Grundlagen zur Verwaltung von Identitäten
Im Zusammenhang mit der Verwaltung von Identitäten werden im One Identity Manager die folgenden Begriffe verwendet.
Tabelle 26: Begriffe zur die Verwaltung von Identitäten
Identität |
Eine Identität repräsentiert in der Regel eine reale Person. Zusätzlich können im One Identity Manager Identitäten abgebildet werden, die keine realen Personen repräsentieren, beispielsweise Maschinenidentitäten oder Dienstidentitäten. |
Hauptidentität / Subidentität |
Beschreibt die Zuordnung einer Identität zu einer anderen Identität. Dabei ist die Hauptidentität die übergeordnete Identität und die Subidentität die untergeordnete Identität. Eine Hauptidentität ist eine primäre Identität, die eine Person repräsentiert. Eine Subidentität ist ein virtuelle Identität, die für einen bestimmten Einsatzzweck eingerichtet wird. |
Primäre Identität |
Die primäre Identität repräsentiert eine reale Person. Der Identität können Benutzerkonten und Berechtigungen zugeordnet werden. Primäre Identitäten können als Hauptidentitäten eingesetzt werden. |
Organisatorische Identität |
Virtuelle Identität, zur Abbildung unterschiedlicher, organisatorischer Rollen einer Person im Unternehmen, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen. Der Identität können Benutzerkonten und Berechtigungen zugeordnet werden. Einer organisatorischen Identität muss eine Hauptidentität zugewiesen werden. |
Persönliche Administratoridentität |
Virtuelle Identität, zur Abbildung administrativer Rollen einer Person im Unternehmen. Dieser Identität sollten administrative Benutzerkonten und Berechtigungen zugewiesen werden. Einer persönlichen Administratoridentität muss eine Hauptidentität zugewiesen werden. |
Zusatzidentität |
Virtuelle Identität, die eine zusätzliche, funktionsbezogene Identität repräsentiert. Dieser Identität sollten Benutzerkonten und Berechtigungen zugewiesen werden, die an eine zusätzliche Funktion gekoppelt sind, beispielsweise Berechtigungen einer Schulungsumgebung oder einer Testumgebung. Einer Zusatzidentität muss ein verantwortlicher Manager zugewiesen werden. |
Gruppenidentität |
Virtuelle Identität zur Abbildung funktionsbezogener, organisationsübergreifender Rollen in einem Unternehmen, beispielsweise die Gruppe des IT Support oder die IT Beauftragten in einem Unternehmen. Eine Gruppenidentität kann als Subidentität von mehreren Hauptidentitäten genutzt werden. Einer Gruppenidentität muss ein verantwortlicher Manager zugewiesen werden. |
Dienstidentität |
Virtuelle Identität, die eine system-administrative Rolle in einem Unternehmen abbildet. Dienstidentitäten werden Dienstkonten und Berechtigungen zugeordnet. Einer Dienstidentität muss ein verantwortlicher Manager zugewiesen werden. |
Maschinenidentität |
Virtuelle Identität, die eine Maschine oder eine nicht-menschliche Entität repräsentiert. Einer Maschinenidentität können Benutzerkonten und Berechtigungen zugewiesen werden. Einer Maschinenidentität muss ein verantwortlicher Manager zugewiesen werden. |
Detaillierte Informationen zum Thema
Hauptidentitäten und Subidentitäten
In großen Unternehmen hat ein Mitarbeiter unter Umständen für seine Arbeit unterschiedliche Identitäten, die beispielsweise aus unterschiedlichen Verträgen für unterschiedliche Tochterunternehmen resultieren. Diese Identitäten können sich beispielsweise in der Zugehörigkeit zu Abteilungen oder Kostenstellen oder in den Zugriffsberechtigungen unterscheiden. Ebenso können externe Mitarbeiter an unterschiedlichen Standorten eingesetzt werden und mit verschiedenen Identitäten im System abgebildet sein.
Um die einzelnen Identitäten abzubilden und an einer zentralen Stelle zusammenzuführen, können Sie im One Identity Manager Hauptidentitäten und Subidentitäten abbilden. Wenn eine Identität beispielsweise mehrere Benutzerkonten in einem Zielsystem hat, die verschiedenen Gruppen zugeordnet werden sollen, sollte für jedes Benutzerkonto eine separate Subidentität mit einem Verweis auf die Hauptidentität eingerichtet werden.
Innerhalb eines Identity Audits ist die Überprüfung der zulässigen Berechtigungen pro Subidentität oder für die Hauptidentität, unter Einbeziehung aller Subidentitäten, möglich. Ausführliche Informationen erhalten Sie im One Identity Manager Administrationshandbuch für Complianceregeln.
Hauptidentitäten und Subidentitäten können für die Anmeldung am One Identity Manager über verschiedene Authentifizierungsmodule genutzt werden. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Hauptidentität
-
Einer Hauptidentität können eine oder mehrere Subidentitäten zugeordnet werden.
-
Eine Hauptidentität ist eine primäre Identität und repräsentiert immer eine wirkliche Person.
-
Eine Hauptidentität ist die zentrale Stelle, an der die Identitäten für die unterschiedlichen Einsatzzwecke zusammengeführt werden.
-
Einer Hauptidentität können Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.
Subidentität
-
Eine Subidentität ist immer mit einer Hauptidentität verbunden.
-
Eine Subidentität ist eine virtuelle Identität, die für einen bestimmten Einsatzzweck eingerichtet wird, beispielsweise für ein administratives Benutzerkonto oder zur Abbildung unterschiedlicher Rollen im Unternehmen.
-
Für eine Subidentität geben Sie auf dem Stammdatenformular der Identität über die Auswahlliste Hauptidentität die Hauptidentität an.
-
Einer Subidentität können Benutzerkonten und Berechtigungen zugewiesen werden und sie kann innerhalb des IT Shops Bestellungen auslösen.
-
Um die Zuweisung von Berechtigungen in den Zielsystemen besser steuern zu können, können die Subidentitäten in verschiedene Identitätstypen unterteilt werden.
Zentrales Benutzerkonto einer Identität
Das zentrale Benutzerkonto einer Identität wird zur Bildung des Anmeldenamens der Benutzerkonten in den aktivierten Zielsystemen herangezogen. Das zentrale Benutzerkonto wird weiterhin bei der Anmeldung an den Werkzeugen des One Identity Manager genutzt.
In der One Identity Manager-Standardinstallation wird das zentrale Benutzerkonto aus dem Vornamen und dem Nachnamen der Identität gebildet. Ist nur eine dieser Eigenschaften bekannt, wird diese zur Bildung des zentralen Benutzerkontos genutzt. Es wird in jedem Fall geprüft, ob es bereits ein zentrales Benutzerkonto mit dem ermittelten Wert gibt. Ist dies der Fall, wird eine fortlaufende Nummerierung, beginnend mit 1, an den ursprünglichen Wert angehängt.
Tabelle 27: Beispiel für die Bildung des zentralen Benutzerkontos
Alex |
Miller |
ALEXM |
Alex |
Meyer |
ALEXM1 |
Über den Konfigurationsparameter QER | Person | CentralAccountGlobalUnique legen Sie fest, wie das zentrale Benutzerkonto abgebildet wird.
-
Ist der Konfigurationsparameter aktiviert, erfolgt die Bildung des zentralen Benutzerkonto einer Identität eindeutig bezogen auf die zentralen Benutzerkonten aller Identitäten und die Benutzerkontennamen aller erlaubten Zielsysteme.
-
Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen Benutzerkonten aller Identitäten. Dies ist das Standardverhalten.
Zentrales SAP Benutzerkonto
HINWEIS: Diese Funktion steht zur Verfügung, wenn das SAP R/3 Benutzermanagement-Modul vorhanden ist.
Die Bezeichnung von SAP Benutzerkonten wird über abweichende Regeln gebildet. Über den Konfigurationsparameter TargetSystem | SAPR3 | Accounts| CentralSAPAccountGlobalUnique legen Sie fest, wie das zentrale SAP Benutzerkonto abgebildet wird.
-
Ist der Konfigurationsparameter aktiviert, erfolgt die Bildung des zentralen SAP Benutzerkontos einer Identität eindeutig bezogen auf die zentralen SAP Benutzerkonten aller Identitäten und die Benutzerkonten aller SAP Systeme.
Ist der Konfigurationsparameter nicht aktiviert, erfolgt die Bildung nur eindeutig bezogen auf die zentralen SAP Benutzerkonten aller Identitäten. Dies ist das Standardverhalten.
Tabelle 28: Beispiel für die Bildung des zentralen SAP Benutzerkontos
Sam |
User |
USERS |
Sasha |
User |
USERS1 |
Standard-E-Mail-Adresse einer Identität
Die Standard-E-Mail-Adresse der Identität wird auf die Postfächer in den aktivierten Zielsystemen abgebildet. In der Standardinstallation des One Identity Manager wird die Standard-E-Mail-Adresse aus dem zentralen Benutzerkonto der Identität und der Standard-Mail-Domäne der aktivierten Zielsysteme gebildet.
Die Standard-Mail-Domäne wird aus dem Konfigurationsparameter QER | Person | DefaultMailDomain ermittelt.