Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager
Mit dem One Identity Manager können die Personen in einem Unternehmen entsprechend ihrer Funktion mit Unternehmensressourcen, beispielsweise Berechtigungen oder Software, versorgt werden. Dafür werden im One Identity Manager die Unternehmensstrukturen in Form hierarchisch aufgebauter Rollen dargestellt.
Rollen sind Objekte über die Unternehmensressourcen zugewiesen werden können. Dazu werden Personen, Geräte und Arbeitsplätze den Rollen als Mitglieder zugeordnet. Bei entsprechender Konfiguration des One Identity Manager erhalten die Mitglieder über diese Rollen ihre Unternehmensressourcen.
Zuweisungen von Unternehmensressourcen werden somit nicht mehr zu jeder einzelnen Person, jedem Gerät oder jedem Arbeitsplatz vorgenommen, sondern an einer zentralen Stelle und dann automatisch an vorher definierte Verteiler vererbt.
Im One Identity Manager sind folgende Rollen zur Abbildung von Unternehmensstrukturen definiert:
-
Abteilungen, Kostenstellen und Standorte
Aufgrund ihrer besonderen Bedeutung für betriebliche Abläufe in vielen Unternehmen werden Abteilungen, Kostenstellen und Standorte in eigenständigen Hierarchien, unter dem Begriff Organisationen abgebildet.
-
Geschäftsrollen
Geschäftsrollen bilden Unternehmensstrukturen mit gleichartiger Funktionalität ab, die zusätzlich zu Abteilungen, Kostenstellen und Standorten existieren. Das können zum Beispiel Projektgruppen sein. Ausführliche Informationen zu Geschäftsrollen finden Sie im One Identity Manager Administrationshandbuch für Geschäftsrollen.
HINWEIS: Diese Funktion steht zur Verfügung, wenn das Geschäftsrollenmodul vorhanden ist.
-
Anwendungsrollen
Anwendungsrollen werden genutzt, um Bearbeitungsrechte auf die One Identity Manager Objekte an die One Identity Manager Benutzer zu vergeben. Ausführliche Informationen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Detaillierte Informationen zum Thema
Grundlagen für den Aufbau von hierarchischen Rollen
Abteilungen, Kostenstellen, Standorte und Anwendungsrollen werden hierarchisch angeordnet. Über diese Hierarchien werden die zugeordneten Unternehmensressourcen an ihre Mitglieder vererbt. Zuweisungen von Unternehmensressourcen werden somit nicht mehr zu jeder einzelnen Person, jedem Gerät oder jedem Arbeitsplatz vorgenommen, sondern an einer zentralen Stelle und dann automatisch an vorher definierte Verteiler vererbt.
Die Erstellung von Hierarchien kann im One Identity Manager entweder nach dem Top-Down-Modell oder Bottom-Up-Modell erfolgen. Beim Top-Down-Modell werden Rollen anhand von Aufgabengebieten definiert und die zur Erfüllung der Aufgaben benötigten Unternehmensressourcen den Rollen zugeordnet. Beim Bottom-Up-Modell werden die zugeordneten Unternehmensressourcen analysiert und daraus Rollen abgeleitet.
Detaillierte Informationen zum Thema
Vererbungsrichtungen innerhalb einer Hierarchie
Innerhalb einer Hierarchie entscheidet die Vererbungsrichtung über die Zuteilung der Unternehmensressourcen. Grundsätzlich kennt der One Identity Manager zwei Vererbungsrichtungen:
- Top-Down-Vererbung
Die Standardstruktur innerhalb eines Unternehmens wird im One Identity Manager über die Top-Down-Vererbung realisiert. Mit ihrer Hilfe wird beispielsweise die mehrstufige Gliederung eines Unternehmens in Hauptabteilungen und darunter liegende Fachabteilungen abgebildet.
- Bottom-Up-Vererbung
Während mit der Top-Down-Vererbung die Zuweisungen in Richtung der feineren Gliederung vererbt werden, wirkt die Bottom-Up-Vererbung in umgekehrter Richtung. Diese Vererbungsrichtung wurde besonders im Hinblick auf die Abbildung von Projektgruppen eingeführt. Das Ziel ist dabei, dem Koordinator mehrerer Projektgruppen die Unternehmensressourcen, mit denen die einzelnen Projektgruppen umgehen, zur Verfügung zu stellen.
HINWEIS: Die Vererbungsrichtung wird nur bei der Vererbung von Unternehmensressourcen beachtet. Auf die Ermittlung der verantwortlichen Manager hat die Vererbungsrichtung keinen Einfluss. Der Manager einer übergeordneten Rolle ist immer für alle untergeordneten Rollen verantwortlich.
Die Auswirkungen auf die Zuteilung der Unternehmensressourcen werden nachfolgend am Beispiel der Applikationszuweisung erläutert.
Beispiel für die Zuweisung von Unternehmensressourcen über Top-Down-Vererbung
Es wird ein Ausschnitt aus einer Unternehmensstruktur dargestellt. Zusätzlich sind Systemberechtigungen aufgeführt, die der jeweiligen Abteilung zugewiesen sind. Eine Person des Händlervertriebes erhält alle Systemberechtigungen, die ihrer Abteilung und allen Abteilungen auf dem Pfad zur Gesamtorganisation zugewiesen sind. In diesem Fall sind das die Azure Active Directory Gruppen 1 und 2 und die SharePoint Online Gruppen 1 und 2.
Abbildung 1: Zuweisung über Top-Down-Vererbung
Beispiel für die Zuweisung von Unternehmensressourcen über Bottom-Up-Vererbung
In der nachfolgenden Abbildung ist eine Bottom-Up-Vererbung im Rahmen eines Projektes angedeutet. Zusätzlich sind Software-Anwendungen aufgeführt, die der jeweiligen Projektgruppe zugewiesen sind. Eine Person der Projektgruppe "Projektleitung" erhält neben den Software-Anwendungen ihrer Projektgruppe alle Software-Anwendungen der ihr unterstellten Projektgruppen. In diesem Fall sind das Projektmanagement, CASE Tool, Entwicklungsumgebung, Assembler Tool und Prototyping Tool.
Abbildung 2: Zuweisung über Bottom-Up-Vererbung
Unterbrechen der Vererbung
In speziellen Fällen ist die Vererbung über mehrere Hierarchieebenen nicht gewünscht. Deshalb ist die Unterbrechung der Vererbung innerhalb einer Hierarchie möglich. An welcher Stelle der Hierarchie die Vererbung unterbrochen wird, wird mit der Option Vererbung blockieren festgelegt. In Abhängigkeit von der gewählten Vererbungsrichtung hat diese Festlegung unterschiedliche Auswirkungen.
- Bei einer Top-Down-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle keine Zuweisungen aus der übergeordneten Ebene. Sie vererbt die ihr direkt zugewiesenen Unternehmensressourcen ihrerseits jedoch an die ihr untergeordneten Ebenen weiter.
- In einer Bottom-Up-Vererbung erbt die mit der Option Vererbung blockieren versehene Rolle alle Zuweisungen der untergeordneten Ebenen. Die Rolle selbst vererbt jedoch keinerlei Zuweisungen weiter nach oben.
Die Option Vererbung blockieren hat keinen Einfluss auf die Berechnung der verantwortlichen Manager.
Beispiel für die Unterbrechung der Vererbung in einer Top-Down-Vererbung
Wird im Beispiel einer Top-Down-Vererbung für die Abteilung "Vertrieb" die Option Vererbung blockieren gesetzt, hat das zur Folge, dass eine Person in der Abteilung "Vertrieb" nur die SharePoint Online Gruppe 1 und eine Person in der Abteilung "Händlervertrieb" die SharePoint Online Gruppe 1 und 2 erbt. Die Systemberechtigungen der Abteilung "Gesamtorganisation" werden jedoch nicht an die Personen in den Abteilungen "Vertrieb" und "Händlervertrieb" zugewiesen.
Abbildung 3: Unterbrechung der Vererbung in einer Top-Down-Vererbung
Beispiel für die Unterbrechung der Vererbung in einer Bottom-Up-Vererbung
Eine Person der Projektgruppe "Programmierung" erhält neben den Software-Anwendungen seiner Projektgruppe alle Software-Anwendungen der ihr unterstellten Projektgruppen. In diesem Fall die Entwicklungsumgebung, Assembler Tool und Prototyping Tool. Wird die Projektgruppe "Programmierung" mit der Option Vererbung blockieren versehen, vererbt sie keine Zuweisungen weiter. In der Folge wird den Personen in der Projektgruppe "Projektleitung" neben der Software-Anwendung Projektmanagement nur das CASE Tool zugewiesen. Die Software-Anwendungen der Projektgruppen "Programmierung", "Systemprogrammierung" und "Interfacedesign" werden nicht an die Projektleitung vererbt.
Abbildung 4: Unterbrechung der Vererbung in einer Bottom-Up-Vererbung