Chat now with support
Chat mit Support

Identity Manager 8.2.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Verwalten der Active Directory Objekte

Im One Identity Manager können Sie organisatorische Einheiten in einer hierarchischen Containerstruktur einrichten. Organisatorische Einheiten (Geschäftsstellen oder Abteilungen) werden dazu genutzt, Objekte des Active Directory wie Benutzerkonten und Gruppen logisch zu organisieren und somit die Verwaltung der Objekte zu erleichtern.

HINWEIS: Nachfolgend wird auf Besonderheiten bei der Verwaltung von Active Directory Objekten über Active Roles eingegangen. Ausführliche Informationen zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Detaillierte Informationen zum Thema

Active Directory Gruppen automatisch in den IT Shop aufnehmen

Mit der One Identity Manager Active Directory Edition wird die Überführung der Funktionalität von Active Roles Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt.

Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus.

Um Gruppen automatisch in den IT Shop aufzunehmen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.

    Beispiel:

    .*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

  3. Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.

  4. (Optional) Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName.

    Ist der Konfigurationsparameter aktiviert, wird für Active Directory Gruppen ein Anzeigename gebildet, sofern noch kein Anzeigename vorhanden ist. Der Anzeigename wird beispielsweise für die Anzeige der Gruppe im Web Portal benötigt. Für eine über Active Roles verwaltete Active Directory Domäne wird der Anzeigename nur für Gruppen gebildet, die im Active Roles Self-Service Manager veröffentlicht ist.

  5. Kompilieren Sie die Datenbank.

Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Gruppe in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Systemberechtigung ermittelt.

    Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.

    • Für Systemberechtigungen mit Leistungsposition wird die Leistungsposition angepasst.

    • Systemberechtigungen ohne Leitungsposition erhalten eine neue Leistungsposition.

    • Die Leistungsposition wird abhängig davon, ob die Systemberechtigung im Active Roles Self-Service Manager veröffentlicht ist, aktiviert oder deaktiviert.

  2. Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.

  3. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet.

    Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen. Standardmäßig wird der Kontomanager einer Systemberechtigung als Produkteigner ermittelt.

    HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.
    • Ist der Kontomanager der Systemberechtigung bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Systemberechtigung.

    • Ist der Kontomanager der Systemberechtigung noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Kontomanagers.

      • Handelt es sich beim Kontomanager um ein Benutzerkonto oder einen Kontakt, wird die Person des Benutzerkontos oder des Kontaktes in die Anwendungsrolle aufgenommen.

      • Handelt es sich um eine Gruppe von Kontomanagern, werden die Personen aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.

    • Besitzt die Systemberechtigung keine Kontomanager wird die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Ohne Eigentümer im AD verwendet.

  4. Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.

HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen

Active Directory Gruppen über das Web Portal bestellen

HINWEIS: Bei der Bestellung der Gruppenmitgliedschaft wird in der Standardinstallation der Entscheidungsworkflow Entscheidung der Bestellungen von Mitgliedschaften in Active Directory Gruppen wirksam.

Um eine neue Active Directory Gruppe zu bestellen

  • Wählen Sie im Web Portal im Menü Servicekatalog > Bestellung die Servicekategorie Active Directory Gruppen.

  • Bestellen Sie die Active Directory Gruppe über die Produkte Anlegen einer Active Directory Verteilerliste oder Anlegen einer Active Directory Sicherheitsgruppe.

Bei der Bestellung einer neuen Active Directory Gruppe werden automatisch die folgenden Schritte ausgeführt:

  • Es wird ein Eintrag für die Active Directory Gruppe im One Identity Manager erzeugt.

  • Die Active Directory Gruppe wird mit der Option Gruppe ist im Self-Service Manager veröffentlicht gekennzeichnet.

  • Die Active Directory Gruppe wird mit der Option IT Shop gekennzeichnet.

  • Es wird eine zugehörige Leistungsposition erzeugt. Es wird eine neue Anwendungsrolle erstellt, in welcher der Besteller Mitglied wird. Die Anwendungsrolle wird als Produkteigner der Leistungsposition eingetragen.

    Durch dieses Vorgehen ist der Besteller einer Active Directory Gruppe entscheidungsberechtigt bei der Bestellung von Mitgliedschaften in dieser Active Directory Gruppe.

  • Die Active Directory Gruppe wird im Standardshop Identity & Access Lifecycle dem Regal Active Directory Gruppen zugewiesen.

Anschließend ist Mitgliedschaft in der Active Directory Gruppe für die Kunden des Shops über das Web Portal bestellbar.

HINWEIS: Wenn eine Active Directory Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen

Active Roles spezifische Erweiterungen für Active Directory Gruppen

Für Active Roles werden für eine Active Directory Gruppe zusätzliche Stammdaten abgebildet. Ausführliche Informationen zur Verwaltung von Active Directory Gruppen im One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Um die aus dem Active Roles ermittelten Stammdaten einer Active Directory Gruppe anzuzeigen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Wählen Sie den Tabreiter Active Roles.

Die folgenden Eigenschaften werden abgebildet.

Tabelle 8: Active Roles-spezifische Eigenschaften einer Active Directory Gruppe
Eigenschaft Beschreibung

Gruppe ist im Self-Service Manager veröffentlicht

Wenn eine Active Directory Gruppe veröffentlicht ist, kann diese Active Directory Gruppe nach der Synchronisation sofort das Web Portal bestellt werden. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen. Bei Anlage einer Active Directory Gruppe über das Web Portal wird diese Angabe publiziert, um bei Bedarf weitere Arbeitsabläufe in Active Roles zu starten.

Entscheidung durch die Besitzer der Gruppe

Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch den Besitzer (Kontomanager) der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Entscheidung durch einen zusätzlichen Besitzer der Gruppe

Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch die zusätzlichen Besitzer der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop.

Dynamische Gruppe

Gibt an, ob die Mitglieder dieser Gruppe in Active Roles dynamisch ermittelt werden. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Kontrollierte Gruppe

Gibt an, ob die Gruppe ist unter Kontrolle von Active Roles ist. Die Gruppe gehört zu einer Group Family in Active Roles. Die Mitgliedschaften werden über die Group Family geregelt. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Group Family

Gibt an, ob diese Gruppe eine Group Family in Active Roles repräsentiert. Group Family erstellt automatisch Gruppen und verwaltet die Mitgliedschaften in Übereinstimmung mit konfigurierbaren Regeln in Active Roles. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig.

Zusätzliche Besitzer

Liste zusätzlicher Besitzer. Zulässig sind Active Directory Gruppen oder Active Directory Benutzerkonten.

Deprovisionierungsstatus

Status der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus dem Active Roles gelesen.

  • Keine Deprovisionierung: Das Active Directory Objekt ist aktiv.

  • Deprovisionierung erfolgreich: Das Active Directory Objekt wurde erfolgreich deprovisioniert.

  • Deprovisionierung fehlerhaft: Bei der Deprovisionierung des Active Directory Objektes ist ein Fehler aufgetreten.

Deprovisionierungsdatum

Datum der Deprovisionierungsabläufe durch Active Roles beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus Active Roles gelesen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen