Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für die Anbindung einer Universal Cloud Interface-Umgebung

Verwalten einer Universal Cloud Interface-Umgebung Einrichten der Synchronisation mit einer Cloud-Anwendung im Universal Cloud Interface Basisdaten für die Verwaltung einer Universal Cloud Interface-Umgebung Cloud Zielsysteme Containerstrukturen in einem Cloud Zielsystem Cloud Benutzerkonten Cloud Gruppen Cloud Berechtigungselemente Provisionierung von Objektänderungen Berichte über Objekte in Cloud Zielsystemen Anhang: Konfigurationsparameter für die Verwaltung von Cloud Zielsystemen Anhang: Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface

Verwalten einer Universal Cloud Interface-Umgebung

Der One Identity Manager unterstützt die Umsetzung von Identity und Access Governance Anforderungen in IT-Umgebungen, die häufig eine Mischung aus traditionellen, intern gehosteten Applikationen und modernen Cloud-Anwendungen darstellen. Benutzer und Berechtigungen aus Cloud-Anwendungen können im One Identity Manager abgebildet werden. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzern und Systemberechtigungen, IT Shop oder Berichtsabonnements auch für Cloud-Anwendungen zu nutzen.

Datenschutzrichtlinien, wie die Datenschutz-Grundverordnung, erfordern eine Abstimmung, welche Daten eines Mitarbeiters in Cloud-Anwendungen gespeichert werden dürfen. Bei entsprechender Konfiguration der Systemumgebung gewährleistet der One Identity Manager, dass Cloud-Anwendungen und deren verantwortliche Administratoren keinerlei Zugriff auf die Personenstammdaten sowie die Identity und Access Governance Prozesse erhalten. Aus diesem Grund werden Cloud-Anwendungen in zwei getrennten Modulen verwaltet, die bei Bedarf in getrennten Datenbanken installiert sein können.

Das Modul Universal Cloud Interface bildet die Schnittstelle, über die Benutzer und Berechtigungen aus Cloud-Anwendungen in eine One Identity Manager-Datenbank übertragen werden können. Hier wird die Synchronisation mit den Cloud-Anwendungen konfiguriert und ausgeführt. Jede Cloud-Anwendung wird als eigenes Basisobjekt im One Identity Manager abgebildet. Die Benutzerdaten werden als Benutzerkonten, Gruppen und Berechtigungselemente gespeichert und können in Containern organisiert werden. Sie können im One Identity Manager nicht bearbeitet werden. Eine Verbindung zu Identitäten (Personen) wird hier nicht hergestellt.

Im Modul Cloud Systems Management wird die Verbindung zu Identitäten hergestellt; Benutzerkonten, Gruppen und Berechtigungselemente können erstellt und bearbeitet werden. Damit können die Identity und Access Governance Prozesse zur Verwaltung der Cloud-Benutzerkonten und ihren Berechtigungen genutzt werden. Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Provisionierungsprozesse sorgen dafür, dass Änderungen an den Objekten aus dem Modul Cloud Systems Management in das Modul Universal Cloud Interface übertragen werden.

Für manche Cloud-Anwendungen kann (aus technischen Gründen) oder soll (aufgrund der zu geringen Änderungsmenge) keine automatisierte Schnittstelle zum Provisionieren von Änderungen aus dem Modul Universal Cloud Interface in die Cloud-Anwendung eingesetzt werden. In diesem Fall können die Änderungen manuell provisioniert werden.

Da im Modul Universal Cloud Interface nur die Daten gespeichert werden, die in den Cloud-Anwendungen verfügbar sein müssen, kann dieses Modul in einer separaten Datenbank installiert werden. Diese Datenbank kann sich auch außerhalb der Unternehmensinfrastruktur befinden.

In Verbindung mit der Cloud-Lösung One Identity Starling Connect entsteht eine einfache und umfassende Lösung zur Integration von Cloud-Anwendungen und zur Abbildung der Anforderungen an hybride Lösungsszenarien.

Architekturüberblick

Für die Synchronisation mit Cloud-Anwendungen im Modul Universal Cloud Interface wird ein Synchronisationsserver benötigt, auf dem der Universal Cloud Interface Konnektor installiert ist. Das Modul Universal Cloud Interface kann in der selben One Identity Manager-Datenbank vorhanden sein, in der auch das Modul Cloud Systems Management installiert ist. Die Synchronisation kann aber auch mit einer anderen One Identity Manager-Datenbank eingerichtet werden, die auf einem externen Datenbankserver bereitgestellt wird.

Abbildung 1: Architektur für die Synchronisation

Ausführliche Informationen über die Kommunikation zwischen dem Universal Cloud Interface und den Cloud-Anwendungen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von Cloud-Anwendungen.

One Identity Manager Benutzer für die Verwaltung von Cloud Zielsystemen

In die Einrichtung und Verwaltung von Cloud Zielsystemen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich widersprechen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Cloud Zielsysteme oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.

  • Können Personen anlegen, die eine andere Identität haben als Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

One Identity Manager Administratoren
  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Administratoren für den IT Shop

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an IT Shop-Strukturen zu.
Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Abteilungen, Kostenstellen und Standorte zu.
Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Gruppen an Geschäftsrollen zu.

Einrichten der Synchronisation mit einer Cloud-Anwendung im Universal Cloud Interface

Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Damit die Identity und Data Governance Prozesse auf die Objekte aus einer Cloud-Anwendung angewendet werden können, muss die Synchronisation zwischen beiden Modulen eingerichtet werden.

HINWEIS: Im Folgenden ist häufig von "Zielsystem" und "(One Identity Manager) Datenbank" die Rede. Dabei meint "Zielsystem" immer eine Cloud-Anwendung im Universal Cloud Interface. "One Identity Manager-Datenbank" oder "Datenbank" bezieht sich immer auf die Objekte im Modul Cloud Systems Management.

Tabelle 2: Begriffe
  One Identity Manager-Datenbank Zielsystem
Verbundenes System Modul Cloud Systems Management Modul Universal Cloud Interface
Basisobjekt Cloud Zielsystem Cloud-Anwendung

Wie die Schematypen der verbundenen Systeme aufeinander abgebildet werden, ist im Mapping festgelegt. Weitere Informationen finden Sie unter Anhang: Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface.

Um die Objekte einer Cloud-Anwendung initial in das Modul Cloud Systems Management zu übernehmen

  1. Statten Sie One Identity Manager Benutzer mit den erforderlichen Berechtigungen für die Einrichtung der Synchronisation und die Nachbehandlung der Synchronisationsobjekte aus.
  2. Die One Identity Manager Bestandteile für die Verwaltung von Cloud Zielsystemen sind verfügbar, wenn der Konfigurationsparameter "TargetSystem\CSM" aktiviert ist.
    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
  3. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  4. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.

    Damit das Synchronisationsprojekt erstellt werden kann, muss die Cloud-Anwendung bereits im Modul Universal Cloud Interface vorhanden sein.

Detaillierte Informationen zum Thema

Ausführliche Informationen zum Einrichten der initialen Synchronisation mit einer Cloud-Anwendung finden Sie im One Identity Manager Administrationshandbuch für die Anbindung von Cloud-Anwendungen.

Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente