Mit dem Analyzer führen Sie folgende Schritte aus:
-
Legen Sie das Analyseverfahren fest.
-
Analysedaten mit dem Assistenten wählen: Die Ausgangsdaten werden mit einem Assistenten zusammengestellt.
-
Active Directory Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.
-
Active Directory Berechtigungen und Abteilungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.
-
LDAP Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit LDAP Gruppenmitgliedschaften analysiert.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.
-
Prüfen Sie die Analyseergebnisse.
-
Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.
Detaillierte Informationen zum Thema
Zu Beginn der Analyse stellen Sie die Ausgangsdaten zusammen. Der Analyzer greift auf sämtliche in seiner eigenen Datenbank vorhandenen Berechtigungsinformationen zurück und erstellt eine Zuordnungstabelle mit Identitäten und ihren Berechtigungen. Ergebnis können Vorschläge für Einzelrollen aus der Analyse eines einzelnen Anwendungssystems oder auch systemübergreifende Rollen aus der Analyse von Berechtigungen mehrerer Systeme sein.
Um die Ausgangsdaten mit dem Assistenten auszuwählen
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
-
Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.
-
Auf der Startseite des Analyzers wählen Sie das Analyseverfahren Analysedaten mit Assistenten wählen und klicken Sie Start.
Der Assistent wird gestartet.
-
Auf der Startseite legen Sie die Identitäten fest, die analysiert werden sollen. Wählen Sie eines der folgenden Auswahlverfahren und klicken Sie Weiter.
-
Strukturen: Die Auswahl der Identitäten erfolgt über die im One Identity Manager enthalten Organisationen und Geschäftsrollen.
-
Wählen Sie in der Liste Strukturen die Organisation oder Geschäftsrolle zur Analyse aus.
-
In der Liste Identitäten werden die Identitäten angezeigt, die der Struktur zugeordnet sind. Über die Symbole im rechten Bereich der Identitätenliste können Sie die angezeigten Identitäten weiter filtern.
Tabelle 19: Symbole zum Filtern der Identitäten
|
Indirekt zugeordnete Identitäten anzeigen. |
|
Direkt zugeordnete Identitäten anzeigen. |
|
Identitäten untergeordneter Strukturen anzeigen. |
-
Filterassistent: Legen Sie die Bedingung fest, anhand der die Identitäten aus der Datenbank ermittelt werden. Der Assistent unterstützt Sie bei der Formulierung einer Bedingung (Where-Klausel) für Datenbankabfragen. Die komplette Datenbankabfrage wird intern zusammengesetzt. Die Datenbankabfrage bezieht sich auf die Tabelle Person.
Ausführliche Informationen zum Umgang mit dem Assistenten finden Sie im One Identity Manager Anwenderhandbuch für die Benutzeroberfläche der One Identity Manager-Werkzeuge.
-
Auswahlliste: In der Liste werden alle Identitäten der One Identity Manager-Datenbank angezeigt. Über Shift + Auswahl oder Strg + Auswahl wählen Sie mehrere Identitäten zur Analyse aus.
-
Assistentenvorlage laden: Laden Sie eine vorhandene Konfiguration. Wählen Sie die Vorlagedatei und klicken Sie Öffnen.
-
Auf der Seite Benutzerkonten wählen wählen Sie das Zielsystem, dessen Benutzerkonten und Berechtigungen in die Analyse einbezogen werden. Über Strg + Auswahl können Sie mehrere Zielsystem auswählen.
-
Auf der Seite Analyseverfahren wählen legen Sie das Analyseverfahren fest. Zur Auswahl stehen folgende Verfahren.
Tabelle 20: Analyseverfahren
Einfache Clusteranalyse/Komplexe Clusteranalyse |
Die Berechtigungen werden mittels Clusteranalyseverfahren zu neuen Geschäftsrollen gruppiert und die Identitäten zugeordnet.
Der Analyzer unterstützt das automatisierte Role Mining durch zwei verschiedene Clusteranalyseverfahren, die sich durch die Berechnung der Abstände zwischen einzelnen Clustern unterscheiden |
Entscheidungsbaum |
Die Berechtigungen werden in einem Entscheidungsbaum zu neuen Geschäftsrollen gruppiert und die Identitäten zugeordnet. Als Entscheidungsmerkmal wird die Anzahl der Gruppenmitglieder genutzt. |
Strukturzuordnung |
Die Berechtigungen werden einem bestehendem Strukturbaum zugeordnet. Die Verwendung von bereits vorhandenen Strukturen, beispielsweise organisatorische Strukturen aus ERP-Systemen, ist möglich. |
Berechtigungsanalyse |
Mit Hilfe der Berechtigungsanalyse werden die Berechtigungen der Identitäten analysiert. Geschäftsrollen werden frei definiert und die Zuordnung von Berechtigungen und Identitäten an Hand der vorhandenen Berechtigungen manuell bewertet. |
-
Auf der letzten Seite starten Sie die Analyse.
-
(Optional) Um die Konfiguration zu einem späteren Zeitpunkt wieder zu verwenden, aktivieren Sie die Option Konfiguration als Vorlagedatei speichern. Wählen Sie über den Dateibrowser den Ablagepfad, geben Sie einen Dateinamen an und klicken Sie Speichern.
-
Auf der letzten Seite klicken Sie Fertig, um die Analyse zu starten.
Die Analyseinformationen werden geladen und die Analyse gestartet. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.
-
Prüfen Sie die Analyseergebnisse.
-
Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.
Verwandte Themen
Es werden folgende vordefinierte Analysen zur Verfügung gestellt:
-
Active Directory Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.
-
Active Directory Berechtigungen und Abteilungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit Active Directory Gruppenmitgliedschaften analysiert. Zusätzlich werden Abteilungen mit Active Directory Gruppen in die Analyse einbezogen.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das Active Directory Modul vorhanden ist.
-
LDAP Berechtigungen der Identitäten: Es werden die Berechtigungen aller Identitäten mit LDAP Gruppenmitgliedschaften analysiert.
HINWEIS: Die Analysemethode steht zur Verfügung, wenn das LDAP Modul vorhanden ist.
Um eine vordefinierte Analyse zu starten
-
Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.
-
Öffnen Sie das Launchpad und wählen Sie im Bereich Verwalten den Eintrag Geschäftsrollen analysieren. Das Programm Analyzer wird gestartet.
-
Auf der Startseite des Analyzers wählen Sie das vordefinierte Analyseverfahren und klicken Sie Start.
Die Analyseinformationen werden geladen und die Analyse wird sofort gestartet. Abhängig von der Datenmenge, kann die Analyse einige Zeit in Anspruch nehmen. Anschließend werden im Analyzer die Analyseergebnisse dargestellt.
HINWEIS: Wenn Sie die Programmeinstellung Informationsfenster zur Datenanalyse am Ende automatisch schließen deaktiviert haben, werden Informationen zur Analyse im Fenster Clusteranalyse angezeigt. Über Erweitern sehen Sie detaillierte Informationen. Über Fertig schließen Sie das Informationsfenster.
-
Prüfen Sie die Analyseergebnisse.
-
Erstellen Sie bei Bedarf neue Geschäftsrollen und ordnen Sie die Identitäten zu. Übernehmen Sie die vorgeschlagenen Änderungen in die One Identity Manager-Datenbank.
Verwandte Themen
Da das mathematische Verfahren der Clusteranalyse nur einen Trend vorgibt, sollten Sie beim Role Mining die Geschäftsrollen immer mit den unternehmensspezifischen Strukturen abgleichen. Neben der Umbenennung von Knoten können Sie Zuweisungen der Identitäten und Berechtigungen einer Geschäftsrolle auch direkt bearbeiten. Mit dem Analyzer können Sie neue Geschäftsrollen erstellen und Identitäten direkt zuordnen. Das Hinzufügen oder das Verschieben von Identitäten in eine bestimmte Geschäftsrolle lässt sich damit einfach umsetzen.
Der Analyzer zeigt das Ergebnis seiner Analyse in einem mehr geteilten Bildschirm an.
Abbildung 15: Darstellung der Analyseergebnisse
Im oberen linken Bereich (1) werden die durch die Analyse gefundenen Cluster in einem Strukturbaum angezeigt. Die Benennung der gebildeten Knoten erfolgt bei der Auswahl der Analysedaten mittels Assistenten durch die zuerst gefundene Identität. Bei vordefinierten Analyseverfahren richtet sich die Benennung nach der in den Programmeinstellungen festgelegten Regel. Die Bezeichnungen der können Sie über F2 oder das Kontextmenü Umbenennen ändern.
In den Spalten Identitäten und Berechtigungen grafisch die Anzahl der Vorkommen abgebildet. Bei beiden Spalten wird die Anzeige normiert, das heißt die Gruppe mit der höchsten Anzahl von zugeordneten Identitäten oder Berechtigungen entspricht 100% und wird mit maximalen Balken dargestellt.
Tabelle 21: Bedeutung der Einträge im Kontextmenü im Bereich 1
Einfügen |
Die Geschäftsrolle wird zur Übernahme in die Datenbank gekennzeichnet. |
Rekursiv einfügen |
Die Geschäftsrolle und ihre untergeordneten Geschäftsrollen werden zur Übernahme in die Datenbank gekennzeichnet. |
Löschen |
Die Geschäftsrolle wird aus der Datenübernahme entfernt. |
Anlegen |
Es wird eine neue Geschäftsrolle definiert. |
Löschen |
Die Geschäftsrolle wird gelöscht. |
Umbenennen |
Die Geschäftsrolle wird umbenannt. |
Geschäftsrollennamen generieren |
Die Bezeichnungen der Geschäftsrollen werden entsprechend der festgelegten Regel (Menü Datenbank | Einstellungen) erzeugt. |
Geschäftsrollen optimieren |
Die Geschäftsrollen werden optimiert. Leere Geschäftsrollen werden gelöscht. |
Eigenschaften |
Es werden weitere Eigenschaften der Geschäftsrolle wie Benutzerkonten und Berechtigungen angezeigt. |
Bei der Auswahl eines Strukturknotens werden im rechten Bereich (2), die in ihm enthaltenen Identitäten (oben) und Berechtigungen (unten) aufgelistet. Für Identitäten können Sie mit Hilfe einer farbigen Ähnlichkeitsdarstellung feststellen, bei welchen Berechtigungen es untereinander Übereinstimmungen gibt und in wie weit die tatsächliche Berechtigungssituation des Benutzers zu der Berechtigungszuordnung der gewählten Rolle passt. Übereinstimmende Gruppenmitgliedschaften werden grün, während abweichende, zusätzliche Gruppenmitgliedschaften rot angezeigt werden. Direkt darunter werden die einzelnen Berechtigungen von Identitäten in den analysierten Zielsystemen angezeigt. Abhängig von den Programmeinstellungen wird zusätzlich eine Wichtung der Berechtigungen angezeigt.
Tabelle 22: Bedeutung der Einträge im Kontextmenü im Bereich (2)
Zur Geschäftsrolle hinzufügen |
Die Identität/Berechtigung wird zur im Strukturbaum ausgewählten Geschäftsrolle hinzugefügt. |
Aus Geschäftsrolle entfernen |
Die Identität/Berechtigung wird aus der im Strukturbaum ausgewählten Geschäftsrolle entfernt. |
Vergleichen |
Die Identitäten werden miteinander verglichen. Die Anzeige erfolgt im Bereich 3. |
Zuweisungen markieren |
Die Zuweisungen der Identität/Berechtigung werden im Strukturbaum markiert. |
Eigenschaften |
Es werden weitere Eigenschaften des aktiven Objekts angezeigt. |
Durch eine Mehrfachauswahl in der Identitätenliste können Sie die Berechtigungsmitgliedschaften einzelner Identitäten im linken unteren Bereich (3) weiter analysieren und direkt mit anderen Identitäten vergleichen.
Um Mitgliedschaften von Identitäten zu vergleichen
TIPP: Durch die Auswahl einer Identität in diesem Bereich per Mausklick legen Sie diese Identität als Referenzidentität in der Anzeige fest. Die farbliche Ähnlichkeitskennung wird an dieser Identität ausgerichtet.