Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich.
Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.
-
Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.
Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle UNSAccountB in der Eigenschaft Löschverzögerungen [Tage].
-
Zielsystemspezifische Löschverzögerung: Die Löschverzögerung kann je Zielsystem individuell konfiguriert werden. Diese Löschverzögerung überschreibt die globale Löschverzögerung.
Um eine individuelle Löschverzögerung je Zielsystem zu ermöglichen
-
Konfigurieren Sie im Manager die Löschverzögerungen für die Zielsysteme.
-
Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > Basisdaten zur Konfiguration > Zielsysteme.
-
Wählen Sie in der Ergebnisliste ein Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Auf dem Tabreiter Allgemein erfassen Sie unter Löschverzögerung [Tage] die Löschverzögerung für das Zielsystem in Tagen.
- Speichern Sie die Änderungen.
-
Erstellen Sie im Designer für die Tabelle UNSAccountB ein Skript (Löschverzögerung).
Beispiel: Skript zur zielsystemspezifischen Löschverzögerung
Die Löschverzögerung der Benutzerkonten in einem kundendefinierten Zielsystem soll von der Löschverzögerung des Zielsystems (UNSRootB.DeleteDelayDays) abhängig sein. An der Tabelle UNSAccountB wird folgendes Skript eingetragen.
If $FK(UID_UNSRootB).DeleteDelayDays:Int$ > 0 Then
Value = $FK(UID_UNSRootB).DeleteDelayDays:Int$
End If
-
Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.
Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle UNSAccountB ein Skript (Löschverzögerung).
Beispiel: Skript für objektspezifische Löschverzögerung
Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.
If $IsPrivilegedAccount:Bool$ Then
End If
Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.
Gruppen und Systemberechtigungen bilden die Objekte ab, über die im Zielsystem der Zugriff auf die Zielsystemressourcen gesteuert wird. Ein Benutzerkonto erhält über seine Mitgliedschaften in den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen.
Im One Identity Manager können Sie Gruppen und Systemberechtigungen direkt an die Benutzerkonten zuweisen oder über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen vererben. Des Weiteren können Benutzer die Gruppen und Systemberechtigungen über das Web Portal bestellen. Dazu werden die Gruppen und Systemberechtigungen im IT Shop bereitgestellt.
Detaillierte Informationen zum Thema
Viele Zielsysteme nutzen mehr als einen Gruppentyp, um die Berechtigungen abzubilden. Das können beispielsweise Gruppen, Rollen oder Berechtigungssets sein. Im One Identity Manager können vier verschiedene Typen abgebildet werden.
Tabelle 10: Typen der verwendeten Systemberechtigungen
|
Gruppen |
UNSGroupB |
|
Systemberechtigungen 1 |
UNSGroupB1 |
|
Systemberechtigungen 2 |
UNSGroupB2 |
|
Systemberechtigungen 3 |
UNSGroupB3 |
Beim Einrichten der Synchronisation entscheiden Sie, welche Typen in welchen Tabellen abgebildet werden.
Ein Benutzerkonto erhält über seine Zuweisungen zu den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen. Abhängig vom Zielsystem werden die Zuweisungen entweder an den Benutzerkonten (benutzerbasierte Zuweisung) oder an den Gruppen oder Systemberechtigungen (berechtigungsbasierte Zuweisung) gepflegt. Im One Identity Manager können Sie das Verhalten entsprechend konfigurieren. Die Zuweisungen werden in den folgenden Tabellen gespeichert:
Tabelle 11: Benutzerbasierte Zuweisung
|
UNSAccountBHasUNSGroupB |
Gruppen: Zuweisungen zu Benutzerkonten |
|
UNSAccountBHasUNSGroupB1 |
Systemberechtigungen 1: Zuweisungen zu Benutzerkonten |
|
UNSAccountBHasUNSGroupB2 |
Systemberechtigungen 2: Zuweisungen zu Benutzerkonten |
|
UNSAccountBHasUNSGroupB3 |
Systemberechtigungen 3: Zuweisungen zu Benutzerkonten |
Tabelle 12: Berechtigungsbasierte Zuweisung
|
UNSAccountBInUNSGroupB |
Benutzerkonten: Zuweisungen zu Gruppen |
|
UNSAccountBInUNSGroupB1 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 1 |
|
UNSAccountBInUNSGroupB2 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 2 |
|
UNSAccountBInUNSGroupB3 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 3 |
Um festzulegen, welche Typen von Systemberechtigungen genutzt werden
-
Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > Basisdaten zur Konfiguration > Zielsysteme.
-
Wählen Sie in der Ergebnisliste ein Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie in der Auswahlliste Typen der verwendeten Systemberechtigungen alle Typen, die im angebundenen Zielsystem genutzt werden.
-
Wählen Sie in der Auswahlliste Benutzerkonto enthält Mitgliedschaften alle Typen, für welche die Zuweisungen am Benutzerkonto gespeichert werden.
-
Aktivieren Sie die Systemberechtigungen, für welche die Zuweisungen an den Benutzerkonten gespeichert werden.
-
Deaktivieren Sie die Systemberechtigungen, für welche die Zuweisungen an den Systemberechtigungen gespeichert werden.
- Speichern Sie die Änderungen.
Beispiel
In einem Zielsystem werden Berechtigungen als Gruppen und als Profile verwaltet. Zuweisungen zu Gruppen werden an den Gruppenobjekten gepflegt, Zuweisungen zu Profilen an den Benutzerkonten. Die Gruppen werden im One Identity Manager in der Tabelle UNSGroupB abgebildet, die Profile in der Tabelle UNSGroupB1.
-
Aktivieren Sie in der Auswahlliste Typen der verwendeten Systemberechtigungen die Werte Gruppe und Systemberechtigung 1.
-
Aktivieren Sie in der Auswahlliste Benutzerkonto enthält Mitgliedschaften nur den Wert Systemberechtigung 1.
Die Zuweisungen zu den Systemberechtigungen werden in den Tabellen UNSAccountBHasUNSGroupB1 und UNSAccountBInUNSGroupB gespeichert.
HINWEIS: Wenn Sie Attestierungsverfahren, Complianceregeln oder Unternehmensrichtlinien über Systemberechtigungen einrichten, achten Sie darauf, die korrekten Zuweisungstabellen auszuwählen, um sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen zu betrachten.
Um die Funktionen unabhängig von der Konfiguration der Zielsysteme einzurichten, nutzen Sie die Abbildung der Zielsysteme im Unified Namespace. In der Tabelle UNSAccountInUNSGroup sind sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen für alle Typen von Systemberechtigungen abgebildet; die Tabelle UNSGroup enthält alle Systemberechtigungen unabhängig vom Typ.
Ausführliche Informationen zum Unified Namespace finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Ausführliche Informationen zur Attestierungsfunktion, zu Complianceregeln und Unternehmensrichtlinien finden Sie in folgenden Handbüchern:
One Identity Manager Administrationshandbuch für Attestierungen
One Identity Manager Administrationshandbuch für Complianceregeln
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
Gruppen und Systemberechtigungen können einem Benutzerkonto direkt oder indirekt zugewiesen werden. Die indirekte Zuweisung erfolgt über die Einordnung der Identität sowie der Gruppen und Systemberechtigungen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Besitzt die Identität ein Benutzerkonto im Zielsystem, werden die Gruppen und Systemberechtigungen der Rollen an dieses Benutzerkonto vererbt. Sie können Gruppen und Systemberechtigungen an Benutzerkonten zuweisen, die zum selben Zielsystem oder zu unterschiedlichen Zielsystemen desselben Zielsystemtyps gehören. Weitere Informationen finden Sie unter Zielsystemtypen für kundendefinierte Zielsysteme.
Des Weiteren können Gruppen und Systemberechtigungen im Web Portal bestellt werden. Dazu werden Identitäten als Kunden in einen Shop aufgenommen. Alle Gruppen und Systemberechtigungen, die als Produkte diesem Shop zugewiesen sind, können von den Kunden bestellt werden. Bestellte Gruppen und Systemberechtigungen werden nach erfolgreicher Genehmigung den Identitäten zugewiesen.
Über Systemrollen können Gruppen und Systemberechtigungen zusammengefasst und als Paket an Identitäten und Arbeitsplätze zugewiesen werden. Sie können Systemrollen erstellen, die ausschließlich Gruppen oder Systemberechtigungen enthalten. Ebenso können Sie in einer Systemrolle beliebige Unternehmensressourcen zusammenfassen.
Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen und Systemberechtigungen auch direkt an Benutzerkonten zuweisen.
|
Grundlagen zur Zuweisung von Unternehmensressourcen und zur Vererbung von Unternehmensressourcen |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul
One Identity Manager Administrationshandbuch für Geschäftsrollen |
|
Zuweisung von Unternehmensressourcen über IT Shop-Bestellungen |
One Identity Manager Administrationshandbuch für IT Shop |
|
Systemrollen |
One Identity Manager Administrationshandbuch für Systemrollen |
Detaillierte Informationen zum Thema
