Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer SharePoint-Umgebung

Verwalten einer SharePoint Umgebung Einrichten der Synchronisation mit einer SharePoint Farm Basisdaten für die Verwaltung einer SharePoint-Umgebung SharePoint Farmen SharePoint Webanwendungen SharePoint Websitesammlungen und Websites SharePoint Benutzerkonten SharePoint Rollen und Gruppen
SharePoint Gruppen SharePoint Rollen und Berechtigungsstufen
Berechtigungen für SharePoint Webanwendungen Berichte über SharePoint Objekte Anhang: Konfigurationsparameter für die Verwaltung einer SharePoint-Umgebung Anhang: Standardprojektvorlage für SharePoint

Verwalten einer SharePoint Umgebung

Im One Identity Manager können die Komponenten und Zugriffsrechte von SharePoint 2013, SharePoint 2016, SharePoint 2019 und SharePoint Server Subscription Edition Umgebungen abgebildet werden. Ziel dieser Abbildung ist es, den Mitarbeitern eines Unternehmens Zugriffsrechte auf die Websites einer SharePoint-Umgebung zu gewähren. Für diese Abbildung werden Informationen über folgende Komponenten der SharePoint Umgebung in die One Identity Manager-Datenbank eingelesen.

  • die Farm als oberste Ebene der logischen Architektur der SharePoint-Umgebung

    Die SharePoint Farm wird als Basisobjekt für die Synchronisation in der One Identity Manager-Datenbank eingerichtet.

  • alle innerhalb der Farm eingerichteten Webanwendungen mit ihren Benutzerrichtlinien und zulässigen Berechtigungen
  • alle Websitesammlungen dieser Webanwendungen mit ihren Benutzerkonten und Gruppen
  • alle Websites, die innerhalb der Websitesammlungen in einer hierarchischen Struktur angelegt sind (jedoch nicht deren Inhalt)
  • alle Berechtigungsstufen und SharePoint Rollen, welche die Berechtigungen auf die einzelnen Websites definieren

SharePoint Rollen, Gruppen und Benutzerkonten werden im Kontext der SharePoint-Komponenten abgebildet, für die sie eingerichtet sind. Über diese Objekte werden im One Identity Manager den SharePoint Benutzern die Zugriffsrechte auf die verschiedenen Websites zur Verfügung gestellt. Dafür können Sie die unterschiedlichen Mechanismen des One Identity Managers für die Verbindung der Identitäten mit ihren SharePoint Benutzerkonten nutzen. Es werden folgende Objekte provisioniert:

  • SharePoint Benutzerkonten und ihre Beziehungen zu SharePoint Rollen und Gruppen
  • SharePoint Gruppen und ihre Zuordnungen zu Benutzerkonten und Rollen
  • SharePoint Rollen und ihre Berechtigungen auf Websites

Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die klassische Windows-Authentifizierung als auch die forderungsbasierte Authentifizierung. Jedem SharePoint Benutzerkonto, das sich über die klassische Windows-Authentifizierung anmelden kann, ist im One Identity Manager ein Active Directory oder LDAP Benutzerkonto bzw. eine Active Directory oder LDAP Gruppe zugeordnet. Voraussetzung dafür ist, dass die zugehörige Active Directory bzw. LDAP-Umgebung ebenfalls in der One Identity Manager-Datenbank abgebildet werden. Informationen über die in der SharePoint-Umgebung genutzten Authentifizierungssyteme können im One Identity Manager gepflegt werden.

Zu jedem SharePoint Benutzerkonto, das mit einem Active Directory oder LDAP Benutzerkonto verbunden ist, kann zusätzlich eine in der One Identity Manager-Datenbank hinterlegte Identität zugeordnet werden. Damit ist es möglich, die Mitgliedschaften von Identitäten in SharePoint Rollen und Gruppen zu pflegen. Über die Zuordnung von SharePoint Rollen und Gruppen zu den Unternehmensstrukturen können SharePoint Berechtigungen an die Identitäten vererbt werden. Außerdem ist es möglich, Berechtigungen über den IT Shop zu bestellen. Über Complianceregeln können die einer Identität zugewiesenen Berechtigungen überwacht werden.

Architekturüberblick

Der SharePoint-Konnektor wird für die Synchronisation und Provisionierung der SharePoint-Umgebung eingesetzt. Der Konnektor kommuniziert direkt mit den SharePoint Servern einer SharePoint Farm.

Abbildung 1: Kommunikationsweg des Konnektors mit der SharePoint-Umgebung

Für die Synchronisation und Provisionierung müssen auf einem beliebigen Server der SharePoint Farm der One Identity Manager Service, der SharePoint Konnektor und der Synchronization Editor installiert sein. Dieser Server wird im Weiteren als Synchronisationsserver bezeichnet. Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.

Detaillierte Informationen zum Thema

One Identity Manager Benutzer für die Verwaltung einer SharePoint-Umgebung

In die Verwaltung einer SharePoint-Umgebung mit dem One Identity Manager sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben
Zielsystemadministratoren

Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.

  • Legen die Zielsystemverantwortlichen fest.

  • Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.

  • Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.

  • Berechtigen weitere Identitäten als Zielsystemadministratoren.

  • Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme.

Zielsystemverantwortliche

Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | SharePoint oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Übernehmen die administrativen Aufgaben für das Zielsystem.

  • Erzeugen, ändern oder löschen die Zielsystemobjekte.

  • Bearbeiten Kennwortrichtlinien für das Zielsystem.

  • Bereiten Systemberechtigungen zur Aufnahme in den IT Shop vor.

  • Können Identitäten anlegen, die nicht den Identitätstyp Primäre Identität haben.

  • Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.

  • Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.

  • Berechtigen innerhalb ihres Verantwortungsbereiches weitere Identitäten als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

Administratoren für den IT Shop

Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an IT Shop-Strukturen zu.

Produkteigner für den IT Shop

Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Entscheiden über Bestellungen.

  • Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind.

Administratoren für Organisationen

Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an Abteilungen, Kostenstellen und Standorte zu.

Administratoren für Geschäftsrollen

Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Weisen Systemberechtigungen an Geschäftsrollen zu.

Forderungsbasierte Authentifizierung

Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die forderungsbasierte Authentifizierung als auch die klassische Windows-Authentifizierung. Dafür werden in der Datenbank Informationen über die verwendeten SharePoint Provider und Authentifizierungsmodi hinterlegt. Die vorhandenen SharePoint Provider zur forderungsbasierten Authentifizierung müssen durch die Synchronisation in die Datenbank eingelesen werden. Für jede Webanwendung sind die zugelassenen Provider hinterlegt.

An jedem Benutzerkonto ist hinterlegt, mit welchem AuthentifizierungsmodusGeschlossen sich der Benutzer mit diesem Benutzerkonto anmeldet. Der standardmäßig zugeordnete Authentifizierungsmodus ist abhängig davon, ob die forderungsbasierte Authentifizierung an der zugehörigen Webanwendung zugelassen ist.

Der Authentifizierungsmodus wird benötigt, um Benutzerkonten im One Identity Manager anzulegen. Der Anmeldename von Benutzerkonten für die forderungsbasierte Authentifizierung enthält ein Präfix, das vom genutzten Authentifizierungsmodus abhängig ist. Diese Präfixe müssen an den Authentifizierungsmodi gepflegt werden.

Verwandte Themen
Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen