Tchater maintenant avec le support
Tchattez avec un ingénieur du support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer Universal Cloud Interface-Umgebung

Verwalten einer Universal Cloud Interface-Umgebung Synchronisieren einer Cloud-Anwendung im Universal Cloud Interface
Einrichten der Initialsynchronisation mit einer Cloud-Anwendung im Universal Cloud Interface Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach der Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Provisionierung von Objektänderungen Managen von Cloud Benutzerkonten und Personen Managen der Zuweisungen von Cloud Gruppen und Cloud Systemberechtigungen Bereitstellen von Anmeldeinformationen für Cloud Benutzerkonten Abbildung von Cloud-Objekten im One Identity Manager
Cloud Zielsysteme Containerstrukturen Cloud Benutzerkonten Cloud Gruppen Cloud Systemberechtigungen Cloud Berechtigungselemente Berichte über Objekte in Cloud Zielsystemen
Behandeln von Cloud-Objekten im Web Portal Basisdaten für die Verwaltung einer Universal Cloud Interface-Umgebung Konfigurationsparameter für die Verwaltung von Cloud Zielsystemen Standardprojektvorlage für Cloud-Anwendungen im Universal Cloud Interface

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

  • Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | CSM | Accounts | PrivilegedAccount | SAMAccountName_Prefix.

  • Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | CSM | Accounts | PrivilegedAccount | SAMAccountName_Postfix.

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen als privilegiert gekennzeichnet werden. Passen Sie bei Bedarf den Zeitplan im Designer an.

Verwandte Themen

Löschverzögerung für Benutzerkonten der Cloud Zielsysteme festlegen

Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich.

Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.

  • Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.

  • Zielsystemspezifische Löschverzögerung: Die Löschverzögerung kann je Zielsystem individuell konfiguriert werden. Diese Löschverzögerung überschreibt die globale Löschverzögerung.

    Um eine individuelle Löschverzögerung je Zielsystem zu ermöglichen

    1. Konfigurieren Sie im Manager die Löschverzögerungen für die Zielsysteme.

      1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > Basisdaten zur Konfiguration > Cloud Zielsysteme.

      2. Wählen Sie in der Ergebnisliste ein Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.

      3. Auf dem Tabreiter Allgemein erfassen Sie unter Löschverzögerung [Tage] die Löschverzögerung für das Zielsystem in Tagen.

      4. Speichern Sie die Änderungen.
    2. Erstellen Sie im Designer für die Tabelle CSMUser ein Skript (Löschverzögerung).

      Beispiel:

      Die Löschverzögerung der Benutzerkonten in einem Cloud Zielsystem soll von der Löschverzögerung des Zielsystems (CSMRoot.DeleteDelayDays) abhängig sein. An der Tabelle CSMUser wird folgendes Skript eingetragen.

      If $FK(UID_CSMRoot).DeleteDelayDays:Int$ > 0 Then

      Value = $FK(UID_CSMRoot).DeleteDelayDays:Int$

      End If

  • Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.

    Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle CSMUser ein Skript (Löschverzögerung).

    Beispiel:

    Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.

    If $IsPrivilegedAccount:Bool$ Then

    Value = 10

    End If

Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Managen der Zuweisungen von Cloud Gruppen und Cloud Systemberechtigungen

Gruppen und Systemberechtigungen bilden die Objekte ab, über die in der Cloud-Anwendung der Zugriff auf die Cloud-Ressourcen gesteuert wird. Ein Benutzerkonto erhält durch die Zuweisung zu Gruppen und Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Cloud-Ressourcen.

Im One Identity Manager können Sie Cloud Gruppen und Systemberechtigungen direkt an die Benutzerkonten zuweisen oder über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen vererben. Des Weiteren können Benutzer die Gruppen und Systemberechtigungen über das Web Portal bestellen. Dazu werden die Gruppen und Systemberechtigungen im IT Shop bereitgestellt.

Detaillierte Informationen zum Thema

Typen von Systemberechtigungen in Cloud Zielsystemen

Viele Cloud-Anwendungen nutzen verschiedene Berechtigungstypen, um Benutzerberechtigungen zu administrieren. Das können neben Gruppen beispielsweise auch Rollen oder Berechtigungssets sein. Über Synchronisationsprojekte, die mit der Standard-Projektvorlage erstellt wurden, werden die verschiedenen Typen folgendermaßen im One Identity Manager abgebildet.

Tabelle 16: Abbildung von Systemberechtigungen im Modul Cloud Systems Management

Tabelle im Universal Cloud Interface

Tabelle im Modul Cloud Systems Management

Anzeigename

UCIGroup

CSMGroup

Gruppen

UCIGroup1

CSMGroup1

Systemberechtigungen 1

UCIGroup2

CSMGroup2

Systemberechtigungen 2

UCIGroup3

CSMGroup3

Systemberechtigungen 3

UCIItem

CSMItem

Berechtigungselemente

Ein Benutzerkonto erhält über seine Zuweisungen zu den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen. Abhängig vom Zielsystem werden die Zuweisungen entweder an den Benutzerkonten (benutzerbasierte Zuweisung) oder an den Systemberechtigungen (berechtigungsbasierte Zuweisung) gepflegt. Beim Einrichten der Synchronisation mit der Standard-Projektvorlage ermittelt der Universal Cloud Interface Konnektor, an welchem Objekttyp die Zuweisungen gespeichert sind. Die Zuweisungen werden in den folgenden Tabellen abgebildet:

Tabelle 17: Benutzerbasierte Zuweisung

CSMUserHasGroup

Gruppen: Zuweisungen zu Benutzerkonten

CSMUserHasGroup1

Systemberechtigungen 1: Zuweisungen zu Benutzerkonten

CSMUserHasGroup2

Systemberechtigungen 2: Zuweisungen zu Benutzerkonten

CSMUserHasGroup3

Systemberechtigungen 3: Zuweisungen zu Benutzerkonten

CSMUserHasItem

Benutzerkonten: Zuweisungen Berechtigungselemente

Tabelle 18: Berechtigungsbasierte Zuweisung

CSMUserInGroup

Benutzerkonten: Zuweisungen zu Gruppen

CSMUserInGroup1

Benutzerkonten: Zuweisungen zu Systemberechtigungen 1

CSMUserInGroup2

Benutzerkonten: Zuweisungen zu Systemberechtigungen 2

CSMUserInGroup3

Benutzerkonten: Zuweisungen zu Systemberechtigungen 3

Zuweisungen zu Berechtigungselementen sind immer benutzerbasiert.

An den Cloud Zielsystemen ist hinterlegt, welche Typen von Systemberechtigungen verwendet werden und ob die Zuweisungen an den Benutzerkonten oder den Systemberechtigungen gespeichert werden.

Um die verwendeten Typen von Systemberechtigungen anzuzeigen

  1. Wählen Sie im Manager die Kategorie Cloud Zielsysteme > Basisdaten zur Konfiguration > Cloud Zielsysteme.

  2. Wählen Sie in der Ergebnisliste ein Cloud Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.

    • Typen der verwendeten Systemberechtigungen: Liste der im Cloud Zielsystem verwendeten Typen von Systemberechtigungen.

    • Benutzerkonto enthält Mitgliedschaften: Liste der Typen von Systemberechtigungen mit benutzerbasierten Zuweisungen. Für Typen, die hier nicht aufgelistet sind, werden die Zuweisungen an den Systemberechtigungen gespeichert.

TIPP: Wenn das Schema der Cloud-Anwendung nicht durch die Standard-Projektvorlage ausreichend abgebildet werden kann, passen Sie die Synchronisationskonfiguration an. Definieren Sie dabei, wie die Systemberechtigungen im One Identity Manager Schema abgebildet werden. Stellen Sie sicher, dass bei der Einrichtung der Synchronisation das Basisobjekt für die Cloud-Anwendung (CSMRoot) in der Datenbank angelegt wird und die Eigenschaften Typen der verwendeten Systemberechtigungen (GroupUsageMask) und Benutzerkonto enthält Mitgliedschaften (UserContainsGroupList) korrekt gesetzt werden.

HINWEIS: Wenn Sie Attestierungsverfahren, Complianceregeln oder Unternehmensrichtlinien über Systemberechtigungen einrichten, achten Sie darauf, die korrekten Zuweisungstabellen auszuwählen, um sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen zu betrachten.

Um die Funktionen unabhängig von der Konfiguration der Zielsysteme einzurichten, nutzen Sie die Abbildung der Zielsysteme im Unified Namespace. In der Tabelle UNSAccountInUNSGroup sind sowohl benutzerbasierte als auch berechtigungsbasierte Zuweisungen für alle Typen von Systemberechtigungen abgebildet; die Tabelle UNSGroup enthält alle Systemberechtigungen unabhängig vom Typ.

Ausführliche Informationen zum Unified Namespace finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Ausführliche Informationen zur Attestierungsfunktion, zu Complianceregeln und Unternehmensrichtlinien finden Sie in folgenden Handbüchern:

One Identity Manager Administrationshandbuch für Attestierungen
One Identity Manager Administrationshandbuch für Complianceregeln
One Identity Manager Administrationshandbuch für Unternehmensrichtlinien
Verwandte Themen
Documents connexes

The document was helpful.

Sélectionner une évaluation

I easily found the information I needed.

Sélectionner une évaluation