Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Dynamische Rollen Abteilungen, Kostenstellen und Standorte
One Identity Manager Benutzer für die Verwaltung von Abteilungen, Kostenstellen und Standorten Basisdaten für Abteilungen, Kostenstellen und Standorte Abteilungen erstellen und bearbeiten Kostenstellen erstellen und bearbeiten Standorte erstellen und bearbeiten IT Betriebsdaten für Abteilungen, Kostenstellen und Standorte einrichten Personen, Geräte und Arbeitsplätze an Abteilungen, Kostenstellen und Standorte zuweisen Unternehmensressourcen an Abteilungen, Kostenstellen und Standorte zuweisen Dynamische Rollen für Abteilungen, Kostenstellen und Standorte erstellen und bearbeiten Dynamische Rollen mit fehlerhaft ausgeschlossenen Personen Organisationen zuweisen Vererbungsausschluss für Abteilungen, Kostenstellen und Standorte festlegen Zusatzeigenschaften an Abteilungen, Kostenstellen und Standorte zuweisen Zertifizierung von Abteilungen, Kostenstellen und Standorten Berichte über Abteilungen, Kostenstellen und Standorte
Personen verwalten
One Identity Manager Benutzer für die Personenverwaltung Basisdaten für Personenstammdaten Zentrales Benutzerkonto einer Person Standard-E-Mail-Adresse einer Person Zentrales Kennwort einer Person Abbildung mehrerer Identitäten einer Person Kennwortrichtlinien für Personen Personen erstellen und bearbeiten Deaktivieren und Löschen von Personen Löschen aller personenbezogenen Daten Eingeschränkter Zugang zum One Identity Manager Zertifizierungsstatus von Personen ändern Unternehmensressourcen an Personen zuweisen Herkunft von Rollen und Berechtigungen von Personen anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Personen Überblick über Personen anzeigen Webauthn-Sicherheitsschlüssel von Personen anzeigen und löschen Ermitteln der Sprache für Personen Ermitteln der Arbeitszeiten für Personen Benutzerkonten manuell an Personen zuweisen Calls für Personen erfassen Zusatzeigenschaften an Personen zuweisen Berichte über Personen
Geräte und Arbeitsplätze verwalten
Basisdaten für die Geräteverwaltung Geräte erstellen und bearbeiten Unternehmensressourcen an Geräte zuweisen Überblick über Geräte anzeigen Servicevereinbarungen an Geräte zuweisen und Calls erfassen Arbeitsplätze erstellen und bearbeiten Unternehmensressourcen an Arbeitsplätze zuweisen Überblick über Arbeitsplätze anzeigen Geräte an Arbeitsplätze zuweisen Arbeitsplätze an Personen zuweisen Calls für Arbeitsplätze erfassen Anlageinformationen für Geräte
Ressourcen verwalten Zusatzeigenschaften einrichten Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Konfigurationsparameter für die Verwaltung von Personen Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Vererbungsausschluss: Festlegen widersprechender Rollen

Um zu verhindern, dass Personen, Geräte oder Arbeitsplätze gleichzeitig an verschiedene Rollen zugewiesen werden und über diese Rollen sich ausschließende Unternehmensressourcen erhalten könnten, können Sie widersprechende Rollen definieren. Dabei legen Sie fest, welche Abteilungen, Kostenstellen oder Standorte sich gegenseitig ausschließen. Sie dürfen diese Rollen dann nicht mehr an ein und dieselbe Person (Gerät, Arbeitsplatz) zuweisen.

HINWEIS: Nur Rollen, die direkt als widersprechende Rollen definiert sind, können nicht an ein und dieselbe Person (Gerät, Arbeitsplatz) zugewiesen werden. Festlegungen an übergeordneten oder untergeordneten Rollen haben keinen Einfluss auf die Zuweisung.

Beispiel:

An der Kostenstelle A wurde Kostenstelle B als widersprechende Kostenstelle eingetragen. Jenna Miller und Hans Peter sind Mitglied der Kostenstelle A. Lotte Louise ist Mitglied der Kostenstelle B. Hans Peter kann nicht an Kostenstelle B zugewiesen werden. Der One Identity Manager verhindert außerdem, dass Jenna Miller an Kostenstelle B und Lotte Louise an Kostenstelle A zugewiesen wird.

Abbildung 12: Mitgliedschaften in sich widersprechenden Rollen

Um den Vererbungsausschluss zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Structures | ExcludeStructures und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Dynamische Rollen

Dynamische Rollen werden eingesetzt, um Mitgliedschaften für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten dynamisch festzulegen. Dabei werden Personen, Geräte oder Arbeitsplätze nicht fest an diese Rollen zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Personen (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Personen einer Abteilung zugewiesen werden; verlässt eine Person diese Abteilung verliert sie sofort die zugewiesenen Unternehmensressourcen.

Beispiel: Funktion dynamischer Rollen

In einer neu angelegten dynamischen Rolle werden alle externen Personen zusammengefasst. Diesen Personen soll eine Unternehmensressource ABC zugewiesen werden. Zunächst wird die dynamische Rolle mit folgenden Angaben definiert:

Dynamische Rolle Externe Personen
Beschreibung Alle externen Personen
Objektklasse PERSON
Bedingung IsExternal = 1
Abteilung A_1

Der Abteilung A_1 wird nun die Ressource ABC zugewiesen. Alle Personen, die zum Zeitpunkt der Definition der dynamischen Rolle die Bedingung erfüllen, werden der Abteilung A_1 zugeordnet und erben von ihr die Ressource ABC. Erfüllen zu einem späteren Zeitpunkt weitere Personen die Bedingung, so werden diese Personen ab dem Moment in die Abteilung A_1 aufgenommen. Umgekehrt gilt jedoch auch, dass Personen aus der Abteilung A_1 entfernt werden, sobald sie im One Identity Manager nicht mehr als externe Personen bekannt sind. Sofern den Personen die Ressource ABC nicht noch über einen anderen Weg zugewiesen wurde, ist die Ressource ab diesem Zeitpunkt nicht mehr verfügbar.

Rollenmitgliedschaften über dynamische Rollen werden als indirekte, sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Personen, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.

Personen können aufgrund einer abgelehnten Attestierung oder einer Regelverletzung automatisch aus dynamischen Rollen ausgeschlossen werden. Dafür wird eine Ausschlussliste geführt. Zusätzlich können Ausschlüsse auch direkt für einzelne Personen definiert werden. Personen können zusätzlich auch direkt oder durch eine Zuweisungsbestellung oder Delegierung Mitglied der Rolle werden. Diese Mitgliedschaften werden durch die Ausschlussliste nicht eingeschränkt.

Ausführliche Informationen zum automatischen Ausschluss bei abgelehnter Attestierung finden Sie im One Identity Manager Administrationshandbuch für Attestierungen. Ausführliche Informationen zum automatischen Ausschluss bei einer Regelverletzung finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Verwandte Themen

Dynamische Rollen erstellen und bearbeiten

Dynamische Rollen können Sie für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten erstellen. Damit können Sie Mitgliedschaften in diesen Rollen dynamisch festlegen.

Um eine dynamische Rolle zu erstellen

  1. Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt werden soll.

  2. Wählen Sie die Aufgabe Dynamische Rolle erstellen.

  3. Erfassen Sie die erforderlichen Stammdaten.

  4. Speichern Sie die Änderungen.

Um eine dynamische Rolle zu bearbeiten

  1. Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt wurde.

  2. Öffnen Sie das Überblicksformular für diese Rolle.

  3. Wählen Sie das Formularelement Dynamische Rollen und klicken Sie auf die dynamische Rolle.

  4. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  5. Bearbeiten Sie die Daten und speichern Sie anschließend die Änderungen.

Verwandte Themen

Hinweise zu Bedingungen für dynamische Rollen

WICHTIG: Umfasst die Bedingung eine große Anzahl zuzuordnender Objekte, kann bei der Berechnung der Mitgliedschaften eine hohe Last im DBQueue Prozessor und damit auf dem Datenbankserver erzeugt werden.

Die Bedingung einer dynamischen Rolle wird als gültige Where–Klausel für Datenbankabfragen definiert und muss sich auf die gewählte Objektklasse Person, Hardware oder Worksdesk beziehen.

Sie haben im Manager verschiedene Möglichkeiten die Bedingungen zu erstellen:

  • Die Bedingung können Sie direkt als SQL-Abfrage eingeben.

  • Sie können zum Erstellen der Bedingungen den Where-Klausel Assistenten nutzen.

  • Bedingungen für Personenobjekte können Sie alternativ über den Filterdesigner zusammenstellen.

    HINWEIS: Wenn Sie im Filterdesigner den Bedingungstyp Für das Konto mit dem Zielsystemtyp oder Für die Berechtigung mit dem Zielsystemtyp wählen, können nur Spalten ausgewählt werden, die im Unified Namespace abgebildet sind und für die die Spalteneigenschaft Anzeige im Filterdesigner aktiviert ist.

Über die Variable @UID_Org können Sie auf die Rolle oder die Organisation zugreifen, auf welche die dynamische Rolle verweist.

Beispiel:

Die Bedingung für die dynamische Rolle für Personen soll nur wirken, wenn der Standort der Person (Person.UID_Locality) und der Standort der zugeordnete Rolle oder Organisation (BaseTree.UID.UID_OrgLocality) übereinstimmen.

Ergänzung der Where-Klausel:

...

and uid_locality = (select b.UID_OrgLocality from BaseTree b where b.UID_Org = @UID_Org)

Beispiel:

Die Bedingung für die dynamische Rolle für Personen soll nur wirken, solange die zugeordnete Rolle oder Organisation eine bestimmte Eigenschaft hat.

Ergänzung der Where-Klausel:

...

and exists (select top 1 1

from BaseTree b

where b.UID_Org = @UID_Org

and b.CustomProperty01 = '123'

)

HINWEIS: Wenn Sie Kommentare in die Bedingung einfügen und die Kommentarzeichen --, // oder % verwenden, kann der DBQueue Prozessor die dynamische Rolle nicht korrekt berechnen. Die Berechnung wird mit einem Fehler abgebrochen. Schließen Sie Kommentare immer mit den Kommentarzeichen /* ... */ ein.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen