Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für das Zielsystem-Basismodul

Grundlagen zur Behandlung von Identitäten und Benutzerkonten Der Unified Namespace

Suchkriterien für die Identitätenzuordnung definieren

Abbildung 5: Suchkriterien für die Identitätenzuordnung

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Identitätenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Um ein neues Suchkriterium für die Identitätenzuordnung zu definieren:

  1. Wählen Sie im Manager die Kategorie Zielsystemtyp > <Zielsystem>.

  2. Wählen Sie in der Ergebnisliste das Zielsystem und führen Sie die Aufgabe Suchkriterien für die Identitätenzuordnung definieren aus.

  3. Wählen Sie eine Objektdefinition für das Mapping aus.

    HINWEIS: Die Objektdefinitionen für Benutzerkonten, auf welche die Suchkriterien angewendet werden können, sind vordefiniert. Sollten Sie weitere Objektdefinitionen benötigen, um beispielsweise die Vorauswahl der Benutzerkonten weiter einzuschränken, erzeugen Sie im Designer die entsprechenden kundenspezifische Objektdefinitionen. Ausführliche Informationen finden Sie im One Identity Manager Konfigurationshandbuch.

    1. Um eine Objektdefinition hinzuzufügen, klicken Sie Hinzufügen > Kriterium. Wählen Sie über die Auswahlliste Anwenden auf die Objektdefinition aus, für die das Suchkriterium definiert werden soll.

      Wenn Sie keine Objektdefinition auswählen, wird das Suchkriterium auf alle Benutzerkonten angewendet.

    2. Um die Objektdefinition eines vorhandenen Suchkriteriums zu ändern, markieren Sie im Bereich Suchkriterien das Suchkriterium. Wählen Sie über die Auswahlliste Anwenden auf die Objektdefinition aus, für den das Suchkriterium definiert werden soll.

      Wenn die bestehende Auswahl entfernt wird, wird das Suchkriterium auf alle Benutzerkonten angewendet.

  4. Wählen Sie die Objekteigenschaften für das Mapping aus.

    • Spalte an Identität: Wählen Sie die Spalte an der Tabelle Person, auf der die Suche ausgeführt wird.

    • Spalte am Benutzerkonto: Wählen Sie die Spalte an der Benutzerkonten-Tabelle, die den Wert für die Suche einer Identität liefert.

  5. Definieren Sie Formatregeln, um das Suchkriterium einzuschränken.

    Wählen Sie im Menü Format hinzufügen eine Formatvorlage aus. Definieren Sie Formatregeln, die auf die zu suchende Zeichenkette angewendet werden sollen. Es können mehrere Formatvorlagen kombiniert werden.

    Tabelle 3: Formatvorlagen
    Formatvorlage Bedeutung

    Zeichenbereich

    Zeichen der Zeichenkette, die als Suchkriterium genutzt werden sollen.

    Beschneide auf feste Länge

    Länge der zu suchenden Zeichenkette fest. Damit die feste Länge erreicht wird, kann die Zeichenkette am Beginn oder am Ende mit Füllzeichen ergänzt werden.

    Führende oder folgende Zeichen entfernen

    Zeichen, die am Anfang oder am Ende der Zeichenkette entfernt werden sollen. Die verbleibende Zeichenkette bildet das Suchkriterium.

    Zerteile Wert

    Zeichen, bei welchem die Zeichenkette geteilt werden soll und welcher der verbleibenden Teile als Suchkriterium genutzt werden soll.

  6. Testen Sie die Formatregeln.

    Erfassen Sie im Bereich Formatierungsvorschau eine Zeichenkette, auf welche die Formatierung angewendet wird. So können Sie die Auswirkungen Ihrer Formatierung auf das Suchkriterium testen.

  7. Wenden Sie die Formatregeln an.

    Aktivieren Sie Formatierung anwenden an den Spalten, für die das Suchkriterium eingeschränkt werden soll.

  8. Speichern Sie die Änderungen.

Für ein Suchkriterium können verschiedene Objekteigenschaften verknüpft werden. Dabei können sowohl UND- als auch ODER-Verknüpfungen realisiert werden.

Beispiel: UND-Verknüpfung

Um Identitäten an Notes Benutzerkonten zuzuordnen, müssen sowohl der Nachname als auch der Vorname von Identität und Benutzerkonto identisch sein. Folgende Tabellenspalten werden gemappt:

UND

Person.Firstname – NotesUser.Firstname

Person.LastName – NotesUser.LastName

Beispiel: ODER-Verknüpfung

Um Identitäten an Active Directory Benutzerkonten zuzuordnen, müssen entweder das zentrale Benutzerkonto der Identität und der Anmeldename des Benutzerkontos identisch sein oder der vollständige Name der Identität und der Anzeigename des Benutzerkontos. Folgende Tabellenspalten werden gemappt:

ODER

Person.CentralAccount – ADSAccount.SAMAccountName

Person.InternalName – ADSAccount.DisplayName

Um Objekteigenschaften für ein Suchkriterium zu verknüpfen

  1. Markieren Sie im Bereich Suchkriterien den Operator, zu dem eine weitere Objekteigenschaft hinzugefügt werden soll. Klicken Sie Operator ändern, um den Operator für die Verknüpfung auszuwählen.

  2. Klicken Sie Hinzufügen > Kriterium.

  3. Wählen Sie die Objekteigenschaften für das Mapping aus.

  4. Definieren Sie Formatregeln und wenden Sie diese an.

  5. Wenn Sie Verknüpfungen verschachteln wollen, klicken Sie Hinzufügen > UND-Operator oder Hinzufügen > ODER-Operator und führen Sie die Schritte 2 bis 4 erneut aus.

  6. Speichern Sie die Änderungen.

Um ein Suchkriterium zu löschen

  1. Markieren Sie das Suchkriterium und klicken Sie Entfernen.

  2. Speichern Sie die Änderungen.
Verwandte Themen

Identitäten suchen und direkt an Benutzerkonten zuordnen

Anhand der Suchkriterien können Sie eine Vorschlagsliste für die Zuordnung von Identitäten an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

  • Vorgeschlagene Zuordnungen: Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Identität zuordnen kann. Dazu werden die Identitäten angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.

  • Zugeordnete Benutzerkonten: Die Ansicht listet alle Benutzerkonten auf, denen eine Identität zugeordnet ist.

  • Ohne Identitätenzuordnung: Die Ansicht listet alle Benutzerkonten auf, denen keine Identität zugeordnet ist und für die über die Suchkriterien keine passende Identität ermittelt werden kann.

HINWEIS: Um deaktivierte Benutzerkonten oder deaktivierte Identitäten in den Ansichten anzuzeigen, aktivieren Sie die Option Auch gesperrte Benutzerkonten werden verbunden.

Wenn Sie eine deaktivierte Identität an ein Benutzerkonto zuordnen, wird das Benutzerkonto, abhängig von der Konfiguration, unter Umständen gesperrt oder gelöscht.

Um Suchkriterien auf die Benutzerkonten anzuwenden

  • Im unteren Bereich des Formulars Suchkriterien für die Identitätenzuordnung definieren klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Identität geöffnet und Sie können die Stammdaten einsehen.

Durch die Zuordnung von Identitäten an die Benutzerkonten entstehen verbundene Benutzerkonten (Zustand Linked). Um verwaltete Benutzerkonten zu erhalten (Zustand Linked configured), können Sie gleichzeitig eine Kontendefinition zuordnen.

Um Identitäten direkt an Benutzerkonten zuzuordnen

  • Klicken Sie Vorgeschlagene Zuordnungen.

    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Identität zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.

    2. (Optional) Wählen Sie im Auswahlfeld Diese Kontendefinition zuweisen eine Kontendefinition und im Auswahlfeld Diesen Automatisierungsgrad zuweisen einen Automatisierungsgrad.

    3. Klicken Sie Ausgewählte zuweisen.

    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Identitäten zugeordnet. Wenn eine Kontendefinition ausgewählt wurde, wird diese an alle ausgewählten Benutzerkonten zugeordnet.

    - ODER -

  • Klicken Sie Ohne Identitätenzuordnung.

    1. Klicken Sie Identität auswählen für das Benutzerkonto, dem eine Identität zugeordnet werden soll. Wählen Sie eine Identität aus der Auswahlliste.

    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Identitäten zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.

    3. (Optional) Wählen Sie im Auswahlfeld Diese Kontendefinition zuweisen eine Kontendefinition und im Auswahlfeld Diesen Automatisierungsgrad zuweisen einen Automatisierungsgrad.

    4. Klicken Sie Ausgewählte zuweisen.

    5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Identitäten zugeordnet, die in der Spalte Identität angezeigt werden. Wenn eine Kontendefinition ausgewählt wurde, wird diese an alle ausgewählten Benutzerkonten zugeordnet.

Um Zuordnungen zu entfernen

  • Klicken Sie Zugeordnete Benutzerkonten.

    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Zuordnungen zu Identitäten entfernt werden soll. Mehrfachauswahl ist möglich.

    2. Klicken Sie Ausgewählte entfernen.

    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Identitäten entfernt.

Anpassen der Skripte für die automatische Identitätenzuordnung

Die automatische Identitätenzuordnung wird durch Skripte gesteuert. Diese Skripte ordnen im Modus SEARCH anhand der definierten Suchkriterien vorhandene Identitäten an die Benutzerkonten zu. Darüber hinaus definieren die Skripte für den Modus CREATE die Eigenschaften, die bei Erzeugung einer neuen Identität initialisiert werden. Diese Skripte sind in einer One Identity Manager Standardinstallation für jeden Zielsystemtyp implementiert. Der Name der Skripte lautet:

<Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp>

wobei:

<Zielsystemtyp> = Kurzbezeichnung des angesprochenen Zielsystemtyps

<Kontotyp> = Tabelle, welche die Benutzerkonten enthält

TIPP: Um die Suchkriterien für die automatische Identitätenzuordnung oder die Eigenschaften der neu zu erzeugenden Identitäten zu erweitern, können Sie die Skripte unternehmensspezifisch anpassen. Die Skripte sind überschreibbar. Erstellen Sie dafür eine Kopie eines vorhandenen Skripts und erweitern Sie die Kopie unternehmensspezifisch.

Bei der automatischen Identitätenzuordnung im Modus CREATE werden einige Eigenschaften des Benutzerkontos an die neue Identität übergeben. Diese Identitäteneigenschaften werden ebenfalls über die Skripte definiert. Die Initialisierung von Eigenschaften bei der Erzeugung einer Identität zu einem Benutzerkonto erfolgt dabei über die Auswertung der Einträge in der Tabelle DialogNotification. In dieser Tabelle werden die über Bildungsregeln verbundenen Eigenschaften als Sender-Empfänger-Paar abgebildet. Die Auswertung der Einträge in DialogNotification ist nachfolgend beispielhaft für die Initialisierung des Nachnamens einer Identität erläutert.

Beispiel:

Der Nachname eines Active Directory Benutzerkontos wird aus dem Nachnamen der Identität gebildet.

Bildungsregel auf ADSAccount.Surname:

Value = $FK(UID_Person).Lastname$

Erfolgt eine Änderung des Nachnamens der Identität wird der Nachname des Active Directory Benutzerkontos ebenfalls geändert. Die Spalte Person.Lastname ist somit der Sender und die Spalte ADSAccount.Surname ist der Empfänger.

Beziehung laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Surname

Die Tabelle DialogNotification kann beim Initialisieren der Eigenschaften einer neuen Identität zur Hilfe genommen werden, indem diese Beziehungen rückwärts aufgelöst werden. Der Nachname der Identität kann durch den Nachnamen des Active Directory Benutzerkontos bestückt werden. Damit können also bereits einige Vorbesetzungen für die Identität automatisch generiert werden. Allerdings können nur eineindeutige Beziehungen aufgelöst werden.

Beispiel:

Der Anzeigename eines Active Directory Benutzerkontos soll aus dem Nachnamen und dem Vornamen einer Identität gebildet werden.

Beziehungen laut Tabelle DialogNotification:

Person.Lastname -- > ADSAccount.Displayname

Person.Firstname -- > ADSAccount.Displayname

Hier können Person.Firstname und Person.Lastname nicht aus ADSAccount.Displayname ermittelt werden, da dieser ein zusammengesetzter Wert ist.

Um das Mapping von Benutzerkontoeigenschaften auf Identitäteneigenschaften zu erleichtern, können Sie das Skript TSB_PersonAuto_GetPropMappings nutzen. Das Skript wertet die Beziehungen von Eigenschaften unter Nutzung der Tabelle DialogNotification aus. Das Skript erzeugt bei Ausführung über den System Debugger einen VB.Net Skriptcode mit den möglichen Zuweisungen. Diesen Code können Sie dann in das jeweilige Skript <Zielsystemtyp>_PersonAuto_Mapping_<Kontotyp> einfügen.

Beispiel: Ausgabe des Skripts TSB_PersonAuto_GetPropMappings

' PROPERTY MAPPINGS ADSAccount - Person

' ADSAccount.Initials -- > Person.Initials

' ADSAccount.Locality-- > Person.City

...

Try

myPers.PutValue("Initials", myAcc.GetValue("Initials").String)

Catch ex As Exception

End Try

Try

myPers.PutValue("City", myAcc.GetValue("Locality").String)

Catch ex As Exception

End Try

...

Deaktivieren und Löschen von Identitäten und Benutzerkonten

Der Umgang mit Identitäten, vor allem beim dauerhaften oder zeitweisen Ausscheiden einer Identität aus dem Unternehmen, wird in den einzelnen Unternehmen unterschiedlich gehandhabt. Es gibt Unternehmen, die Identitäten nie löschen, sondern nur deaktivieren, wenn sie das Unternehmen verlassen. Andere Unternehmen wollen Identitäten löschen, jedoch erst dann, wenn sichergestellt ist, dass alle Benutzerkonten gelöscht wurden. Auch für die Gruppenmitgliedschaften der Benutzerkonten können unterschiedliche Anforderungen gelten.

Wie Benutzerkonten und ihre Gruppenmitgliedschaften behandelt werden, wenn Identitäten deaktiviert oder gelöscht werden, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Es gelten folgende Szenarien:

  • Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

  • Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Detaillierte Informationen zum Thema
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen