Abbildung 2: Vererbung einer Active Directory Gruppe über eine direkt zugewiesene Systemrolle
Abbildung 3: Vererbung von Software über eine IT Shop-Bestellung
Abbildung 4: Vererbung einer Ressource über eine indirekt zugewiesene Systemrolle
Abbildung 2: Vererbung einer Active Directory Gruppe über eine direkt zugewiesene Systemrolle
Abbildung 3: Vererbung von Software über eine IT Shop-Bestellung
Abbildung 4: Vererbung einer Ressource über eine indirekt zugewiesene Systemrolle
Folgende Abbildungen zeigen, wie sich der Ausschluss einer Systemrolle in der Vererbungsberechnung auswirkt. Auch ausgeschlossene Systemrollen können an Identitäten zugewiesen werden. Über die Spalte XIsInEffect wird gekennzeichnet, ob diese Zuweisung wirksam ist. Die Zuweisung einer ausgeschlossenen Systemrolle führt zu einem Eintrag mit XIsInEffect = 0, wenn gleichzeitig die andere Systemrolle aus der Ausschlussdefinition zugewiesen ist.
Systemrolle (UID_ESet) | Ausgeschlossene Systemrolle (UID_ESetExcluded) |
---|---|
System role A12 | System role A11 |
System role B | System role B1 |
System role B | System role A2 |
Systemrolle (UID_ESet) | Zuweisung Systemrolle (Entitlement) | Zuweisung wirksam (XIsInEffect) |
---|---|---|
System role A | System role A1 | 1 |
System role A | System role A2 | 1 |
System role A | System role A11 | 0 |
System role A | System role A12 | 1 |
System role A1 | System role A11 | 0 |
System role A1 | System role A12 | 1 |
System role A2 | Software | 1 |
System role A11 | Active Directory group | 1 |
System role A12 | SAP role | 1 |
System role B | Resource R1 | 1 |
System role B1 | Resource R2 | 1 |
Abbildung 5: Vererbung über direkt zugewiesene Systemrollen
Abbildung 6: Vererbung über eine IT Shop-Bestellung
Konfigurationsparameter | Wirkung bei Aktivierung |
---|---|
QER | Structures | Inherite | NoESetSplitting |
Angabe, ob die Bestandteile einer Systemrolle bereits an der hierarchischen Rolle aufgelöst werden oder nicht. Bei Aktivierung werden die Systemrollen erst am Ziel der Vererbung in ihre einzelnen Bestandteile zerlegt. |
Wenn der Konfigurationsparameter aktiviert ist, werden Systemrollen, die an hierarchische Rollen zugewiesen sind, bei der Vererbungsberechnung nicht aufgelöst. Das heißt, die Zuweisungen von Unternehmensressourcen an hierarchische Rollen werden nicht in die entsprechenden Zuweisungstabellen (<BaseTree>Has...) geschrieben. Erst bei der Vererbungsberechnung für Identitäten werden die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (PersonHasESet.XIsIneffect = 1).
HINWEIS: Eine Systemrollenhierarchie wird immer aufgelöst. Das heißt, die Zuweisung von untergeordneten Systemrollen an hierarchische Rollen wird immer in die Zuweisungstabellen geschrieben. Dieses Verhalten ist unabhängig von der Stellung des Konfigurationsparameters.
Der Konfigurationsparameter ist standardmäßig aktiviert.
Abbildung 7: Vererbung über indirekt zugewiesene Systemrollen bei aktiviertem Konfigurationsparameter
Abbildung 8: Vererbung über unterschiedliche hierarchische Rollen bei aktiviertem Konfigurationsparameter
Wenn der Konfigurationsparameter nicht aktiviert ist, werden bei der Vererbungsberechnung für die hierarchischen Rollen die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (BaseTreeHasESet.XIsIneffect = 1). Wenn die sich ausschließenden Systemrollen an unterschiedliche hierarchische Rollen zugewiesen sind, sind beide Zuweisungen wirksam. Damit sind auch die daraus resultierenden Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen wirksam. Ist eine Identität in beiden hierarchischen Rollen Mitglied, werden dadurch auch die Unternehmensressourcen der ausgeschlossenen Systemrolle an diese Identität vererbt.
Abbildung 9: Vererbung über unterschiedliche hierarchische Rollen bei deaktiviertem Konfigurationsparameter
Wenn die sich ausschließenden Systemrollen an dieselbe hierarchische Rolle zugewiesen sind, wirkt die Ausschlussdefinition bereits bei der Berechnung von BaseTreeHasESet.
Abbildung 10: Vererbung über dieselbe hierarchische Rolle bei deaktiviertem Konfigurationsparameter
© 2024 One Identity LLC. ALL RIGHTS RESERVED. Nutzungsbedingungen Datenschutz Cookie Preference Center