Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für Privileged Account Governance

Abbilden eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Anhang: Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Anhang: Standardprojektvorlage für One Identity Safeguard Anhang: Verarbeitung von One Identity Safeguard Systemobjekten Über uns

Abbilden eines Privileged Account Management Systems im One Identity Manager

Der One Identity Manager bietet eine vereinfachte Administration der Benutzerkonten eines Privileged Account Management Systems. Dabei konzentriert sich der One Identity Manager auf die Einrichtung und Bearbeitung von Benutzerkonten und die Zuweisung der Benutzerkonten zu Benutzergruppen. Über die Benutzergruppen erhalten Benutzerkonten die Nutzungsrechte, um beispielsweise ein Kennwort für einen Assetkonto oder eine Sitzung für die Konten und Assets im Privileged Account Management System anfordern zu können. Die Zuweisung der Nutzungsrechte an die Benutzergruppen erfolgt nicht im One Identity Manager, sondern im Privileged Account Management System. Über das Web Portal können Benutzergruppen und Anforderungen für Kennwörter und Sitzungen bestellt werden.

Im One Identity Manager werden die Personen eines Unternehmens mit den benötigten Benutzerkonten versorgt. Dabei können Sie unterschiedliche Mechanismen für die Verbindung der Personen mit ihren Benutzerkonten nutzen. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten und somit administrative Benutzerkonten einrichten.

Im One Identity Manager werden die Benutzerkonten, Benutzergruppen, Assets, Assetgruppen, Konten, Kontogruppen, Verzeichnisse, Nutzungsrechte und Zugriffsanforderungsrichtlinien eines Privileged Account Management Systems abgebildet. Diese Objekte werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzerkonten und Systemberechtigungen, IT Shop oder Berichtsabonnements für Privileged Account Management Systeme zu nutzen.

Architekturüberblick

Um auf die Daten eines Privileged Account Management Systems zuzugreifen, wird auf einem Synchronisationsserver ein Konnektor für das Privileged Account Management System installiert. Der Synchronisationsserver sorgt für den Abgleich der Daten zwischen der One Identity Manager-Datenbank und dem Privileged Account Management System.

Der One Identity Manager unterstützt die Synchronisation mit One Identity Safeguard. Der One Identity Safeguard Konnektor des One Identity Manager verwendet Windows PowerShell für die Kommunikation mit der One Identity Safeguard Appliance.

One Identity Manager Benutzer für die Verwaltung eines Privileged Account Management Systems

In die Einrichtung und Verwaltung eines Privileged Account Management Systems sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer

Benutzer

Aufgaben

Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich widersprechen.

  • Berechtigen weitere Personen als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Privileged Account Management oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte, wie beispielsweise Benutzerkonten oder Gruppen.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Gruppen zur Aufnahme in den IT Shop vor.

  • Können Personen anlegen, die eine andere Identität haben als Primäre Identität.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

  • Berechtigen innerhalb ihres Verantwortungsbereiches Personen als Eigentümer von privilegierten Objekten.

One Identity Manager Administratoren

  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Produkteigner für den IT Shop

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.
  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.

Eigentümer privilegierter Objekte

Die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten oder PAM Verzeichniskonten müssen einer Anwendungsrolle unter der Anwendungsrolle Privileged Account Governance | Asset- und Konteneigentümer zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über die Bestellung von Zugriffsanforderungen für privilegierte Objekte

  • Attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte

Konfigurationsparameter

Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten | Allgemein | Konfigurationsparameter.

Weitere Informationen finden Sie unter Anhang: Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems.

Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente