Tchater maintenant avec le support
Tchattez avec un ingénieur du support

Identity Manager 9.0 LTS - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 33: Konfigurationsparameter für die Synchronisation eines Privileged Account Management Systems

Konfigurationsparameter

Bedeutung bei Aktivierung

TargetSystem | PAG

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung von Privileged Account Management Systemen. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | PAG | Accounts

Erlaubt die Konfiguration der Angaben zu PAM Benutzerkonten.

TargetSystem | PAG | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo

Person, die E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird die E-Mail an die im Konfigurationsparameter TargetSystem | PAG | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.

TargetSystem | PAG | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | PAG | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | PAG | Accounts | PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte Benutzerkonten.

TargetSystem | PAG | Accounts | TransferJPegPhoto

Gibt an, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Personenstammdaten publiziert.

TargetSystem | PAG | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | PAG | PersonAutoDefault

Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | PAG | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | PAG | PersonAutoFullsync

Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | PAG | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

TargetSystem | PAG | UserObjectAccessThreshold

Grenzwert für die Anzahl privilegierter Zugriffsberechtigungen pro Benutzer, bei dessen Überschreiten der Risikoindex des Benutzers erhöht wird. Standard ist 20.

TargetSystem | PAG | HighRiskIndexThreshold

Risikoindexwerte, die höher als dieser Grenzwert sind, werden als hoch bewertet. Standard ist 0,5.

QER | ITShop | AutoPublish | PAGUsrGroup

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der automatischen Übernahme von PAM Benutzergruppen in den IT Shop. Ist der Parameter aktiviert, werden alle Benutzergruppen automatisch als Produkte dem IT Shop zugewiesen. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | ITShop | AutoPublish | PAGUsrGroup | ExcludeList

Auflistung aller PAM Benutzergruppen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Jeder Eintrag ist Bestandteil eines regulären Suchmusters und unterstützt die Notation für reguläre Ausdrücke.

Beispiel: .*Administrator.*|.*Admins|.*Operators

Standardprojektvorlage für One Identity Safeguard

Eine Standardprojektvorlage sorgt dafür, dass alle benötigten Informationen im One Identity Manager angelegt werden. Dazu gehören beispielsweise die Mappings, Workflows und das Basisobjekt der Synchronisation. Wenn Sie keine Standardprojektvorlage verwenden, müssen Sie das Basisobjekt der Synchronisation selbst im One Identity Manager bekannt geben.

Verwenden Sie eine Standardprojektvorlage für die initiale Einrichtung des Synchronisationsprojektes. Für kundenspezifische Implementierungen können Sie das Synchronisationsprojekt mit dem Synchronization Editor erweitern.

Die Projektvorlage verwendet Mappings für die folgenden Schematypen.

Tabelle 34: Abbildung der One Identity Safeguard Schematypen auf Tabellen im One Identity Manager Schema
Schematyp in der One Identity Safeguard Tabelle im One Identity Manager Schema
Appliance PAGAppliance
IdentityProvider PAGIdentityProvider

AuthenticationProvider

PAGAuthProvider

User PAGUser
UserGroup PAGUsrGroup
Entitlement PAGEntl
AccessRequestPolicy PAGReqPolicy
AcountGroup PAGAccGroup
Asset PAGAsset
AssetAccount PAGAstAccount
AssetGroup PAGAstGroup
Directory PAGDirectory
DirectoryAccount PAGDirAccount

Verarbeitung von One Identity Safeguard Systemobjekten

Folgende Tabelle beschreibt die zulässigen Verarbeitungsmethoden für die One Identity Safeguard Schematypen und benennt notwendige Einschränkungen bei der Verarbeitung der Systemobjekte.

Tabelle 35: Zulässige Verarbeitungsmethoden für Schematypen

Schematyp

Lesen

Einfügen

Löschen

Aktualisieren

Appliance (Appliance)

ja

nein

nein

nein

Benutzerkonto (User)

ja

ja

ja

ja

Benutzergruppe (UserGroup)

ja

nein

nein

ja

Identitätsanbieter(IdentityProvider)

ja

nein

nein

nein

Authentifizierungsanbieter(AuthenticationProvider)

ja

nein

nein

nein

Verzeichnis (Directory)

ja

nein

nein

nein

Verzeichniskonto

(DirectoryAccount)

ja

nein

nein

nein

Asset (Asset)

ja

nein

nein

nein

Konto (AssetAccount)

ja

nein

nein

nein

Assetgruppe(AssetGroup)

ja

nein

nein

nein

Kontogruppe (AccountGroup)

ja

nein

nein

nein

Nutzungsrecht (Entitlement)

ja

nein

nein

nein

Zugriffsanforderungsrichtlinie (AccessRequestPolicy)

ja

nein

nein

nein

Einstellungen des One Identity Safeguard Konnektors

Für die Systemverbindung mit dem One Identity Safeguard Konnektor werden die folgenden Einstellungen konfiguriert.

Tabelle 36: Einstellungen des One Identity Safeguard Konnektors

Einstellung

Beschreibung

Anzeigename der Appliance

Anzeigename der Appliance.

Variable: CP_ApplianceDisplay

Systembezeichner

Eindeutiger Bezeichner zur Identifizierung der Appliance.

Variable: CP_ApplianceID

VORSICHT: Der Systembezeichner muss die Appliance eindeutig beschreiben. Anhand der Systembezeichners werden die Appliances unterschieden. Die mehrfache Vergabe eines Bezeichners für unterschiedliche Appliances kann zu Fehlverhalten und Datenverlust führen.

Immer zu primärer Appliance im Cluster verbinden

Diese Option wird automatisch gesetzt, wenn beim Testen der Verbindungsdaten ein One Identity Safeguard Cluster erkannt wird. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, sollte diese Option aktiviert sein.

Variable: CP_ConnectPrimaryNode

Appliance Hostname oder IP

Hostname oder IP- Adresse der Appliance. Wenn Sie einen Cluster aus mehreren One Identity Safeguard Appliances verwenden, ist hier die primäre Appliance einzutragen.

Variable: CP_ApplianceHost

Fingerabdruck des vertrauenswürdigen Zertifikates

Fingerabdruck des vertrauenswürdigen Zertifikates, welches vom Synchronisationsbenutzer und vom Benutzerkonto des One Identity Manager Service genutzt wird.

Variable: CP_CertificateThumbprint

Ignoriere SSL Verbindungsfehler

Diese Option sollten Sie nur zu Testzwecken aktivieren, da hier potentiell Verbindungen vertraut wird, die nicht sicher sind.

Variable: CP_IgnoreSSLErrors

Standard: False

Cluster IPv4 Addresses

Semikolongetrennte Liste von IPv4 Adressen einer Umgebung aus mehreren Appliances (Cluster).

Variable: CP_ClusterIPv4Addresses

Cluster IPv6 Addresses

Semikolongetrennte Liste von IPv6 Adressen einer Umgebung aus mehreren Appliances (Cluster).

Variable: CP_ClusterIPv6Addresses

Konnektordefinition anpassen

Mit dieser Einstellung können Sie die Definition anpassen, die vom Konnektor verwendet wird.

WICHTIG: Die Konnektordefinition sollte nur mit Anweisungen eines Support-Mitarbeiters geändert werden. Änderungen an dieser Einstellung haben weitreichende Auswirkungen in der Synchronisation und müssen deshalb sehr vorsichtig behandelt werden.

HINWEIS: Eine angepasste Konnektordefinition wird nicht standardmäßig überschrieben, wenn eine neue Version des Konnektors beziehungsweise eine aktualisierte Konnektordefinition herausgegeben wird.

Documents connexes

The document was helpful.

Sélectionner une évaluation

I easily found the information I needed.

Sélectionner une évaluation