Tchater maintenant avec le support
Tchattez avec un ingénieur du support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Berichte über Azure Active Directory Objekte

One Identity Manager stellt verschiedene Berichte zur Verfügung, in denen Informationen über das ausgewählte Basisobjekt und seine Beziehungen zu anderen Objekten der One Identity Manager-Datenbank aufbereitet sind. Für Azure Active Directory stehen folgende Berichte zur Verfügung.

HINWEIS: Abhängig von den vorhandenen Modulen können weitere Berichte zur Verfügung stehen.

Tabelle 44: Berichte zur Datenqualität eines Zielsystems

Bericht

Bereitgestellt für

Beschreibung

Übersicht anzeigen

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto und die zugewiesenen Berechtigungen.

Übersicht anzeigen (inklusive Herkunft)

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto und die Herkunft der zugewiesenen Berechtigungen.

Übersicht anzeigen (inklusive Historie)

Benutzerkonto

Der Bericht zeigt einen Überblick über das Benutzerkonto einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Überblick über die Lizenz

Benutzerkonto

Der Bericht enthält eine Zusammenfassung der zugewiesenen und effektiven Abonnements und Dienstpläne für ein Benutzerkonto.

Überblick über die Lizenz

Abonnement

Der Bericht zeigt einen Überblick über die Lizenz eines Abonnements. Es wird angezeigt, an welche Gruppen und Benutzerkonten das Abonnement zugewiesen ist und welche Dienstpläne für die Gruppen und die Benutzerkonten effektiv wirken.

Übersicht aller Zuweisungen

Gruppe

Abonnement

Administratorrolle

Der Bericht ermittelt alle Rollen, in denen sich Identitäten befinden, welche die ausgewählte Systemberechtigung besitzen.

Übersicht anzeigen

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung und ihre Zuweisungen.

Übersicht anzeigen (inklusive Herkunft)

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung und die Herkunft der zugewiesenen Benutzerkonten.

Übersicht anzeigen (inklusive Historie)

Gruppe

Der Bericht zeigt einen Überblick über die Systemberechtigung einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Abweichende Systemberechtigungen anzeigen

Mandant

Der Bericht enthält alle Systemberechtigungen, die aus manuellen Operationen im Zielsystem resultieren und nicht aus der Provisionierung über den One Identity Manager.

Benutzerkonten anzeigen (inklusive Historie)

Mandant

Der Bericht liefert alle Benutzerkonten mit ihren Berechtigungen einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Benutzerkonten mit einer überdurchschnittliche Anzahl an Systemberechtigungen anzeigen

Mandant

Der Bericht enthält alle Benutzerkonten, die eine überdurchschnittliche Anzahl an Systemberechtigungen besitzen.

Identitäten mit mehreren Benutzerkonten anzeigen

Mandant

Der Bericht zeigt alle Identitäten, die mehrere Benutzerkonten besitzen. Der Bericht enthält eine Risikoeinschätzung.

Systemberechtigungen anzeigen (inklusive Historie)

Mandant

Der Bericht zeigt die Systemberechtigungen mit den zugewiesenen Benutzerkonten einschließlich eines historischen Verlaufs.

Wählen Sie das Datum, bis zu dem die Historie angezeigt werden soll (Min. Datum). Ältere Änderungen und Zuordnungen, die vor diesem Datum entfernt wurden, werden in dem Bericht nicht dargestellt.

Übersicht aller Zuweisungen

Mandant

Der Bericht ermittelt alle Rollen, in denen sich Identitäten befinden, die im ausgewählten Zielsystem mindestens ein Benutzerkonto besitzen.

Ungenutzte Benutzerkonten anzeigen

Mandant

Der Bericht enthält alle Benutzerkonten, die in den letzten Monaten nicht verwendet wurden.

Unverbundene Benutzerkonten anzeigen

Mandant

Der Bericht zeigt alle Benutzerkonten, denen keine Identität zugeordnet ist.

Tabelle 45: Zusätzliche Berichte für das Zielsystem

Bericht

Beschreibung

Azure Active Directory Benutzerkonten- und Gruppenverteilung

Der Bericht enthält eine Zusammenfassung zur Benutzerkonten- und Gruppenverteilung aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Datenqualität der Azure Active Directory Benutzerkonten

Der Bericht enthält verschiedenen Auswertungen zur Datenqualität der Benutzerkonten aller Mandanten. Den Bericht finden Sie in der Kategorie Mein One Identity Manager.

Behandeln von Azure Active Directory Objekten im Web Portal

Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.

  • Managen von Benutzerkonten und Identitäten

    Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität, beispielsweise einen Manager, wird das Benutzerkonto angelegt.

  • Managen von Zuweisungen von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen

    Mit der Zuweisung von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen an ein IT Shop Regal können diese Produkte von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität wird die Gruppe, die Administratorrolle, das Abonnement oder der unwirksame Dienstplan zugewiesen.

    Im IT Shop sind die Regale Identity & Access Lifecycle > Azure Active Directory Gruppen, Identity & Access Lifecycle > Azure Active Directory Abonnements und Identity & Access Lifecycle > Unwirksame Azure Active Directory Dienstpläne vorhanden.

    Manager und Administratoren von Organisationen können im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.

    Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Geschäftsrollen sind.

    Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Systemrollen zuweisen. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, denen diese Systemrollen zugewiesen sind.

  • Attestierung

    Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.

  • Governance Administration

    Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.

    Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.

  • Risikobewertung

    Über den Risikoindex von Gruppen, Administratorrollen und Abonnements kann das Risiko von Zuweisungen für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.

  • Berichte und Statistiken

    Das Web Portal stellt verschiedene Berichte und Statistiken über die Identitäten, Benutzerkonten, deren Berechtigungen und Risiken bereit.

Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von Azure Active Directory Benutzerkonten und Identitäten, Managen von Mitgliedschaften in Azure Active Directory Gruppen, Managen von Zuweisungen von Azure Active Directory Administratorrollen, Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen und in folgenden Handbüchern:

  • One Identity Manager Web Designer Web Portal Anwenderhandbuch

  • One Identity Manager Administrationshandbuch für Attestierungen

  • One Identity Manager Administrationshandbuch für Complianceregeln

  • One Identity Manager Administrationshandbuch für Unternehmensrichtlinien

  • One Identity Manager Administrationshandbuch für Risikobewertungen

Empfehlungen für Verbund-Umgebungen

HINWEIS: Für die Unterstützung von Verbund-Umgebungen im One Identity Manager müssen folgende Module vorhanden sein:

  • Active Directory Modul

  • Azure Active Directory Modul

In einer Verbund-Umgebung sind die lokalen Active Directory Benutzerkonten mit Azure Active Directory Benutzerkonten verbunden. Die Verbindung erfolgt über die Eigenschaft ms-ds-consistencyGUID am Active Directory Benutzerkonto und die Eigenschaft immutableId am Azure Active Directory Benutzerkonto. Die Synchronisation der Active Directory Benutzerkonten und Azure Active Directory Benutzerkonten in der Verbund-Umgebung übernimmt Azure AD Connect. Ausführliche Informationen zu Azure AD Connect finden Sie in der Azure Active Directory Dokumentation von Microsoft.

Im One Identity Manager wird die Verbindung über die Azure AD Connect Anker-ID des Active Directory Benutzerkontos (ADSAccount.MSDsConsistencyGuid) und den unveränderlichen Bezeichner des Azure Active Directory Benutzerkontos (AADUser.OnPremImmutableId) abgebildet.

Einige der zielsystemrelevanten Eigenschaften von Azure Active Directory Benutzerkonten, die mit lokalen Active Directory Benutzerkonten verbunden sind, können im One Identity Manager nicht bearbeitet werden. Die Zuweisung von Berechtigungen an Azure Active Directory Benutzerkonten im One Identity Manager ist jedoch möglich.

Zuweisungen zu Azure Active Directory Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.

Der One Identity Manager unterstützt folgende Szenarien für Verbund-Umgebungen.

Szenario 1
  1. Die Active Directory Benutzerkonten werden im One Identity Manager erstellt und in die lokale Active Directory-Umgebung provisioniert.

  2. Azure AD Connect erzeugt die Azure Active Directory Benutzerkonten im Azure Active Directory Mandanten.

  3. Die Azure Active Directory Synchronisation liest die Azure Active Directory Benutzerkonten in den One Identity Manager ein.

Dieses Szenario ist das empfohlene Vorgehen. Das Erzeugen eines Azure Active Directory Benutzerkontos über Azure AD Connect und das anschließende Einlesen in den One Identity Manager dauern in der Regel einige Zeit. Die Azure Active Directory Benutzerkonten sind nicht sofort im One Identity Manager verfügbar.

Szenario 2
  1. Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden im One Identity Manager erstellt.

    Dabei wird die Verbindung über die Spalten ADSAccount.MSDsConsistencyGuid und AADUser.OnPremImmutableId hergestellt. Dies kann über kundenspezifische Skripte oder kundenspezifische Bildungsregeln erfolgen.

  2. Die Active Directory Benutzerkonten und die Azure Active Directory Benutzerkonten werden unabhängig voneinander in ihre Zielumgebungen provisioniert.

  3. Azure AD Connect erkennt die Verbindung zwischen den Benutzerkonten, stellt die Verbindung auch in der Verbund-Umgebung her und aktualisiert die erforderlichen Eigenschaften.

  4. Die nächste Azure Active Directory Synchronisation aktualisiert die Azure Active Directory Benutzerkonten im One Identity Manager.

Mit diesem Szenario sind die Azure Active Directory Benutzerkonten sofort im One Identity Manager vorhanden und können ihre Berechtigungen erhalten.

HINWEIS:

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen die Kontendefinition für Active Directory als vorausgesetzte Kontendefinition in der Kontendefinition für Azure Active Directory einzutragen.

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen im Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend mit dem Wert Nur initial verwenden. Die Daten werden in diesem Fall nur initial ermittelt.

  • Nachträgliche Änderungen der Azure Active Directory Benutzerkonten per Bildungsregeln sollten nicht erfolgen, da einige der Zielsystem-relevanten Eigenschaften nicht bearbeitbar sind und es zu Fehlermeldungen kommen kann:

    [Exception]: ServiceException occured

    Code: Request_BadRequest

    Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

    [ServiceException]: Code: Request_BadRequest - Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

 

Verwandte Themen

Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung

Für die Verwaltung einer Azure Active Directory-Umgebung im One Identity Manager sind folgende Basisdaten relevant.

  • Zielsystemtypen

    Zielsystemtypen werden für die Konfiguration des Zielsystemabgleichs benötigt. An den Zielsystemtypen werden die Tabellen gepflegt, die ausstehende Objekte enthalten können. Es werden Einstellungen für die Provisionierung von Mitgliedschaften und die Einzelobjektsynchronisation vorgenommen. Zusätzlich dient der Zielsystemtyp zur Abbildung der Objekte im Unified Namespace.

    Weitere Informationen finden Sie unter Ausstehende Objekte nachbehandeln.

  • Zielsystemverantwortliche

    Im One Identity Manager ist eine Standardanwendungsrolle für die Zielsystemverantwortlichen vorhanden. Weisen Sie dieser Anwendungsrolle die Identitäten zu, die berechtigt sind, alle Mandanten im One Identity Manager zu bearbeiten.

    Wenn Sie die Berechtigungen der Zielsystemverantwortlichen auf einzelne Mandanten einschränken wollen, definieren Sie weitere Anwendungsrollen. Die Anwendungsrollen müssen der Standardanwendungsrolle untergeordnet sein.

    Weitere Informationen finden Sie unter Zielsystemverantwortliche für Azure Active Directory.

  • Server

    Für die Verarbeitung der Azure Active Directory-spezifischen Prozesse im One Identity Manager müssen die Server mit ihren Serverfunktionen bekannt sein. Dazu gehört beispielsweise der Synchronisationsserver.

    Ausführliche Informationen zum Bearbeiten von Jobservern für Azure Active Directory finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung.

Documents connexes

The document was helpful.

Sélectionner une évaluation

I easily found the information I needed.

Sélectionner une évaluation