Nachdem Sie die Stammdaten erfasst haben, können Sie die folgenden Aufgaben ausführen.
Nachdem Sie die Stammdaten erfasst haben, können Sie die folgenden Aufgaben ausführen.
Um einen Überblick über eine Gruppe zu erhalten
Um einen Überblick über ein Profil zu erhalten
Um einen Überblick über eine Rolle zu erhalten
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER | Structures | Inherite | GroupExclusion |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Wirksamkeit von Gruppenmitgliedschaften. Ist der Konfigurationsparameter aktiviert, können aufgrund von Ausschlussdefinitionen die Gruppenmitgliedschaften reduziert werden. Die Änderung des Konfigurationsparameter erfordert eine Kompilierung der Datenbank. |
Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Identität zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.
Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.
HINWEIS:
Die Wirksamkeit der Zuweisungen wird in den Tabellen
Clara Harris hat ein Benutzerkonto
Durch geeignete Maßnahmen soll verhindert werden, dass eine Identität
Wirksame Gruppe |
Ausgeschlossene Gruppe |
---|---|
Gruppe A |
|
Gruppe B |
Gruppe A |
Gruppe C |
Gruppe B |
Identität |
Mitglied in Rolle |
Wirksame Gruppe |
---|---|---|
Ben King |
Marketing |
Gruppe A |
Jan Bloggs |
Marketing, Finanzen |
Gruppe B |
Clara Harris |
Marketing, Finanzen, Kontrollgruppe |
Gruppe C |
Jenny Basset |
Marketing, Kontrollgruppe |
Gruppe A, Gruppe C |
Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.
Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.
Identität |
Mitglied in Rolle |
Zugewiesene Gruppe |
Ausgeschlossene Gruppe |
Wirksame Gruppe |
---|---|---|---|---|
Jenny Basset
|
Marketing |
Gruppe A |
|
Gruppe C
|
Kontrollgruppe |
Gruppe C |
Gruppe B
Gruppe A |
Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.
Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.
HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
Sich ausschließende Gruppen, Rollen und Profile gehören zum selben Mandanten.
Um Gruppen auszuschließen
Wählen Sie im Manager die Kategorie SAP R/3 > Gruppen.
Wählen Sie in der Ergebnisliste eine Gruppe.
Wählen Sie die Aufgabe Gruppen ausschließen.
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.
Um Rollen auszuschließen
Wählen Sie im Manager die Kategorie SAP R/3 > Rollen.
Wählen Sie in der Ergebnisliste die Rolle.
Wählen Sie die Aufgabe SAP Rollen ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Rollen, die sich nicht länger ausschließen.
Um Profile auszuschließen
Wählen Sie im Manager die Kategorie SAP R/3 > Profile.
Wählen Sie in der Ergebnisliste das Profil.
Wählen Sie die Aufgabe Profile ausschließen.
- ODER -
Entfernen Sie im Bereich Zuordnungen entfernen die Profile, die sich nicht länger ausschließen.
Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Gruppe kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Gruppe überein, wird die Gruppe an das Benutzerkonto vererbt. Ist die Gruppe oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Gruppe ebenfalls an das Benutzerkonto vererbt.
HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Gruppen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Gruppen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Kategorieposition | Kategorien für Benutzerkonten | Kategorien für Gruppen |
---|---|---|
1 | Standardbenutzer | Standardberechtigung |
2 | Systembenutzer | Systembenutzerberechtigung |
3 | Systemadministrator | Systemadministratorberechtigung |
Abbildung 5: Beispiel für die Vererbung über Kategorien
Um die Vererbung über Kategorien zu nutzen
Definieren Sie am Mandanten die Kategorien.
HINWEIS: Wenn eine Zentrale Benutzerverwaltung eingesetzt wird, definieren Sie die Kategorien sowohl am Zentralsystem als auch an den Tochtersystemen. Damit
Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.
Weisen Sie die Kategorien den Gruppen, Rollen und Profilen über ihre Stammdaten zu.
© ALL RIGHTS RESERVED. Nutzungsbedingungen Datenschutz Cookie Preference Center