Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Identitäten und Benutzerkonten Der Unified Namespace

Beispiele für den Einsatz mehrerer Kontendefinitionen innerhalb eines Zielsystemtyps

Sollen in einem Zielsystemtyp mehrere Zielsysteme über Kontendefinitionen verwaltet werden, muss pro Zielsystem eine separate Kontendefinition eingerichtet werden. Bei Zuweisung beider Kontendefinitionen an die Identität wird durch die anschließende Skript- und Prozessverarbeitung dafür gesorgt, dass die Identität ihre Benutzerkonten in beiden Zielsystemen erhält.

Beispiel: Identitäten können nur in einer Domäne ein Benutzerkonto besitzen

In einer Active Directory-Umgebung existieren zwei Domänen. Die Identitäten können nur in einer der beiden Domänen ein Benutzerkonto besitzen. Anhand der IT Betriebsdaten der Abteilung einer Identität wird entschieden, ob das Benutzerkonto in Domäne A oder in Domäne B erstellt wird.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad Full managed zu. Dieser Automatisierungsgrad nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für beide Kontendefinitionen legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.

Gehört die Identität zur Abteilung A, dann erhält Sie, beispielsweise per dynamischer Zuweisung, die Kontendefinition A und daraus resultierend ein Benutzerkonto in Domäne A. Gehört die Identität zur Abteilung B, dann wird ihr die Kontendefinition B zugeteilt und sie erhält ein Benutzerkonto in Domäne B.

Abbildung 3: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Beispiel: Identitäten können in mehreren Domänen ein Benutzerkonto besitzen

In einer Active Directory-Umgebung existieren zwei Domänen. Die Identitäten können in beiden Domänen ein Benutzerkonto besitzen. Das Benutzerkonto in Domäne A erhält die IT Betriebsdaten über die Abteilung einer Identität. Das Benutzerkonto in Domäne B erhält die IT Betriebsdaten über die primäre Geschäftsrolle einer Identität.

Erstellen Sie eine Kontendefinition A für die Domäne A und eine Kontendefinition B für die Domäne B und weisen Sie den Automatisierungsgrad Full managed zu. Der Automatisierungsgrad Full managed nutzt zur Ermittlung der IT Betriebsdaten die Standardbildungsregeln des One Identity Manager. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition A legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest. In der Abbildungsvorschrift der IT Betriebsdaten für Kontendefinition B legen Sie die Eigenschaft Geschäftsrolle zur Ermittlung der gültigen IT Betriebsdaten fest.

Abbildung 4: Erzeugung von Benutzerkonten anhand von Kontendefinitionen

Automatische Zuordnung von Identitäten zu Benutzerkonten

Durch die automatische Identitätenzuordnung können

  • vorhandene Identitäten an Benutzerkonten zugeordnet werden

  • Identitäten anhand vorhandener Benutzerkonten erzeugt werden

Durch eine Synchronisation werden die Benutzerkonten zunächst initial aus einem Zielsystem in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung kann die automatische Zuordnung der Benutzerkonten zu bestehenden Identitäten erfolgen. Gegebenenfalls können neue Identitäten anhand vorhandener Benutzerkonten erzeugt und den Benutzerkonten zugeordnet werden. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Das Verfahren können Sie einsetzen, um bei der Synchronisation aus den bereits vorhandenen Benutzerkonten eines Zielsystems Identitätendatensätze zu erstellen.

Schalten Sie das Verfahren im laufenden Betrieb ein, dann erfolgt ab diesem Zeitpunkt die automatische Zuordnung der Identitäten zu Benutzerkonten. Deaktivieren Sie das Verfahren zu einem späteren Zeitpunkt wieder, wirkt sich diese Änderung nur auf Benutzerkonten aus, die ab diesem Zeitpunkt angelegt oder aktualisiert werden. Bereits vorhandene Zuordnungen von Identitäten zu Benutzerkonten bleiben bestehen.

Die Kriterien für die automatische Zuordnung eines Benutzerkontos zu einer Identität werden unternehmensspezifisch definiert. Identitäten können bei Bedarf anhand einer Vorschlagsliste direkt an vorhandene Benutzerkonten zugeordnet werden.

Führen Sie folgende Aktionen aus, damit Identitäten automatisch zugeordnet werden können:

  • Aktivieren Sie im Designer die Konfigurationsparameter für die automatische Zuordnung der Identitäten zu Benutzerkonten und wählen Sie den gewünschten Modus aus.

  • Definieren Sie die Suchkriterien für die Identitätenzuordnung.

  • Sollen durch die automatische Identitätenzuordnung verwaltete Benutzerkonten (Zustand Linked configured) entstehen, dann weisen Sie dem Zielsystem eine Kontendefinition zu. Stellen Sie sicher, dass der Automatisierungsgrad, der verwendet werden soll, als Standardautomatisierungsgrad eingetragen ist.

    Ist keine Kontendefinition am Zielsystem angegeben, werden die Benutzerkonten nur mit der Identität verbunden (Zustand Linked). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Verwandte Themen

Konfigurieren der automatischen Identitätenzuordnung

In der One Identity Manager Standardinstallation wird die automatische Zuordnung von Identitäten zu Benutzerkonten über Konfigurationsparameter gesteuert und ist somit global für einen Zielsystemtyp wirksam. Es wird dabei zwischen dem Verhalten bei Synchronisationen und dem Standardverhalten unterschieden.

HINWEIS:

Für die Synchronisation gilt:

  • Die automatische Identitätenzuordnung wirkt, wenn Benutzerkonten neu angelegt oder aktualisiert werden.

Außerhalb der Synchronisation gilt:

  • Die automatische Identitätenzuordnung wirkt, wenn Benutzerkonten neu angelegt werden.
HINWEIS: Die Konfigurationsparameter sind in den One Identity Manager Modulen enthalten und stehen zur Verfügung, wenn die Module installiert sind.

Konfigurationsparameter für die automatische Identitätenzuordnung:

  • TargetSystem | <Zielsystemtyp> | PersonAutoDefault

  • TargetSystem | <Zielsystemtyp> | PersonAutoFullSync

Jeder Konfigurationsparameter kennt die zulässigen Modi:

  • NO: Es erfolgt keine automatische Zuordnung einer Identität zum Benutzerkonto. Dies ist der Standardwert, der auch abgebildet wird, wenn der Konfigurationsparameter nicht aktiv ist.

  • SEARCH: Ist dem Benutzerkonto keine Identität zugeordnet, so wird anhand definierter Kriterien nach der passenden Identität gesucht und die gefundene Identität dem Benutzerkonto zugeordnet. Wird keine Identität gefunden, so wird auch keine neue Identität angelegt.

  • CREATE: Ist dem Benutzerkonto keine Identität zugeordnet, wird immer eine neue Identität angelegt, einige Eigenschaften initialisiert und die Identität dem Benutzerkonto zugeordnet.

    HINWEIS: Dieser Modus steht nicht für alle Zielsystemtypen zur Verfügung.
  • SEARCH AND CREATE: Ist dem Benutzerkonto keine Identität zugeordnet, wird anhand definierter Kriterien nach einer passenden Identität gesucht und die gefundene Identität dem Benutzerkonto zugeordnet. Wird keine Identität gefunden, so werden eine neue Identität angelegt, einige Eigenschaften initialisiert und die Identität dem Benutzerkonto zugeordnet.

    HINWEIS: Dieser Modus steht nicht für alle Zielsystemtypen zur Verfügung.

Wird durch den eingesetzten Modus ein Benutzerkonto mit einer Identität verbunden, so erhält das Benutzerkonto durch interne Verarbeitung den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Diesen Automatisierungsgrad können Sie nachträglich ändern.

HINWEIS:

Im Anschluss an eine Synchronisation werden in der Standardinstallation automatisch für die Benutzerkonten Identitäten erzeugt. Ist zum Zeitpunkt der Synchronisation noch keine Kontendefinition für das Zielsystem bekannt, werden die Benutzerkonten mit den Identitäten verbunden. Es wird jedoch noch keine Kontendefinition zugewiesen. Die Benutzerkonten sind somit im Zustand Linked (verbunden).

Um die Benutzerkonten über Kontendefinitionen zu verwalten, weisen Sie diesen Benutzerkonten eine Kontendefinition und einen Automatisierungsgrad zu.

Um die Benutzerkonten über Kontendefinitionen zu verwalten

  1. Erstellen Sie eine Kontendefinition.

  2. Weisen Sie den Benutzerkonten im Zustand Linked (verbunden) die Kontendefinition zu. Es wird der Standardautomatisierungsgrad der Kontendefinition für das Benutzerkonto übernommen.

    1. Wählen Sie im Manager die Kategorie <Zielsystemtyp> > Benutzerkonten > Verbunden aber nicht konfiguriert > <Zielsystem>.

    2. Wählen Sie die Aufgabe Kontendefinition an verbundene Benutzerkonten zuweisen.

    3. Wählen Sie in der Auswahlliste Kontendefinition die Kontendefinition.

    4. Wählen Sie die Benutzerkonten, die die Kontendefinition erhalten sollen.

    5. Speichern Sie die Änderungen.

In den Zielsystemtyp-abhängigen Insert/Update-Prozessen der One Identity Manager Standardinstallation werden die Konfigurationsparameter ausgewertet und so der auszuführende Modus ermittelt. Die Namen der entsprechenden Prozessschritte lauten Search and Create Person for Account und Search and Create Person for Account (Fullsync). Um die automatische Identitätenzuordnung in den einzelnen Zielsystemen eines Zielsystemtyps, beispielsweise den einzelnen Domänen einer Active Directory-Umgebung, unterschiedlich einzusetzen, können Sie diese Prozessschritte als Vorlage nutzen.

Bearbeiten der Suchkriterien für die automatische Identitätenzuordnung

Die Kriterien für die Identitätenzuordnung werden an den Zielsystemen definiert. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Identität übereinstimmen müssen, damit die Identität dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken.

Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte Suchkriterien für die automatische Identitätenzuordnung (AccountToPersonMatchingRule) der Zielsystem-Tabelle geschrieben.

Die Suchkriterien werden bei der automatischen Zuordnung von Identitäten zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Identitätenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen