen bekannt. Dabei legen Sie für zwei Systemrollen fest, welche der beiden Systemrollen wirksam sein soll, wenn beide zugewiesen sind. Über die unwirksame Systemrolle werden keine Unternehmensressourcen vererbt.

Voraussetzung
  • Der Konfigurationsparameter QER | Structures | Inherite | ESetExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

Die Zuweisung von Identitäten, Arbeitsplätzen und Unternehmensressourcen an eine ausgeschlossene Systemrolle ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist und die Unternehmensressourcen vererbt werden.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Systemrollen kann nicht definiert werden. Das heißt, die Festlegung "Systemrolle A schließt Systemrolle B aus" UND "Systemrolle B schließt Systemrolle A aus" ist nicht zulässig.

  • Für eine Systemrolle muss jede auszuschließende Systemrolle einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.

Die Wirksamkeit der Zuweisungen wird in den Tabellen PersonHasESet, BaseTreeHasESet und WorkdeskHasESet über die Spalte XIsInEffect abgebildet.

HINWEIS: Wenn eine Unternehmensressource, die einer ausgeschlossenen Systemrolle zugewiesen ist, selbst direkt oder indirekt an eine Identität oder einen Arbeitsplatz zugewiesen ist, dann wirkt die Ausschlussdefinition auf diese Unternehmensressource nicht. Die Ausschlussdefinition wirkt nur auf die Systemrollen.

Beispiel: Wirksamkeit von Systemrollen
  • Die Systemrolle "Marketing" enthält alle Software-Anwendungen und Berechtigungen zum Auslösen von Bestellungen.

  • Die Systemrolle "Finanzen" enthält alle Software-Anwendungen und Berechtigungen zum Anweisen von Zahlungen.

  • Die Systemrolle "Controlling" enthält alle Software-Anwendungen und Berechtigungen zum Prüfen von Rechnungen.

Clara Harris wird die Systemrolle "Marketing" direkt zugewiesen. Die Systemrolle "Finanzen" und die Systemrolle "Controlling" erhält sie über eine IT Shop-Bestellung. Ohne Ausschlussdefinition erhält Clara Harris alle Systemrollen und die damit verbundenen Berechtigungen.

Durch geeignete Maßnahmen soll verhindert werden, dass ein Mitarbeiter, der Rechnungen zur Zahlung anweisen darf, auch Bestellungen auslösen kann. Das heißt, die Systemrollen "Finanzen" und "Marketing" schließen sich aus. Ein Mitarbeiter, der Rechnungen prüft, darf ebenfalls keine Rechnungen zur Zahlung anweisen. Das heißt, die Systemrollen "Finanzen" und "Controlling" schließen sich aus.

Tabelle 2: Festlegen der ausgeschlossenen Systemrollen (Tabelle ESetExcludesESet)
Wirksame Systemrolle Ausgeschlossene Systemrolle
Finanzen Marketing
Controlling Finanzen
Tabelle 3: Wirksame Zuweisungen
Identität Zugewiesene Systemrolle Wirksame Systemrolle
Ben King Marketing Marketing
Jan Bloggs Marketing, Finanzen Finanzen
Clara Harris Marketing, Finanzen, Controlling Controlling
Jenny Basset Marketing, Controlling Marketing, Controlling

Für Clara Harris ist nur die Zuweisung der Systemrolle "Controlling" wirksam. Wird ihr die Systemrolle "Controlling" zu einem späteren Zeitpunkt entzogen, dann wird die Zuweisung der Systemrolle "Finanzen" wieder wirksam.

Für Jenny Basset bleiben die Zuweisungen der Systemrollen "Marketing" und "Controlling" erhalten, da zwischen beiden Systemrollen kein Ausschluss definiert wurde. Das heißt, die Identität ist berechtigt Bestellungen auszulösen und Rechnungen zu prüfen. Soll auch das verhindert werden, definieren Sie einen weiteren Ausschluss für die Systemrolle "Controlling".

Tabelle 4: Ausgeschlossene Systemrollen und wirksame Zuweisungen
Identität Zugewiesene Systemrolle Ausgeschlossene Systemrolle (UID_ESetExcluded) Wirksame Systemrolle

Jenny Basset

 

Marketing

 

Controlling

 

Controlling

Finanzen

Marketing

Detaillierte Informationen zum Thema

Deaktivierte Systemrollen

Systemrollen können deaktiviert werden, beispielsweise um zeitweilig zu verhindern, dass die enthaltenen Unternehmensressourcen an Identitäten und Arbeitsplätze vererbt werden. Wird eine Systemrolle deaktiviert, berechnet der DBQueue Prozessor die Vererbung der enthaltenen Unternehmensressourcen neu. Bestehende Zuweisungen an Identitäten und Arbeitsplätze werden entfernt. Die deaktivierte Systemrolle bleibt zugewiesen; die Zuweisung ist aber nicht mehr wirksam (PersonHasESet.XIsInEffect = 0). Sobald die Systemrolle wieder aktiviert wird, wird die Vererbung der Unternehmensressourcen erneut berechnet. Die enthaltenen Unternehmensressourcen werden an Identitäten und Arbeitsplätze zugewiesen.

Eine deaktivierte Systemrolle kann nicht im Web Portal bestellt werden. Eine deaktivierte Systemrolle kann aber direkt an Identitäten, Arbeitsplätze, hierarchische und dynamische Rollen und an IT Shop Regale zugewiesen werden.

Verwandte Themen

Systemrollen erstellen und bearbeiten

Um eine Systemrolle zu erstellen oder zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Berechtigungen > Systemrollen.

  2. Wählen Sie in der Ergebnisliste eine Systemrolle. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    - ODER -

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten der Systemrolle.

  4. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

Allgemeine Stammdaten für Systemrollen

Für Systemrollen erfassen Sie folgende Stammdaten.

Tabelle 5: Stammdaten einer Systemrolle

Eigenschaft

Beschreibung

Anzeigename

Bezeichnung unter der die Systemrolle in den Werkzeugen des One Identity Manager angezeigt werden soll.

Systemrolle

Eindeutige Bezeichnung für die Systemrolle.

Interner Produktname

Zusätzliche interne Bezeichnung für die Systemrolle.

Systemrollentyp

Gibt an, welcher Art Unternehmensressourcen in der Systemrolle zusammengefasst werden.

Leistungsposition

Um eine Systemrolle innerhalb des IT Shops zu verwenden, weisen Sie ihr eine Leistungsposition zu oder legen Sie eine neue Leistungsposition an. Ausführliche Informationen über Leistungspositionen finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verantwortlicher der Systemrolle

Verantwortlicher für die Systemrolle. Ordnen Sie eine beliebige Identität zu. Diese Identität kann die Stammdaten der Systemrolle bearbeiten. Sie kann als Attestierer für die Eigenschaften der Systemrolle ermittelt werden.

Wenn die Systemrolle im IT Shop bestellt werden kann, wird der Verantwortliche automatisch Mitglied in der Anwendungsrolle für Produkteigner, die der Leistungsposition zugeordnet ist.

Freigabedatum

Legen Sie einen Zeitpunkt fest, an dem die Systemrolle aktiviert werden soll. Liegt das Freigabedatum in der Zukunft, wird die Systemrolle als deaktivierte Systemrolle behandelt. Ist das Freigabedatum erreicht wird die Systemrolle aktiviert. Unternehmensressourcen, die der Systemrolle zugewiesen sind, werden an Identitäten vererbt.

Ist das Freigabedatum überschritten oder ist kein Datum eingetragen, wird die Systemrolle als aktivierte Systemrolle behandelt. Die Vererbung der Unternehmensressourcen kann in diesen Fällen über die Option Deaktiviert gesteuert werden.

HINWEIS: Konfigurieren und aktivieren Sie im Designer den Zeitplan Systemrollen freigeben, um das Freigabedatum zu überprüfen. Ausführliche Informationen zu Zeitplänen finden Sie im One Identity Manager Administrationshandbuch für betriebsunterstützende Aufgaben.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Unternehmensressourcen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen zur Berechnung des Risikoindex finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kommentar

Freitextfeld für zusätzliche Erläuterungen.

Bemerkungen

Freitextfeld für zusätzliche Erläuterungen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Deaktiviert

Gibt an, ob die Unternehmensressourcen, die in der Systemrolle zusammengefasst sind, an Identitäten und Arbeitsplätze vererbt werden.

Ist die Option aktiviert, kann die Systemrolle an Identitäten, Arbeitsplätze, hierarchische Rollen und IT Shop Regale zugewiesen werden. Die enthaltenen Unternehmensressourcen werden jedoch nicht vererbt. Die Systemrolle kann nicht im Web Portal bestellt werden.

Ist die Option deaktiviert, werden die Unternehmensressourcen, die der Systemrolle zugewiesen sind, vererbt. Wird die Option zu einem späteren Zeitpunkt aktiviert, werden bestehende Zuweisungen entfernt.

IT Shop

Gibt an, ob die Systemrolle über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Systemrolle kann weiterhin direkt an Identitäten und hierarchische Rollen zugewiesen werden. Ausführliche Informationen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwendung im IT Shop

Gibt an, ob die Systemrolle ausschließlich über den IT Shop bestellbar ist. Die Systemrolle kann über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Systemrolle an hierarchische Rollen ist nicht zulässig.

Freies Feld Nr. 01 ... Freies Feld Nr. 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen