Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen können nur bestellt werden, wenn in der Zugriffsanforderungsrichtlinie die Option Wirksam für One Identity Manager aktiviert ist.
Um die Zugriffsanforderungsrichtlinie zu konfigurieren
-
Wählen Sie im Manager die Kategorie Privileged Account Management > Appliances > <Appliance> > Nutzungsrechte > <Nutzungsrecht>.
-
Wählen Sie in der Ergebnisliste die Zugriffsanforderungsrichtlinie.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Prüfen Sie auf dem Tabreiter Allgemein die Option Wirksam für One Identity Manager.
-
Ist die Option aktiviert, können Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie bestellt werden.
-
Ist die Option nicht aktiviert, ist die Bestellung von Zugriffsanforderungen für Assets, Assetkonten, Verzeichniskonten, Assetgruppen und Kontogruppen aus dem Bereich der Zugriffsanforderungsrichtlinie nicht möglich.
Verwandte Themen
Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.
-
Managen von Benutzerkonten und Personen
Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person, beispielsweise einen Manager, wird das Benutzerkonto angelegt.
-
Managen von Zuweisungen von Benutzergruppen
Mit der Zuweisung einer Gruppe an ein IT Shop Regal kann die Gruppe von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Person wird die Gruppe zugewiesen.
Manager und Administratoren von Organisationen können im Web Portal Gruppen an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Personen vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.
Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen werden an alle Personen vererbt, die Mitglied dieser Geschäftsrollen sind.
Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen an die Systemrollen zuweisen. Die Gruppen werden an alle Personen vererbt, denen diese Systemrollen zugewiesen sind.
-
Managen von Zugriffsanforderungen auf privilegierte Objekte
Über das IT Shop Regal Identity & Access Lifecycle > Privilegierter Zugriff können Kennwort- und Sitzungsanforderungen für privilegierte Objekte eine PAM Systems bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Der Eigentümer des privilegierten Objektes, für das der Zugriff angefordert wird, genehmigt die Bestellung. Im PAM System wird eine entsprechende Zugriffsanforderung erstellt. Konnte die Zugriffsanforderung erfolgreich erstellt werden, kann sich der Benutzer am PAM System anmelden und das angeforderte Kennwort abrufen oder die angeforderte Sitzung starten.
-
Attestierung
Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Die Eigentümer privilegierter Objekte attestieren den möglichen Zugriff von Benutzern auf diese privilegierten Objekte. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.
-
Governance Administration
Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.
Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche Personen nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.
-
Risikobewertung
Über den Risikoindex von Gruppen kann das Risiko von Gruppenmitgliedschaften für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.
-
Berichte und Statistiken
Das Web Portal stellt verschiedene Berichte und Statistiken über die Personen, Benutzerkonten, deren Berechtigungen und Risiken bereit.
Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von PAM Benutzerkonten und Personen, Zuweisen von PAM Benutzergruppen an PAM Benutzerkonten im One Identity Manager, PAM Zugriffsanforderungen und in folgenden Handbüchern:
-
One Identity Manager Web Designer Web Portal Anwenderhandbuch
-
One Identity Manager Administrationshandbuch für Attestierungen
-
One Identity Manager Administrationshandbuch für Complianceregeln
-
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
-
One Identity Manager Administrationshandbuch für Risikobewertungen
Für die Verwaltung eines Privileged Account Management Systems im One Identity Manager sind folgende Basisdaten relevant.
- Kontendefinitionen
Um Benutzerkonten automatisch an Personen zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Person noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Person ein neues Benutzerkonto erzeugt.
Weitere Informationen finden Sie unter Kontendefinitionen für PAM Benutzerkonten.
- Kennwortrichtlinien
Der unterstützt Sie beim Erstellen von komplexen Kennwortrichtlinien beispielsweise für Systembenutzerkennwörter, das zentrale Kennwort von Personen sowie für Kennwörter für die einzelnen Zielsysteme. Kennwortrichtlinien werden sowohl bei der Eingabe eines Kennwortes durch den Anwender als auch bei der Generierung von Zufallskennwörtern angewendet.
In der Standardinstallation werden vordefinierte Kennwortrichtlinien mitgeliefert, die Sie nutzen können und bei Bedarf an Ihre Anforderungen anpassen können. Zusätzlich können Sie eigene Kennwortrichtlinien definieren.
Weitere Informationen finden Sie unter Kennwortrichtlinien für PAM Benutzer.
- Zielsystemtypen
Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.
Weitere Informationen finden Sie unter Ausstehende Objekte nachbearbeiten.
- Zielsystemverantwortliche
Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Personen zu, die berechtigt sind, alle Appliances im One Identity Manager zu bearbeiten.
Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Appliances einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.
Weitere Informationen finden Sie unter Zielsystemverantwortliche für PAM Systeme.
- Server
Für die Verarbeitung der zielsystemspezifischen Prozesse im One Identity Manager muss der Synchronisationsserver mit seinen Serverfunktionen bekannt sein.
Weitere Informationen finden Sie unter Jobserver für PAM-spezifische Prozessverarbeitung.
-
Eigentümer privilegierter Objekte
Im One Identity Manager ist eine Standardanwendungsrolle für die Eigentümer privilegierter Objekte wie PAM Assets, PAM Assetkonten oder PAM Verzeichniskonten vorhanden. Die Eigentümer werden in den Standard-Entscheidungsworkflows als Entscheider und Attestierer berücksichtigt.
Weitere Informationen finden Sie unter Eigentümer von PAM Objekten.
Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Personen zu, die berechtigt sind, alle Appliances im One Identity Manager zu bearbeiten.
Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Appliances einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.
Ausführliche Informationen zum Einsatz und zur Bearbeitung von Anwendungsrollen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Inbetriebnahme der Anwendungsrollen für Zielsystemverantwortliche
-
Der One Identity Manager Administrator legt Personen als Zielsystemadministratoren fest.
-
Die Zielsystemadministratoren nehmen die Personen in die Standardanwendungsrolle für die Zielsystemverantwortlichen auf.
Zielsystemverantwortliche der Standardanwendungsrolle sind berechtigt alle Privileged Account Management Systeme im One Identity Manager zu bearbeiten.
-
Zielsystemverantwortliche können innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche berechtigen und bei Bedarf weitere untergeordnete Anwendungsrollen erstellen und einzelnen PAM Systemen zuweisen.
Tabelle 30: Standardanwendungsrolle für Zielsystemverantwortliche
Zielsystemverantwortliche
|
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Privileged Account Management oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Gruppen zur Aufnahme in den IT Shop vor.
-
Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.
-
Berechtigen innerhalb ihres Verantwortungsbereiches Personen als Eigentümer von privilegierten Objekten. |
Um initial Personen als Zielsystemadministrator festzulegen
-
Melden Sie sich als One Identity Manager Administrator (Anwendungsrolle Basisrollen | Administratoren) am Manager an.
-
Wählen Sie die Kategorie One Identity Manager Administration > Zielsysteme > Administratoren.
-
Wählen Sie die Aufgabe Personen zuweisen.
-
Weisen Sie die Person zu und speichern Sie die Änderung.
Um initial Personen in die Standardanwendungsrolle für Zielsystemverantwortliche aufzunehmen
-
Melden Sie sich als Zielsystemadministrator (Anwendungsrolle Zielsysteme | Administratoren) am Manager an.
-
Wählen Sie die Kategorie One Identity Manager Administration > Zielsysteme > Privileged Account Management.
-
Wählen Sie die Aufgabe Personen zuweisen.
-
Weisen Sie die Personen zu und speichern Sie die Änderungen.
Um als Zielsystemverantwortlicher weitere Personen als Zielsystemverantwortliche zu berechtigen
-
Melden Sie sich als Zielsystemverantwortlicher am Manager an.
-
Wählen Sie in der Kategorie Privileged Account Management > Basisdaten zur Konfiguration > Zielsystemverantwortliche die Anwendungsrolle.
-
Wählen Sie die Aufgabe Personen zuweisen.
-
Weisen Sie die Personen zu und speichern Sie die Änderungen.
Um Zielsystemverantwortliche für einzelne Privileged Account Management Systeme festzulegen
-
Melden Sie sich als Zielsystemverantwortlicher am Manager an.
-
Wählen Sie die Kategorie Privileged Account Management > Appliances.
-
Wählen Sie in der Ergebnisliste die Appliance.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Zielsystemverantwortliche die Anwendungsrolle.
- ODER -
Klicken Sie neben der Auswahlliste Zielsystemverantwortliche auf , um eine neue Anwendungsrolle zu erstellen.
-
Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle Zielsysteme | Privileged Account Management zu.
-
Klicken Sie Ok, um die neue Anwendungsrolle zu übernehmen.
- Speichern Sie die Änderungen.
-
Weisen Sie der Anwendungsrolle die Personen zu, die berechtigt sind, das System im One Identity Manager zu bearbeiten.
Verwandte Themen