Der One Identity Manager bietet eine vereinfachte Administration der Benutzerkonten einer Azure Active Directory-Umgebung. Der One Identity Manager konzentriert sich auf die Einrichtung und Bearbeitung von Benutzerkonten und die Versorgung mit den benötigten Berechtigungen. Um die Benutzer mit den benötigten Berechtigungen auszustatten, werden Abonnements, Dienstpläne, Gruppen und Administratorrollen im One Identity Manager abgebildet. Damit ist es möglich, die Identity und Access Governance Prozesse wie Attestierung, Identity Audit, Management von Benutzerkonten und Systemberechtigungen, IT Shop oder Berichtsabonnements für Azure Active Directory Mandanten zu nutzen.
Im One Identity Manager werden die Identitäten eines Unternehmens mit den benötigten Benutzerkonten versorgt. Dabei können Sie unterschiedliche Mechanismen für die Verbindung der Identitäten mit ihren Benutzerkonten nutzen. Ebenso können Sie die Benutzerkonten getrennt von Identitäten verwalten und somit administrative Benutzerkonten einrichten.
Durch die Datensynchronisation werden zusätzliche Informationen zum Azure Active Directory Unternehmensverzeichnis, wie Mandant und verifizierten Domänen in die One Identity Manager-Datenbank eingelesen. Aufgrund der komplexen Zusammenhänge und weitreichenden Auswirkungen von Änderungen ist die Anpassung dieser Informationen im One Identity Manager nur in geringem Maße möglich.
Ausführliche Informationen zur Azure Active Directory Struktur finden Sie in der Azure Active Directory Dokumentation von Microsoft.
HINWEIS: Voraussetzung für die Verwaltung einer Azure Active Directory-Umgebung im One Identity Manager ist die Installation des Azure Active Directory Moduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.
Um auf die Daten des Azure Active Directory Mandanten zuzugreifen, wird auf einem Synchronisationsserver der Azure Active Directory Konnektor installiert. Der Synchronisationsserver sorgt für den Abgleich der Daten zwischen der One Identity Manager-Datenbank und dem Azure Active Directory. Der Azure Active Directory Konnektor verwendet die Microsoft Graph-API für den Zugriff auf Azure Active Directory Daten.
Für den Zugriff auf die Daten eines Azure Active Directory Mandanten, muss sich der Azure Active Directory Konnektor am Azure Active Directory Mandanten authentifizieren. Die Authentifizierung erfolgt über eine Anwendung für den One Identity Manager, die im Azure Active Directory Mandanten integriert wird und mit den entsprechenden Zugriffsberechtigungen ausgestattet wird.
Abbildung 1: Architektur für die Synchronisation
In die Verwaltung einer Azure Active Directory-Umgebung sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Identitäten als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | Azure Active Directory oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Gruppen zur Aufnahme in den IT Shop vor.
-
Können Identitäten anlegen, die nicht den Identitätstyp Primäre Identität haben.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Identitäten als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne.
-
Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien. |
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Produkteigner für den IT Shop |
Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Entscheiden über Bestellungen.
-
Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind. |
Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Über Konfigurationsparameter konfigurieren Sie die Grundeinstellungen zum Systemverhalten. Der One Identity Manager stellt für verschiedene Konfigurationsparameter Standardeinstellungen zur Verfügung. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
Die Konfigurationsparameter sind in den One Identity Manager Modulen definiert. Jedes One Identity Manager Modul kann zusätzliche Konfigurationsparameter installieren. Einen Überblick über alle Konfigurationsparameter finden Sie im Designer in der Kategorie Basisdaten > Allgemein > Konfigurationsparameter.
Weitere Informationen finden Sie unter Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung.