Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für die Anbindung von Cloud-Anwendungen

Synchronisation von Cloud-Anwendungen über das Universal Cloud Interface Einrichten der Synchronisation mit einer Cloud-Anwendung Basisdaten für die Verwaltung von Cloud-Anwendungen Cloud-Anwendungen Containerstrukturen in einer Cloud-Anwendung Benutzerkonten in einer Cloud-Anwendung Gruppen in einer Cloud-Anwendung Berechtigungselemente in einer Cloud-Anwendung Provisionierung von Objektänderungen Verwalten von Provisionierungsvorgängen im Web Portal Zusätzliche Informationen für Experten Anhang: Standardprojektvorlage für Cloud-Anwendungen

Synchronisation von Cloud-Anwendungen über das Universal Cloud Interface

Der One Identity Manager unterstützt die Umsetzung von Identity und Access Governance Anforderungen in IT-Umgebungen, die häufig eine Mischung aus traditionellen, intern gehosteten Applikationen und modernen Cloud-Anwendungen darstellen. Benutzer und Berechtigungen aus Cloud-Anwendungen können im One Identity Manager abgebildet werden.

Datenschutzrichtlinien, wie die Datenschutz-Grundverordnung, erfordern eine Abstimmung, welche Daten eines Mitarbeiters in Cloud-Anwendungen gespeichert werden dürfen. Bei entsprechender Konfiguration der Systemumgebung gewährleistet der One Identity Manager, dass Cloud-Anwendungen und deren verantwortliche Administratoren keinerlei Zugriff auf die Personenstammdaten sowie die Identity und Access Governance Prozesse erhalten. Aus diesem Grund werden Cloud-Anwendungen in zwei getrennten Modulen verwaltet, die bei Bedarf in getrennten Datenbanken installiert sein können.

Das Modul Universal Cloud Interface bildet die Schnittstelle, über die Benutzer und Berechtigungen aus Cloud-Anwendungen in eine One Identity Manager-Datenbank übertragen werden können. Hier wird die Synchronisation mit den Cloud-Anwendungen konfiguriert und ausgeführt. Jede Cloud-Anwendung wird als eigenes Basisobjekt im One Identity Manager abgebildet. Die Benutzerdaten werden als Benutzerkonten, Gruppen und Berechtigungselemente gespeichert und können in Containern organisiert werden. Sie können im One Identity Manager nicht bearbeitet werden. Eine Verbindung zu Identitäten (Personen) wird hier nicht hergestellt.

Im Modul Cloud Systems Management wird die Verbindung zu Identitäten hergestellt; Benutzerkonten, Gruppen und Berechtigungselemente können erstellt und bearbeitet werden. Per Synchronisation werden die Daten zwischen den Modulen Universal Cloud Interface und Cloud Systems Management ausgetauscht. Provisionierungsprozesse sorgen dafür, dass Änderungen an den Objekten aus dem Modul Cloud Systems Management in das Modul Universal Cloud Interface übertragen werden.

Für manche Cloud-Anwendungen kann (aus technischen Gründen) oder soll (aufgrund der zu geringen Änderungsmenge) keine automatisierte Schnittstelle zum Provisionieren von Änderungen aus dem Modul Universal Cloud Interface in die Cloud-Anwendung eingesetzt werden. In diesem Fall können die Änderungen manuell provisioniert werden.

Da im Modul Universal Cloud Interface nur die Daten gespeichert werden, die in den Cloud-Anwendungen verfügbar sein müssen, kann dieses Modul in einer separaten Datenbank installiert werden. Diese Datenbank kann sich auch außerhalb der Unternehmensinfrastruktur befinden.

In Verbindung mit der Cloud-Lösung One Identity Starling Connect entsteht eine einfache und umfassende Lösung zur Integration von Cloud-Anwendungen und zur Abbildung der Anforderungen an hybride Lösungsszenarien.

Architekturüberblick

Für den Datenaustausch mit einer Cloud-Anwendung kennt der One Identity Manager zwei Vorgehen.

  • Automatische Synchronisation und Provisionierung

    Die Synchronisation einer Cloud-Anwendung mit der One Identity Manager-Datenbank und die Provisionierung von Objektänderungen aus der One Identity Manager-Datenbank in die Cloud-Anwendung übernimmt der SCIM Konnektor des One Identity Manager. Mit diesem Standardvorgehen ist sichergestellt, dass die Daten zwischen Zielsystem und Datenbank regelmäßig abgeglichen und damit konsistent gehalten werden.

  • Manuelle Provisionierung

    Für manche Cloud-Anwendungen kann oder soll keine automatisierte Schnittstelle zum Provisionieren der Änderungen eingesetzt werden. Für solche Cloud-Anwendungen können die Änderungen manuell provisioniert werden. Für die Datenübernahme aus der Cloud-Anwendung in die One Identity Manager-Datenbank kann die Synchronisation mit dem SCIM Konnektor konfiguriert werden. Wenn der One Identity Manager auch keinen lesenden Zugriff auf die Cloud-Anwendung erhalten kann, können Sie den Datenaustausch beispielsweise über den CSV Konnektor einrichten.

    Mit diesem Vorgehen tragen Sie das Risiko von inkonsistenten Daten und Datenverlust, wenn manuelle Prozesse nicht eingehalten werden. Dieses Vorgehen wird daher nicht empfohlen.

Abbildung 1: Architektur für die Synchronisation

Um auf die Cloud-Anwendungen zuzugreifen, wird auf einem Synchronisationsserver der SCIM Konnektor installiert. Der SCIM Konnektor kann mit Cloud-Anwendungen kommunizieren, welche die System for Cross-domain Identity Management (SCIM) Spezifikation verstehen. Der Synchronisationsserver sorgt für den Abgleich der Daten zwischen der One Identity Manager-Datenbank und der Cloud-Anwendung.

Abbildung 2: Topologie der Synchronisation

Detaillierte Informationen zum Thema

One Identity Manager Benutzer für die Verwaltung von Cloud-Anwendungen

In die Einrichtung und Verwaltung von Cloud-Anwendungen sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Administratoren

Die Administratoren müssen der Anwendungsrolle Universal Cloud Interface | Administratoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für das Universal Cloud Interface.
  • Richten bei Bedarf weitere Anwendungsrollen ein.
  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Cloud-Anwendung und One Identity Manager.
  • Bearbeiten im Manager die Cloud-Anwendungen.
  • Bearbeiten offene, manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.
  • Erhalten im Web Portal und im Manager Informationen über die Cloud-Objekte.

Operatoren

Die Operatoren müssen der Anwendungsrolle Universal Cloud Interface | Operatoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Bearbeiten offene, manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.

Auditoren

Die Auditoren müssen der Anwendungsrolle Universal Cloud Interface | Auditoren oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Sehen manuelle Provisionierungsvorgänge im Web Portal und erhalten Statistiken.
One Identity Manager Administratoren
  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Einrichten der Synchronisation mit einer Cloud-Anwendung

Der One Identity Manager unterstützt die Synchronisation mit Cloud-Anwendungen, welche die System for Cross-domain Identity Management (SCIM) Spezifikation in der Version 2.0 verstehen. Der One Identity Manager stellt eine Projektvorlage bereit, mit der Sie die Synchronisation zur Cloud-Anwendung einrichten können.

Um die Objekte einer Cloud-Anwendung initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie einen Benutzer für den Zugriff auf die Cloud-Anwendung mit ausreichenden Berechtigungen bereit.
  2. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  3. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema
Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente