Analyse von Rollenmitgliedschaften und Zuweisungen an Personen
Für einige Objekte, wie beispielsweise Berechtigungen, Complianceregeln oder Rollen wird der Bericht Übersicht aller Zuweisungen angezeigt. Der Bericht ermittelt alle Rollen, wie beispielsweise Abteilungen, Kostenstellen, Standorte, Geschäftsrollen und IT Shop Strukturen, in denen sich Personen befinden, die das gewählte Basisobjekt besitzen. Dabei werden sowohl direkte als auch indirekte Zuweisungen des Basisobjektes berücksichtigt.
Beispiele:
-
Wird der Bericht für eine Ressource erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Ressource besitzen.
-
Wird der Bericht für eine Gruppe oder andere Systemberechtigung erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Gruppe oder Systemberechtigung besitzen.
-
Wird der Bericht für eine Complianceregel erstellt, werden alle Rollen ermittelt, in denen sich Personen befinden, die diese Complianceregel verletzen.
-
Wird der Bericht für eine Abteilung erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Abteilung ebenfalls Mitglied sind.
-
Wird der Bericht für eine Geschäftsrolle erstellt, werden alle Rollen ermittelt, in denen die Personen der gewählten Geschäftsrolle ebenfalls Mitglied sind.
Um detaillierte Informationen über Zuweisungen anzuzeigen
-
Um den Bericht anzuzeigen, wählen Sie in der Navigation oder in der Ergebnisliste das Basisobjekt und wählen Sie den Bericht Übersicht aller Zuweisungen.
-
Wählen Sie über die Schaltfläche Verwendet von in der Symbolleiste des Berichtes die Rollenklasse, für die Sie ermitteln möchten, ob es Rollen gibt, in denen sich Personen mit dem ausgewählten Basisobjekt befinden.
Angezeigt werden alle Rollen der gewählten Rollenklasse. Die Färbung der Steuerelemente zeigt an, in welcher Rolle sich Personen befinden, denen das ausgewählte Basisobjekt zugewiesen ist. Die Bedeutung der Steuerelemente des Berichts ist in einer separaten Legende erläutert. Die Legende erreichen Sie über das Symbol in der Symbolleiste des Berichtes.
-
Mit einem Maus-Doppelklick auf das Steuerelement einer Rolle zeigen Sie alle untergeordneten Rollen der ausgewählten Rolle an.
-
Mit einem einfachen Mausklick auf die Schaltfläche im Steuerelement einer Rolle zeigen Sie alle Personen dieser Rolle an, die das Basisobjekt besitzen.
-
Über den Pfeil rechts neben der Schaltfläche starten Sie einen Assistenten, mit dem Sie die Liste der angezeigten Personen zur Nachverfolgung speichern können. Dabei wird eine neue Geschäftsrolle erstellt und die Personen werden der Geschäftsrolle zugeordnet.
Abbildung 13: Symbolleiste des Berichts Übersicht aller Zuweisungen
Tabelle 14: Bedeutung der Symbole in der Symbolleiste des Berichts
|
Anzeigen der Legende mit der Bedeutung der Steuerelemente des Berichts. |
|
Speichern der aktuellen Ansicht des Berichts als Bild. |
|
Auswählen der Rollenklasse, über die der Bericht erstellt werden soll. |
|
Anzeige aller Rollen oder Anzeige der betroffenen Rolle. |
IT Betriebsdaten für Geschäftsrollen einrichten
Um für eine Person Benutzerkonten mit dem Automatisierungsgrad Full managed zu erzeugen, müssen die benötigten IT Betriebsdaten ermittelt werden. Welche IT Betriebsdaten für welches Zielsystem konkret verwendet werden sollen, wird an den Geschäftsrollen, Abteilungen, Kostenstellen oder Standorten definiert. Einer Person wird eine primäre Geschäftsrolle, eine primäre Abteilung, eine primäre Kostenstelle oder ein primärer Standort zugeordnet. Abhängig von dieser Zuordnung werden die gültigen IT Betriebsdaten ermittelt und für die Erstellung des Benutzerkontos verwendet. Können über die primären Rollen keine gültigen IT Betriebsdaten ermittelt werden, werden die Standardwerte verwendet.
Wenn in einem Zielsystem mehrere Kontendefinitionen für die Abbildung der Benutzerkonten verwendet werden, können Sie die IT Betriebsdaten auch direkt für eine konkrete Kontendefinition festlegen.
Beispiel:
In der Regel erhält jede Person der Abteilung A ein Standardbenutzerkonto in der Domäne A. Zusätzlich erhalten einige Personen der Abteilung A administrative Benutzerkonten in der Domäne A.
Erstellen Sie eine Kontendefinition A für die Standardbenutzerkonten der Domäne A und eine Kontendefinition B für die administrativen Benutzerkonten der Domäne A. In der Abbildungsvorschrift der IT Betriebsdaten für die Kontendefinitionen A und B legen Sie die Eigenschaft Abteilung zur Ermittlung der gültigen IT Betriebsdaten fest.
Für die Abteilung A legen Sie die wirksamen IT Betriebsdaten für die Domäne A fest. Diese IT Betriebsdaten werden für die Standardbenutzerkonten verwendet. Zusätzlich legen Sie für die Abteilung A die wirksamen IT Betriebsdaten für die Kontendefinition B fest. Diese IT Betriebsdaten werden für administrative Benutzerkonten verwendet.
Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
Um IT Betriebsdaten festzulegen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.
-
Wählen Sie in der Ergebnisliste eine Rolle.
-
Wählen Sie die Aufgabe IT Betriebsdaten bearbeiten.
-
Klicken Sie Hinzufügen und erfassen Sie die folgenden Daten.
-
Wirksam für: Legen Sie den Anwendungsbereich der IT Betriebsdaten fest. Die IT Betriebsdaten können für ein Zielsystem oder für eine definierte Kontendefinition verwendet werden.
Um den Anwendungsbereich festzulegen
-
Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
-
Wählen Sie unter Tabelle die Tabelle, die das Zielsystem abbildet oder, für eine Kontendefinition, die Tabelle TSBAccountDef.
-
Wählen Sie unter Wirksam für das konkrete Zielsystem oder die konkrete Kontendefinition.
-
Klicken Sie OK.
-
Spalte: Wählen Sie die Eigenschaft des Benutzerkontos, für die der Wert gesetzt wird.
In der Auswahlliste werden die Spalten angeboten, die in ihrer Bildungsregel das Skript TSB_ITDataFromOrg verwenden. Ausführliche Informationen dazu finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.
-
Wert: Erfassen Sie den konkreten Wert, welcher der Eigenschaft des Benutzerkontos zugewiesen werden soll.
- Speichern Sie die Änderungen.
Die IT Betriebsdaten, die in der Standardkonfiguration des One Identity Manager für das automatische Erzeugen oder Ändern von Benutzerkonten und Postfächer für eine Person in den Zielsystemen verwendet werden, sind in der nachfolgenden Tabelle aufgeführt.
HINWEIS: Die IT Betriebsdaten sind abhängig vom Zielsystem und sind in den One Identity Manager Modulen enthalten. Die Daten stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 15: Zielsystemtyp-abhängige IT Betriebsdaten
Active Directory |
Container |
Homeserver |
Profilserver |
Terminal Homeserver |
Terminal Profilserver |
Gruppen erbbar |
Identität |
Privilegiertes Benutzerkonto |
Microsoft Exchange |
Postfachdatenbank |
LDAP |
Container |
Gruppen erbbar |
Identität |
Privilegiertes Benutzerkonto |
Domino |
Server |
Zertifikat |
Vorlage der Postdatei |
Identität |
SharePoint |
Authentifizierungsmodus |
Gruppen erbbar |
Rollen erbbar |
Identität |
Privilegiertes Benutzerkonto |
SharePoint Online |
Gruppen erbbar |
Rollen erbbar |
Privilegiertes Benutzerkonto |
Authentifizierungsmodus |
Kundendefinierte Zielsysteme |
Container (je Zielsystem) |
Gruppen erbbar |
Identität |
Privilegiertes Benutzerkonto |
Azure Active Directory |
Gruppen erbbar |
Administratorrollen erbbar |
Abonnements erbbar |
Unwirksame Dienstpläne erbbar |
Identität |
Privilegiertes Benutzerkonto |
Kennwort bei der nächsten Anmeldung ändern |
Cloud Zielsystem |
Container (je Zielsystem) |
Gruppen erbbar |
Identität |
Privilegiertes Benutzerkonto |
Unix-basierte Zielsysteme |
Login-Shell |
Gruppen erbbar |
Identität |
Privilegiertes Benutzerkonto |
Oracle E-Business Suite |
Identität |
Gruppen erbbar |
Privilegiertes Benutzerkonto |
SAP R/3 |
Identität |
Gruppen erbbar |
Rollen erbbar |
Profile erbbar |
Strukturelle Profile erbbar |
Privilegiertes Benutzerkonto |
Exchange Online |
Gruppen erbbar |
Privileged Account Management |
Authentifizierungsanbieter |
Identität |
Gruppen erbbar |
Privilegiertes Benutzerkonto |
Google Workspace |
Organisation |
Identität |
Gruppen erbbar |
Produkte und SKUs erbbar |
Admin-Rollen-Zuordnungen erbbar |
Privilegiertes Benutzerkonto |
Kennwort bei der nächsten Anmeldung ändern |
IT Betriebsdaten ändern
Sobald sich die IT Betriebsdaten ändern, müssen Sie diese Änderungen für bestehende Benutzerkonten übernehmen. Dafür führen Sie die Bildungsregeln an den betroffenen Spalten erneut aus. Bevor Sie die Bildungsregeln ausführen, prüfen Sie, welche Auswirkungen eine Änderung der IT Betriebsdaten auf bestehende Benutzerkonten hat. Für jede betroffene Spalte an jedem betroffenen Benutzerkonto können Sie entscheiden, ob die Änderung in die -Datenbank übernommen werden soll.
Voraussetzungen
HINWEIS: Ändert sich die Zuordnung einer Person zu einer primären Geschäftsrolle, werden die Bildungsregeln automatisch ausgeführt.
Um die Bildungsregeln auszuführen
-
Wählen Sie im Manager die Kategorie <Zielsystemtyp> > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.
-
Wählen Sie in der Ergebnisliste eine Kontendefinition.
-
Wählen Sie die Aufgabe Bildungsregeln ausführen.
Es wird eine Liste aller Benutzerkonten angezeigt, die über die gewählte Kontendefinition entstanden sind und deren Eigenschaften durch die Änderung der IT Betriebsdaten geändert werden. Es bedeuten:
-
Alter Wert: Wert der Objekteigenschaft vor der Änderung der IT Betriebsdaten.
-
Neuer Wert: Wert der Objekteigenschaft nach der Änderung der IT Betriebsdaten.
-
Auswahl: Gibt an, ob der neue Wert für das Benutzerkonto übernommen werden soll.
-
Markieren Sie in der Spalte Auswahl alle Objekteigenschaften, für die der neue Wert übernommen werden soll.
-
Klicken Sie Übernehmen.
Für alle markierten Benutzerkonten und Eigenschaften werden die Bildungsregeln ausgeführt.
Dynamische Rollen für Geschäftsrollen erstellen
Über diese Aufgabe definieren Sie dynamische Rollen für einzelne Geschäftsrollen. Dynamische Rollen werden eingesetzt, um Rollenmitgliedschaften dynamisch festzulegen. Dabei werden Personen, Geräte oder Arbeitsplätze nicht fest an eine Rolle zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Personen (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Personen einer Geschäftsrolle zugewiesen werden; verlässt eine Person diese Geschäftsrolle verliert sie sofort die zugewiesenen Unternehmensressourcen.
Rollenmitgliedschaften über dynamische Rollen werden als sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Personen, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.
HINWEIS: Die Aufgabe Dynamische Rolle erstellen wird nur für Geschäftsrollen angeboten, für welche die Option Dynamische Rollen nicht erlaubt nicht aktiviert ist.
Ausführliche Informationen zum Erstellen und Bearbeiten dynamischer Rollen finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um eine dynamische Rolle für eine Geschäftsrolle zu erstellen
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse>.
-
Wählen Sie in der Ergebnisliste eine Geschäftsrolle.
-
Wählen Sie die Aufgabe Dynamische Rolle erstellen.
-
Erfassen Sie die erforderlichen Stammdaten.
- Speichern Sie die Änderungen.
Um eine dynamische Rolle zu bearbeiten
-
Wählen Sie im Manager die Kategorie Geschäftsrollen > <Rollenklasse> > Dynamische Rollen.
-
Wählen Sie in der Ergebnisliste eine Geschäftsrolle.
-
Öffnen Sie das Überblicksformular der Geschäftsrolle.
-
Klicken Sie im Formularelement Dynamische Rollen auf die Bezeichnung der dynamischen Rolle.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Bearbeiten Sie die Stammdaten der dynamische Rolle.
-
Speichern Sie die Änderungen.
Verwandte Themen