Chatta subito con l'assistenza
Chat con il supporto

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung kundendefinierter Zielsysteme

Verwalten kundendefinierter Zielsysteme Einrichten der Skript-gesteuerten Provisionierung der Daten in ein kundendefiniertes Zielsystem Managen von Benutzerkonten und Identitäten Managen der Zuweisungen von Gruppen und Systemberechtigungen Bereitstellen von Anmeldeinformationen für Benutzerkonten Abbildung der Objekte für kundenspezifische Zielsysteme im One Identity Manager Behandeln der Objekte kundendefinierter Zielsysteme im Web Portal Basisdaten für kundendefinierte Zielsysteme Konfigurationsparameter für die Verwaltung kundendefinierter Zielsysteme

Administrative Benutzerkonten für mehrere Identitäten bereitstellen

Mit dieser Aufgabe erstellen Sie ein administratives Benutzerkonto, das von mehreren Identitäten genutzt werden kann.

Voraussetzung
  • Das Benutzerkonto muss als Gruppenidentität gekennzeichnet sein.

  • Es muss eine Identität mit dem Typ Gruppenidentität vorhanden sein. Die Gruppenidentität muss einen Manager haben.

  • Die Identitäten, die das Benutzerkonto nutzen dürfen, müssen als primäre Identitäten gekennzeichnet sein.

Um ein administratives Benutzerkonto für mehrere Identitäten bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als Gruppenidentität.

    1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Gruppenidentität.

  2. Verbinden Sie das Benutzerkonto mit einer Identität.

    1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität eine Identität mit dem Typ Gruppenidentität.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Gruppenidentität erstellen.

  3. Weisen Sie dem Benutzerkonto die Identitäten zu, die dieses administrative Benutzerkonto nutzen sollen.

    1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > <Zielsystem> > Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Identitäten mit Nutzungsberechtigungen zuzuweisen.

    4. Weisen Sie im Bereich Zuordnungen hinzufügen die Identitäten zu.

      TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Identitäten entfernen.

      Um eine Zuweisung zu entfernen

      • Wählen Sie die Identität und doppelklicken Sie .

Verwandte Themen

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Identitäten mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Identität ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Identitäten zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Identität wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

Verwandte Themen

Löschverzögerung für Benutzerkonten der kundendefinierten Zielsysteme festlegen

Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich.

Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.

  • Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.

    Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle UNSAccountB in der Eigenschaft Löschverzögerungen [Tage].

  • Zielsystemspezifische Löschverzögerung: Die Löschverzögerung kann je Zielsystem individuell konfiguriert werden. Diese Löschverzögerung überschreibt die globale Löschverzögerung.

    Um eine individuelle Löschverzögerung je Zielsystem zu ermöglichen

    1. Konfigurieren Sie im Manager die Löschverzögerungen für die Zielsysteme.

      1. Wählen Sie im Manager die Kategorie Kundendefinierte Zielsysteme > Basisdaten zur Konfiguration > Zielsysteme.

      2. Wählen Sie in der Ergebnisliste ein Zielsystem und wählen Sie die Aufgabe Stammdaten bearbeiten.

      3. Auf dem Tabreiter Allgemein erfassen Sie unter Löschverzögerung [Tage] die Löschverzögerung für das Zielsystem in Tagen.

      4. Speichern Sie die Änderungen.
    2. Erstellen Sie im Designer für die Tabelle UNSAccountB ein Skript (Löschverzögerung).

      Beispiel:

      Die Löschverzögerung der Benutzerkonten in einem kundendefinierten Zielsystem soll von der Löschverzögerung des Zielsystems (UNSRootB.DeleteDelayDays) abhängig sein. An der Tabelle UNSAccountB wird folgendes Skript eingetragen.

      If $FK(UID_UNSRootB).DeleteDelayDays:Int$ > 0 Then

      Value = $FK(UID_UNSRootB).DeleteDelayDays:Int$

      End If

  • Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.

    Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle UNSAccountB ein Skript (Löschverzögerung).

    Beispiel:

    Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.

    If $IsPrivilegedAccount:Bool$ Then

    Value = 10

    End If

Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Managen der Zuweisungen von Gruppen und Systemberechtigungen

Gruppen und Systemberechtigungen bilden die Objekte ab, über die im Zielsystem der Zugriff auf die Zielsystemressourcen gesteuert wird. Ein Benutzerkonto erhält über seine Mitgliedschaften in den Gruppen oder Systemberechtigungen die nötigen Berechtigungen zum Zugriff auf die Zielsystemressourcen.

Im One Identity Manager können Sie Gruppen und Systemberechtigungen direkt an die Benutzerkonten zuweisen oder über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen vererben. Des Weiteren können Benutzer die Gruppen und Systemberechtigungen über das Web Portal bestellen. Dazu werden die Gruppen und Systemberechtigungen im IT Shop bereitgestellt.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Seleziona valutazione

I easily found the information I needed.

Seleziona valutazione