Chat now with support
Chat mit Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung kundendefinierter Zielsysteme

Verwalten kundendefinierter Zielsysteme Synchronisieren kundendefinierter Zielsysteme Managen von Benutzerkonten und Identitäten Managen der Zuweisungen von Gruppen und Systemberechtigungen Bereitstellen von Anmeldeinformationen für Benutzerkonten Abbildung der Objekte für kundenspezifische Zielsysteme im One Identity Manager Behandeln der Objekte kundendefinierter Zielsysteme im Web Portal Basisdaten für kundendefinierte Zielsysteme Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme

Stammdaten für Benutzerkonten

Zu einem Benutzerkonto erfassen Sie die folgenden Stammdaten.

Tabelle 25: Eigenschaften eines Benutzerkontos
Eigenschaft Beschreibung

Identität

Identität, die das Benutzerkonto verwendet.

  • Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Identität bereits eingetragen.

  • Wenn Sie die automatische Identitätenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Identität gesucht und in das Benutzerkonto übernommen.

  • Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Identität aus der Auswahlliste wählen.

    In der Auswahlliste werden im Standard aktivierte und deaktivierte Identitäten angezeigt. Um deaktivierte Identitäten nicht in der Auswahlliste anzuzeigen, aktivieren Sie den Konfigurationsparameter QER | Person| HideDeactivatedIdentities.

HINWEIS: Wenn Sie eine deaktivierte Identität an ein Benutzerkonto zuordnen, wird das Benutzerkonto, abhängig von der Konfiguration, unter Umständen gesperrt oder gelöscht.

Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Identität erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Identitätenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.

Keine Verbindung mit einer Identität erforderlich

Gibt an, ob dem Benutzerkonto absichtlich keine Identität zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Identitätenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Identität verbunden werden muss (beispielsweise, wenn mehrere Identitäten das Benutzerkonto verwenden).

Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Identität verbunden sind, nach verschiedenen Kriterien gefiltert werden.

Nicht mit einer Identität verbunden

Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Identität erforderlich aktiviert ist. Mögliche Werte sind:

  • durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.

  • durch Attestierung: Das Benutzerkonto wurde attestiert.

  • durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Identität verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Identitätenzuordnung enthalten (Konfigurationsparameter PersonExcludeList).

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Identität und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Identität entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1).

Automatisierungsgrad

Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Zielsystem

Kennung des Zielsystems.

Vorname

Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Nachname

Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Container

 Container in dem das Benutzerkonto erzeugt werden soll. Haben Sie eine Kontendefinition zugeordnet, wird der Container, abhängig vom Automatisierungsgrad, aus den gültigen IT Betriebsdaten der zugeordneten Identität ermittelt. Bei der Auswahl des Containers wird per Bildungsregel der definierte Name für das Benutzerkonto ermittelt.

Anmeldename

 Name, mit dem sich der Benutzer am Zielsystem anmeldet.

Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Bezeichnung

Bezeichnung des Benutzerkontos. Die Bezeichnung wird aus dem Vornamen und dem Nachnamen des Benutzers gebildet.

Kanonischer Name

Kanonischer Name des Benutzerkontos. Der kanonische Name wird automatisch gebildet und sollte nicht geändert werden.

Definierter Name

Definierter Name des Benutzerkontos. Der definierte Name wird per Bildungsregel ermittelt und sollte nicht geändert werden.

Objekt GUID

Unikale ID, unter der das Objekt im Zielsystem verwaltet wird.

Anzeigename

Anzeigename des Benutzerkontos.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

 Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Kontoverfallsdatum

 Tag, bis zu welchem sich der Benutzer mit dem Benutzerkonto am Zielsystem anmelden kann.

Wenn für eine Identität ein Austrittsdatum festgelegt ist, wird, abhängig vom Automatisierungsgrad des Benutzerkontos, dieses Austrittsdatum als Kontoverfallsdatum übernommen. Ein bereits eingetragenes Kontoverfallsdatum des Benutzerkontos wird dabei überschrieben.

Hinweis: Wenn zu einem späteren Zeitpunkt das Austrittsdatum der Identität gelöscht wird, bleibt das Kontoverfallsdatum des Benutzerkontos erhalten!

Letzte Anmeldung

Datum der letzten Anmeldung am Zielsystem.

Kennwort

Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Identität kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Identität finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn Sie ein zufällig generiertes initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.

Hinweis: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt.

Kennwortbestätigung

Kennwortwiederholung.

Letzte Kennwortänderung

Datum der letzten Kennwortänderung.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Identitätstyp

Typ der Identität des Benutzerkontos. Zulässige Werte sind:

  • Primäre Identität: Standardbenutzerkonto einer Identität.

  • Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

  • Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird.

  • Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

  • Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird. Weisen Sie alle Identitäten zu, die das Benutzerkonto nutzen.

  • Dienstidentität: Dienstkonto.

Privilegiertes Benutzerkonto

Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Systemberechtigungen 1 erbbar

Systemberechtigungen 2 erbbar

Systemberechtigungen 3 erbbar

Gibt an, ob das Benutzerkonto Systemberechtigungen des entsprechenden Typs über die verbundene Identität erben darf. Ist die Option aktiviert, werden Systemberechtigungen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Systemberechtigungen zugewiesen haben, dann erbt das Benutzerkonto diese Systemberechtigungen.

  • Wenn eine Identität eine Zuweisung zu einer Systemberechtigung im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Systemberechtigung nur, wenn die Option aktiviert ist.

Die Optionen werden nur angezeigt, wenn der jeweilige Typ der Systemberechtigung im Zielsystem verwendet wird.

Benutzerkonto ist deaktiviert

Gibt an, ob das Benutzerkonto gesperrt ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren.

Verwandte Themen

Zusatzeigenschaften an Benutzerkonten zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Ausführliche Informationen zum Verwenden von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Um Zusatzeigenschaften für ein Benutzerkonto festzulegen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Zusatzeigenschaft und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Berechtigungselemente an Benutzerkonten zuweisen

Mit dieser Aufgabe können Sie mehrere Berechtigungselemente an ein Benutzerkonto zuweisen.

Um Berechtigungselemente an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Berechtigungselemente zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Berechtigungselemente zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Berechtigungselementen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie das Berechtigungselement und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Benutzerkonten deaktivieren

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte UNSAccountB.AccountDisabled.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Identitäten verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Identität deaktiviert, wenn die Identität zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Identität keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario: Die Benutzerkonten sind nicht mit Identitäten verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Identität verbunden ist

  1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
  • Ausführliche Informationen zum Deaktivieren und Löschen von Identitäten und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
    Verwandte Themen
    • Verwandte Dokumente

    The document was helpful.

    Bewertung auswählen

    I easily found the information I needed.

    Bewertung auswählen