Viele Cloud-Anwendungen nutzen verschiedene Berechtigungstypen, um Benutzerberechtigungen zu administrieren. Das können neben Gruppen beispielsweise auch Rollen oder Berechtigungssets sein. Über Synchronisationsprojekte, die mit der Projektvorlage Synchronisation einer One Identity Starling Connect-Umgebung erstellt wurden, werden die verschiedenen Typen folgendermaßen im One Identity Manager abgebildet.
|
Typ |
Tabelle |
Anzeigename |
|---|---|---|
|
Group |
UCIGroup |
Gruppen |
|
Role |
UCIGroup1 |
Systemberechtigungen 1 |
|
Profile |
UCIGroup2 |
Systemberechtigungen 2 |
|
Entitlement |
UCIGroup3 |
Systemberechtigungen 3 |
|
Permissionset |
UCIItem |
Berechtigungselemente |
HINWEIS: In Synchronisationsprojekten, die mit einer One Identity Manager Version älter als 8.2 erstellt wurden, sind Objekte vom Typ Profile ebenfalls in der Tabelle UCIItem abgebildet.
Ein Benutzerkonto erhält über seine Zuweisungen zu den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen. Abhängig vom Zielsystem werden die Zuweisungen entweder an den Benutzerkonten (benutzerbasierte Zuweisung) oder an den Systemberechtigungen (berechtigungsbasierte Zuweisung) gepflegt. Beim Einrichten der Synchronisation mit der Projektvorlage Synchronisation einer One Identity Starling Connect-Umgebung ermittelt der SCIM Konnektor, an welchem Objekttyp die Zuweisungen gespeichert sind. Die Mitgliedschaften werden in den folgenden Tabellen abgebildet:
|
UCIUserHasGroup |
Gruppen: Zuweisungen zu Benutzerkonten |
|
UCIUserHasGroup1 |
Systemberechtigungen 1: Zuweisungen zu Benutzerkonten |
|
UCIUserHasGroup2 |
Systemberechtigungen 2: Zuweisungen zu Benutzerkonten |
|
UCIUserHasGroup3 |
Systemberechtigungen 3: Zuweisungen zu Benutzerkonten |
|
UCIUserHasItem |
Benutzerkonten: Zuweisungen Berechtigungselemente |
|
UCIUserInGroup |
Benutzerkonten: Zuweisungen zu Gruppen |
|
UCIUserInGroup1 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 1 |
|
UCIUserInGroup2 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 2 |
|
UCIUserInGroup3 |
Benutzerkonten: Zuweisungen zu Systemberechtigungen 3 |
Zuweisungen für den Typ Permissionset sind immer benutzerbasiert.
Über Synchronisationsprojekte, die mit der Projektvorlage SCIM Synchronisation erstellt wurden, werden standardmäßig nur Gruppen abgebildet. Der SCIM Konnektor ermittelt, an welchem Objekttyp die Zuweisungen gespeichert sind und bildet diese entsprechend entweder in der Tabelle UCIUserHasGroup oder in der Tabelle UCIUserInGroup ab.
An den Cloud-Anwendungen ist hinterlegt, welche Typen von Systemberechtigungen verwendet werden und ob die Zuweisungen an den Benutzerkonten oder den Systemberechtigungen gespeichert werden.
Um die verwendeten Typen von Systemberechtigungen anzuzeigen
-
Wählen Sie im Manager die Kategorie Universal Cloud Interface > Basisdaten zur Konfiguration > Cloud-Anwendungen.
-
Wählen Sie in der Ergebnisliste eine Cloud-Anwendung und wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Typen der verwendeten Systemberechtigungen: Liste der in der Cloud-Anwendung verwendeten Typen von Systemberechtigungen.
-
Benutzerkonto enthält Mitgliedschaften: Liste der Typen von Systemberechtigungen mit benutzerbasierten Zuweisungen. Für Typen, die hier nicht aufgelistet sind, werden die Zuweisungen an den Systemberechtigungen gespeichert.
-
TIPP: Wenn das Schema der Cloud-Anwendung durch keine Standard-Projektvorlage ausreichend abgebildet werden kann, passen Sie die Synchronisationskonfiguration an. Definieren Sie dabei, wie die Systemberechtigungen im One Identity Manager Schema abgebildet werden. Stellen Sie sicher, dass bei der Einrichtung der Synchronisation das Basisobjekt für die Cloud-Anwendung (UCIRoot) in der Datenbank angelegt wird und die Eigenschaften Typen der verwendeten Systemberechtigungen (GroupUsageMask) und Benutzerkonto enthält Mitgliedschaften (UserContainsGroupList) korrekt gesetzt werden.