Geschäftsrollen bilden Unternehmensstrukturen mit gleichartiger Funktionalität ab, die zusätzlich zu Abteilungen, Kostenstellen und Standorten existieren. Das können zum Beispiel Projektgruppen sein. An Geschäftsrollen können verschiedene Unternehmensressourcen zugewiesen werden, beispielsweise Berechtigungen in SAP Systemen oder in Azure Active Directory Mandanten. Identitäten können als Mitglieder in die einzelnen Geschäftsrollen aufgenommen werden. Bei entsprechender Konfiguration des One Identity Manager erhalten die Identitäten über diese Zuordnungen ihre Unternehmensressourcen.
HINWEIS: Voraussetzung für die Verwaltung von Geschäftsrollen im One Identity Manager ist die Installation des Geschäftsrollenmoduls. Ausführliche Informationen zur Installation finden Sie im One Identity Manager Installationshandbuch.
Die One Identity Manager Bestandteile für Verwaltung von Geschäftsrollen sind verfügbar, wenn der Konfigurationsparameter QER | Org aktiviert ist.
In die Verwaltung von Geschäftsrollen sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Erstellen und Bearbeiten die Geschäftsrollen.
-
Weisen Unternehmensressourcen an die Geschäftsrollen zu.
-
Attestieren die Stammdaten von Geschäftsrollen.
-
Administrieren die Anwendungsrollen für Genehmiger, Genehmiger (IT) und Attestierer.
-
Richten bei Bedarf weitere Anwendungsrollen ein. |
Attestierer für Geschäftsrollen
|
Die Attestierer müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Attestierer oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Attestieren die korrekte Zuweisung von Unternehmensressourcen an die Geschäftsrollen, für die sie verantwortlich sind.
-
Können die Stammdaten der Geschäftsrollen sehen, aber nicht bearbeiten.
HINWEIS: Diese Anwendungsrolle steht zur Verfügung, wenn das Modul Attestierung vorhanden ist. |
Genehmiger für Geschäftsrollen
|
Die Genehmiger müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Genehmiger oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sind Genehmiger für den IT Shop.
-
Entscheiden über Bestellungen aus Geschäftsrollen, für die sie verantwortlich sind. |
Genehmiger (IT) für Geschäftsrollen
|
Die IT Genehmiger müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Genehmiger (IT) oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Sind IT Genehmiger für den IT Shop.
-
Entscheiden über Bestellungen aus Geschäftsrollen, für die sie verantwortlich sind. |
One Identity Manager Administratoren
|
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
Zusätzliche Manager |
Die zusätzlichen Manager müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Zusätzliche Manager oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Geschäftsrollen werden hierarchisch angeordnet. Über diese Hierarchien werden die zugeordneten Unternehmensressourcen an ihre Mitglieder vererbt. Zuweisungen von Unternehmensressourcen werden somit nicht mehr zu jeder einzelnen Identität, jedem Gerät oder jedem Arbeitsplatz vorgenommen, sondern an einer zentralen Stelle und dann automatisch an vorher definierte Verteiler vererbt.
Die Erstellung von Hierarchien kann im One Identity Manager entweder nach dem Top-Down-Modell oder Bottom-Up-Modell erfolgen. Beim Top-Down-Modell werden Rollen anhand von Aufgabengebieten definiert und die zur Erfüllung der Aufgaben benötigten Unternehmensressourcen den Rollen zugeordnet. Beim Bottom-Up-Modell werden die zugeordneten Unternehmensressourcen analysiert und daraus Rollen abgeleitet.
Verwandte Themen
Innerhalb einer Hierarchie entscheidet die Vererbungsrichtung über die Zuteilung der Unternehmensressourcen. Grundsätzlich kennt der One Identity Manager zwei Vererbungsrichtungen:
-
Top-Down-Vererbung
Die Standardstruktur innerhalb eines Unternehmens wird im One Identity Manager über die Top-Down-Vererbung realisiert. Mit ihrer Hilfe wird beispielsweise die mehrstufige Gliederung eines Unternehmens in Hauptabteilungen und darunter liegende Fachabteilungen abgebildet.
-
Bottom-Up-Vererbung
Während mit der Top-Down-Vererbung die Zuweisungen in Richtung der feineren Gliederung vererbt werden, wirkt die Bottom-Up-Vererbung in umgekehrter Richtung. Diese Vererbungsrichtung wurde besonders im Hinblick auf die Abbildung von Projektgruppen eingeführt. Das Ziel ist dabei, dem Koordinator mehrerer Projektgruppen die Unternehmensressourcen, mit denen die einzelnen Projektgruppen umgehen, zur Verfügung zu stellen.
HINWEIS: Die Vererbungsrichtung wird nur bei der Vererbung von Unternehmensressourcen beachtet. Auf die Ermittlung der verantwortlichen Manager hat die Vererbungsrichtung keinen Einfluss. Der Manager einer übergeordneten Rolle ist immer für alle untergeordneten Rollen verantwortlich.
Die Auswirkungen auf die Zuteilung der Unternehmensressourcen werden nachfolgend am Beispiel der Applikationszuweisung erläutert.
Beispiel: Zuweisung von Unternehmensressourcen über Top-Down-Vererbung
Es wird ein Ausschnitt aus einer Unternehmensstruktur dargestellt. Zusätzlich sind Software-Anwendungen aufgeführt, die der jeweiligen Abteilung zugewiesen sind. Eine Identität des Händlervertriebes erhält alle Software-Anwendungen, die ihrer Abteilung und allen Abteilungen auf dem Pfad zur Gesamtorganisation zugewiesen sind. In diesem Fall sind das Mail, Textverarbeitung, Adressenverwaltung und Internetsoftware.
Abbildung 1: Zuweisung über Top-Down-Vererbung
Beispiel: Zuweisung von Unternehmensressourcen über Bottom-Up-Vererbung
In der nachfolgenden Abbildung ist eine Bottom-Up-Vererbung im Rahmen eines Projektes angedeutet. Zusätzlich sind Software-Anwendungen aufgeführt, die der jeweiligen Projektgruppe zugewiesen sind. Eine Identität der Projektgruppe "Projektleitung" erhält neben den Software-Anwendungen ihrer Projektgruppe alle Software-Anwendungen der ihr unterstellten Projektgruppen. In diesem Fall sind das Projektmanagement, CASE Tool, Entwicklungsumgebung, Assembler Tool und Prototyping Tool.
Abbildung 2: Zuweisung über Bottom-Up-Vererbung