Chat now with support
Chat mit Support

Identity Manager 9.2.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Identitäten Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM-Objekten im One Identity Manager
PAM Appliances PAM Benutzerkonten PAM Benutzergruppen PAM Assets PAM Assetgruppen PAM Assetkonten PAM Verzeichniskonten PAM Kontogruppen PAM Verzeichnisse PAM Partitionen PAM Nutzungsrechte PAM Zugriffsanforderungsrichtlinien Berichte über PAM-Objekte
PAM Zugriffsanforderungen Behandeln von PAM-Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Zertifikatsbasierte PAM Benutzerkonten erstellen

Die Benutzer eines zertifikatsbasierten PAM Benutzerkontos authentifizieren sich über ein Zertifikat am Privileged Account Management System.

Um ein zertifikatsbasiertes PAM Benutzerkonto zu erstellen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Tabreiter Allgemein erfassen Sie mindestens die folgenden Informationen:
    • Appliance: Appliance, zu der das Benutzerkonto gehört.

    • Identitätsanbieter: Wählen Sie den Wert Local.

    • Benutzername: Erfassen Sie den Namen zur Anzeige.

    • Authentifizierungsanbieter: Wählen Sie den Wert Certificate.

    • Zertifikatfingerabdruck (SHA-1): Geben Sie den eindeutigen Hash-Wert (40 hexadezimale Zeichen) des Zertifikats ein.

      HINWEIS: Sie können den Fingerabdruck-Wert direkt aus dem Zertifikat kopieren und einfügen, einschließlich der Leerzeichen.

    • Zeitzone: Zeitzone des Benutzers. Die Standardzeitzone ist UTC (Coordinated Universal Time).

  4. Speichern Sie die Änderungen.
Verwandte Themen

PAM Benutzerkonten für Verzeichnisbenutzer erstellen

Verzeichnisbenutzer sind Benutzerkonten aus einem externen Zielsystem wie beispielsweise Active Directory oder LDAP. Die Authentifizierung erfolgt über ein Benutzerkonto des jeweiligen Verzeichnisdienstes, beispielsweise Active Directory Benutzerkonto oder LDAP Benutzerkonto.

Verzeichnisbenutzer können Sie im One Identity Manager nur erstellen, wenn die Active Directory-Umgebung oder die LDAP-Umgebung in den One Identity Manager eingelesen ist.

Um ein PAM Benutzerkonto für Verzeichnisbenutzer zu erstellen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Tabreiter Allgemein erfassen Sie mindestens die folgenden Informationen:
    • Appliance: Appliance, zu der das Benutzerkonto gehört.

    • Identitätsanbieter: Basisdomäne des jeweiligen Verzeichnisdienstes.
    • Identifizierungsobjekt: Wählen Sie das Benutzerkonto aus dem Identitätsanbieter.

      1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld und erfassen Sie die folgenden Informationen:

        • Tabelle: Tabelle, in welcher die Benutzerkonten abgebildet werden. Die Tabelle ist vorausgewählt.

          Für ein Active Directory Benutzerkonto ist ADSAccount ausgewählt. Für ein LDAP Benutzerkonto ist LDAPAccount ausgewählt.

        • Identifizierungsobjekt: Wählen Sie das Benutzerkonto.
      2. Klicken Sie OK.

      Die Domäne, der Benutzername und der Anzeigename werden aus dem Benutzerkonto ermittelt.

    • Authentifizierungsanbieter: Wählen Sie, wie sich der Benutzer am Privileged Account Management System authentifiziert. Abhängig vom Authentifizierungsanbieter sind weitere Eingaben erforderlich.

      • <Verzeichnisname>: Wählen Sie die Active Directory Domäne oder die LDAP Domäne des Benutzerkontos.

        Für eine Active Directory Domäne können Sie optional festlegen, ob eine Zertifikatsauthentifizierung erforderlich ist. Aktivieren Sie die Option Zertifikatsauthentifizierung erforderlich wenn sich der Benutzer nur mit einem domänenausgestellten Benutzerzertifikat oder SmartCard anmelden kann.

      • <Externer Verbund>: Erfassen Sie die E-Mail-Adresse oder den Namensanspruch.

      • <RADIUS-Server>: Erfassen Sie den Anmeldenamen auf dem RADIUS-Server.

    • Zeitzone: Zeitzone des Benutzers. Die Standardzeitzone ist UTC (Coordinated Universal Time).

  4. Speichern Sie die Änderungen.

HINWEIS: Wenn Sie Kontendefinitionen einsetzen, um PAM Benutzerkonten für Identitäten zu erstellen, können Sie für eine PAM Appliance optional eine Active Directory Kontendefinition oder eine LDAP Kontendefinition als vorausgesetzte Kontendefinition festlegen. In diesem Fall wird für die Identität zunächst ein Active Directory oder LDAP Benutzerkonto erzeugt. Ist dieses Benutzerkonto vorhanden, wird das PAM Benutzerkonto als Verzeichnisbenutzer erstellt.

Verwandte Themen

Stammdaten für PAM Benutzerkonten bearbeiten

Sie können vorhandene Benutzerkonten im One Identity Manager bearbeiten.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Benutzerkontos.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Allgemeine Stammdaten für PAM Benutzerkonten

Erfassen Sie die folgenden allgemeinen Stammdaten.

Tabelle 21: Allgemeine Stammdaten eines Benutzerkontos

Eigenschaft

Beschreibung

Appliance

Appliance, zu der das Benutzerkonto gehört.

Identität

Identität, die das Benutzerkonto verwendet.

  • Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Identität bereits eingetragen.

  • Wenn Sie die automatische Identitätenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Identität gesucht und in das Benutzerkonto übernommen.

  • Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Identität aus der Auswahlliste wählen.

    In der Auswahlliste werden im Standard aktivierte und deaktivierte Identitäten angezeigt. Um deaktivierte Identitäten nicht in der Auswahlliste anzuzeigen, aktivieren Sie den Konfigurationsparameter QER | Person| HideDeactivatedIdentities.

HINWEIS: Wenn Sie eine deaktivierte Identität an ein Benutzerkonto zuordnen, wird das Benutzerkonto, abhängig von der Konfiguration, unter Umständen gesperrt oder gelöscht.

Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Identität erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Identitätenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.

Keine Verbindung mit einer Identität erforderlich

Gibt an, ob dem Benutzerkonto absichtlich keine Identität zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Identitätenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Identität verbunden werden muss (beispielsweise, wenn mehrere Identitäten das Benutzerkonto verwenden).

Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Identität verbunden sind, nach verschiedenen Kriterien gefiltert werden.

Nicht mit einer Identität verbunden

Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Identität erforderlich aktiviert ist. Mögliche Werte sind:

  • durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.

  • durch Attestierung: Das Benutzerkonto wurde attestiert.

  • durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Identität verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Identitätenzuordnung enthalten (Konfigurationsparameter PersonExcludeList).

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Identität und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Identität entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1).

Automatisierungsgrad

Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Identitätsanbieter

Quelle, aus der die identitätenbezogenen Daten des Benutzerkontos stammen. Zulässige Werte sind:

  • Local: Lokales PAM Benutzerkonto. Für dieses Benutzerkonten können Kontaktinformationen erfasst werden.

  • <Verzeichnisname>: Externer Identitätsanbieter. Basisdomäne des jeweiligen Verzeichnisdienstes, beispielsweise Active Directory oder LDAP. Kontaktinformationen werden aus dem Active Directory Benutzerkonto oder dem LDAP Benutzerkonto ermittelt.

    Diese Variante ist nur verfügbar, wenn die Active Directory Domäne oder die LDAP Domäne in den One Identity Manager eingelesen ist.

  • Starling: Starling als Identitätsanbieter.

Identifizierungsobjekt

Benutzerkonto im Active Directory oder LDAP.

Authentifizierungsanbieter

Gibt an, wie sich der Benutzer am Privileged Account Management System authentifiziert. Zulässige Werte sind:

  • Certificate: (Nur für lokale Identitätsanbieter) Die Authentifizierung erfolgt über ein Zertifikat.

  • Local: (Nur für lokale Identitätsanbieter) Die Authentifizierung erfolgt über Benutzername und Kennwort.

  • <Verzeichnisname>: (Nur für externe Identitätsanbieter) Domäne des Identifizierungsobjektes. Die Authentifizierung erfolgt über ein Benutzerkonto des jeweiligen Verzeichnisdienstes, beispielsweise Active Directory Benutzerkonto oder LDAP Benutzerkonto.

    Diese Variante ist nur verfügbar, wenn die Active Directory Domäne oder die LDAP Domäne in den One Identity Manager eingelesen ist.

  • <Externer Verbund>: Name des externen Verbundes. Die angegebene E-Mail-Adresse oder der Namensanspruch wird für die Authentifizierung verwendet.

  • <RADIUS Server>: Name des RADIUS-Servers. Die Authentifizierung erfolgt über den Anmeldenamen auf dem RADIUS-Server.

  • Starling: Authentifizierung über Starling Multifaktor-Authentifizierung. Die Authentifizierung erfolgt über die Objekt-ID des Azure Active Directory Benutzerkontos.

Benutzername

Benutzername des PAM Benutzerkontos.

Anmeldename

Anmeldename des PAM Benutzerkontos.

Kennwort

Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Identität kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Identität finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn Sie ein zufällig generiertes initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.

Hinweis: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt.

Bestätigung

Kennwortwiederholung.

Kennwort läuft nie ab

Gibt an, ob ein Kennwort abläuft. Diese Option wird in der Regel für Dienstkonten verwendet.

Kennwort bei der nächsten Anmeldung ändern

Gibt an, ob der Benutzer bei der nächsten Anmeldung das Kennwort anpassen muss.

Domäne

Domäne der Benutzerkontos.

Zertifikatsauthentifizierung erforderlich

Gibt an, ob der Benutzer sich nur mit einem domänenausgestellten Benutzerzertifikat oder SmartCard anmelden kann.

Zertifikatsfingerabdruck (SHA-1)

Eindeutiger Hash-Wert (40 hexadezimale Zeichen) des Zertifikats.

E-Mail-Adresse oder Namensanspruch

E-Mail-Adresse oder Namensanspruch des Benutzerkontos im externen Verbund.

Azure Active Directory Objekt-ID

Objekt-ID des Azure Active Directory Benutzerkontos.

Anzeigename

Anzeigename des PAM Benutzerkontos.

Letzte Anmeldung

Zeitpunkt der letzten Anmeldung am System.

Zeitzone

Zeitzone des Benutzers. Die Standardzeitzone ist UTC (Coordinated Universal Time).

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Identitätstyp

Typ der Identität des Benutzerkontos. Zulässige Werte sind:

  • Primäre Identität: Standardbenutzerkonto einer Identität.

  • Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

  • Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird.

  • Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

  • Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird. Weisen Sie alle Identitäten zu, die das Benutzerkonto nutzen.

  • Dienstidentität: Dienstkonto.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Privilegiertes Benutzerkonto

Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt.

Systemobjekt Kennzeichnet den Benutzer als Systembestandteil.
Benutzerkonto ist deaktiviert

Gibt an, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren.

Konto gesperrt

Gibt an, ob das Benutzerkonto gesperrt ist. Abhängig von der Konfiguration wird nach mehrmaliger falscher Kennworteingabe das Benutzerkonto im Privileged Account Management System gesperrt.

Angelegt am

Zeitpunkt, an dem das Benutzerkonto erstellt wurde.
Angelegt von Benutzer, der das Benutzerkonto erstellt hat.
Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen