Chat now with support
Chat mit Support

Identity Manager 9.0 LTS - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Personen
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Administratives Benutzerkonto für mehrere Personen bereitstellen

Voraussetzung
  • Das Benutzerkonto muss als Gruppenidentität gekennzeichnet sein.

  • Es muss eine Pseudo-Person vorhanden sein. Die Pseudo-Person muss als Gruppenidentität gekennzeichnet sein und muss einen Manager besitzen.

  • Die Personen, die das Benutzerkonto nutzen dürfen, müssen als primäre Identitäten gekennzeichnet sein.

Um ein administratives Benutzerkonto für mehrere Personen bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als Gruppenidentität.

    1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Gruppenidentität.

  2. Verbinden Sie das Benutzerkonto mit einer Pseudo-Person.

    1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Person die Pseudo-Person.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Pseudo-Person erstellen.

  3. Weisen Sie dem Benutzerkonto die Personen zu, die dieses administrative Benutzerkonto nutzen sollen.

    1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Personen mit Nutzungsberechtigungen zuzuweisen.

    4. Weisen Sie im Bereich Zuordnungen hinzufügen die Personen zu.

      TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Personen entfernen.

      Um eine Zuweisung zu entfernen

      • Wählen Sie die Person und doppelklicken Sie .

Verwandte Themen

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

  • Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | PrivilegedAccount | SAMAccountName_Prefix.

  • Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | PrivilegedAccount | SAMAccountName_Postfix.

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen als privilegiert gekennzeichnet werden. Passen Sie bei Bedarf den Zeitplan im Designer an.

Verwandte Themen

Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten

Im One Identity Manager werden Änderungen der Personeneigenschaften an die verbundenen Benutzerkonten weitergereicht und anschließend in das Zielsystem provisioniert. Unter Umständen kann es notwendig sein, Änderungen von Benutzerkonten im Zielsystem auf die Personeneigenschaften im One Identity Manager weiterzureichen.

Beispiel:

Während des Testbetriebs werden die Benutzerkonten aus dem Zielsystem in den One Identity Manager nur eingelesen und Personen erzeugt. Die Verwaltung der Benutzerkonten (Erstellen, Ändern und Löschen) über den One Identity Manager soll erst zu einem späteren Zeitpunkt in Betrieb genommen werden. Während des Testbetriebs werden die Benutzerkonten weiterhin im Zielsystem geändert, was zu Abweichungen der Benutzerkonteneigenschaften und Personeneigenschaften führen kann. Aus diesem Grund sollen vorübergehend die durch eine erneute Synchronisation eingelesenen Änderungen von Benutzerkonten an die bereits erzeugten Personen publiziert werden. Damit führt die Inbetriebnahme der Benutzerkontenverwaltung über den One Identity Manager nicht zu Datenverlusten.

Um Personen bei Änderungen von Benutzerkonten zu aktualisieren

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | PersonUpdate.

Während der Synchronisation werden die Änderungen der Benutzerkonten in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung werden diese Änderungen an die verbundenen Personen weitergereicht.

HINWEIS:

  • Die Aktualisierung der Personen bei Änderungen von Benutzerkonten erfolgt nur für Benutzerkonten, die den Automatisierungsgrad Unmanaged besitzen und mit einer Person verbunden sind.

  • Es wird nur die Person aktualisiert, die aus dem geänderten Benutzerkonto erzeugt wurde. Die Datenquelle, aus der eine Person erzeugt wurde, wird über die Eigenschaft Datenquelle Import der Person angezeigt. Sind der Person weitere Benutzerkonten zugeordnet, dann führen Änderungen dieser Benutzerkonten nicht zur Aktualisierung der Person.

  • Bei Personen, bei denen die Eigenschaft Datenquelle Import noch nicht gesetzt ist, wird während der ersten Aktualisierung des verbundenen Benutzerkontos das Zielsystem des Benutzerkontos als Datenquelle für den Import eingetragen.

Das Mapping von Benutzerkontoeigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSAccount. Das Mapping von Kontakteigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSContact. Um das Mapping einfacher anzupassen, sind die Skripte als überschreibbar definiert.

Für unternehmensspezifische Anpassungen, erzeugen Sie eine Kopie des Skriptes und beginnen Sie den Skriptcode folgendermaßen:

Public Overrides Function ADS_PersonUpdate_ADSAccount(ByVal UID_Account As String, OldAccountDN As String, ProcID As String)

Public Overrides Function ADS_PersonUpdate_ADSContact(ByVal UID_Account As String, OldAccountDN As String, ProcID As String)

Damit wird das Skript neu definiert und überschreibt das originale Skript. Eine Anpassung der Prozesse ist in diesem Fall nicht erforderlich.

Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen

Anhand der Abteilungsinformationen oder Ortsinformationen der Benutzerkonten können neue Abteilungen und Standorte im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen und Standorte den Personen der Benutzerkonten als primäre Abteilung und primärer Standort zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Personen über diese Zuordnungen ihre Unternehmensressourcen erhalten.

Voraussetzung für den Einsatz dieses Verfahrens

Personen müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.

Tabelle 14: Konfigurationsparameter für automatische Personenzuordnung
Konfigurationsparameter Wirkung bei Aktivierung

TargetSystem | ADS | PersonAutoDefault

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | ADS | PersonAutoFullsync

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | ADS | PersonUpdate

Es erfolgt eine fortlaufende Aktualisierung von Personenobjekten aus verbundenen Benutzerkonten.

Um dieses Verfahren zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateDepartment, um Abteilungen aus den Benutzerkonteninformationen zu erzeugen.

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateLocality, um Standorte aus den Benutzerkonteninformationen zu erzeugen.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen