サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.1.3 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Personen Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM Objekten im One Identity Manager PAM Zugriffsanforderungen Behandeln von PAM Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

PAM Benutzerkonten direkt an eine PAM Benutzergruppe zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Benutzerkonten direkt an eine Gruppe zuzuweisen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzergruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Benutzerkonten zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Benutzerkonten zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Benutzerkonten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie das Benutzerkonto und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

PAM Benutzergruppen direkt an ein PAM Benutzerkonto zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Gruppen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Gruppen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Gruppe und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
Verwandte Themen

Wirksamkeit von Mitgliedschaften in PAM Benutzergruppen

Bei der Zuweisung von Gruppen an Benutzerkonten kann es vorkommen, dass eine Person zwei oder mehr Gruppen erhält, die in dieser Kombination nicht auftreten dürfen. Um das zu verhindern, geben Sie die sich ausschließenden Gruppen bekannt. Dabei legen Sie für zwei Gruppen fest, welche der beiden Gruppen an Benutzerkonten wirksam werden soll, wenn beide zugewiesen sind.

Die Zuweisung einer ausgeschlossenen Gruppe ist jederzeit direkt, indirekt oder per IT Shop-Bestellung möglich. Anschließend ermittelt der One Identity Manager, ob diese Zuweisung wirksam ist.

HINWEIS:

  • Ein wechselseitiger Ausschluss zweier Gruppen kann nicht definiert werden. Das heißt, die Festlegung "Gruppe A schließt Gruppe B aus" UND "Gruppe B schließt Gruppe A aus" ist nicht zulässig.
  • Für eine Gruppe muss jede auszuschließende Gruppe einzeln bekannt gegeben werden. Ausschlussdefinitionen werden nicht vererbt.

Die Wirksamkeit der Zuweisungen wird in den Tabellen PAGUserInUsrGroup und PAGBaseTreeHasUsrGroup über die Spalte XIsInEffect abgebildet.

Beispiel: Wirksamkeit von Gruppenmitgliedschaften
  • In einer Appliance ist eine Gruppe A mit Berechtigungen zum Auslösen von Bestellungen definiert. Eine Gruppe B berechtigt zum Anweisen von Zahlungen. Eine Gruppe C berechtigt zum Prüfen von Rechnungen.
  • Gruppe A wird über die Abteilung "Marketing", Gruppe B über die Abteilung "Finanzen" und Gruppe C wird über die Geschäftsrolle "Kontrollgruppe" zugewiesen.

Clara Harris hat ein Benutzerkonto in dieser Appliance. Sie gehört primär der Abteilung "Marketing" an. Sekundär sind ihr die Geschäftsrolle "Kontrollgruppe" und die Abteilung "Finanzen" zugewiesen. Ohne Ausschlussdefinition erhält das Benutzerkonto alle Berechtigungen der Gruppen A, B und C.

Durch geeignete Maßnahmen soll verhindert werden, dass eine Person gleichzeitig die Berechtigungen der Gruppe A und der Gruppe B erhält. Das heißt, die Gruppen A und B schließen sich aus. Ein Benutzer, der Mitglied der Gruppe C ist, darf ebenfalls nicht gleichzeitig Mitglied der Gruppe B sein. Das heißt, die Gruppen B und C schließen sich aus.

Tabelle 12: Festlegen der ausgeschlossenen Gruppen (Tabelle PAGUsrGroupExclusion)

Wirksame Gruppe

Ausgeschlossene Gruppe

Gruppe A

Gruppe B

Gruppe A

Gruppe C

Gruppe B

Tabelle 13: Wirksame Zuweisungen

Person

Mitglied in Rolle

Wirksame Gruppe

Ben King

Marketing

Gruppe A

Jan Bloggs

Marketing, Finanzen

Gruppe B

Clara Harris

Marketing, Finanzen, Kontrollgruppe

Gruppe C

Jenny Basset

Marketing, Kontrollgruppe

Gruppe A, Gruppe C

Für Clara Harris ist nur die Zuweisung der Gruppe C wirksam und wird ins Zielsystem publiziert. Verlässt Clara Harris die Geschäftsrolle "Kontrollgruppe" zu einem späteren Zeitpunkt, wird die Gruppe B ebenfalls wirksam.

Für Jenny Basset sind die Gruppen A und C wirksam, da zwischen beiden Gruppen kein Ausschluss definiert wurde. Soll das verhindert werden, definieren Sie einen weiteren Ausschluss für die Gruppe C.

Tabelle 14: Ausgeschlossene Gruppen und wirksame Zuweisungen

Person

Mitglied in Rolle

Zugewiesene Gruppe

Ausgeschlossene Gruppe

Wirksame Gruppe

Jenny Basset

 

Marketing

Gruppe A

 

Gruppe C

 

Kontrollgruppe

Gruppe C

Gruppe B

Gruppe A

Voraussetzungen
  • Der Konfigurationsparameter QER | Structures | Inherite | GroupExclusion ist aktiviert.

    Aktivieren Sie im Designer den Konfigurationsparameter und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

  • Sich ausschließende Gruppen gehören zur selben Appliance.

Um Gruppen auszuschließen

  1. Wählen Sie im Manager die Kategorie Privileged Account Management > Benutzergruppen.

  2. Wählen Sie in der Ergebnisliste eine Gruppe.

  3. Wählen Sie die Aufgabe Gruppen ausschließen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu, die sich mit der gewählten Gruppe ausschließen.

    - ODER -

    Entfernen Sie im Bereich Zuordnungen entfernen die Gruppen, die sich nicht länger ausschließen.

  5. Speichern Sie die Änderungen.

Vererbung von PAM Benutzergruppen anhand von Kategorien

Im One Identity Manager können Benutzergruppen selektiv an die Benutzerkonten vererbt werden. Dazu werden die Benutzergruppen und die Benutzerkonten in Kategorien eingeteilt. Die Kategorien sind frei wählbar und werden über eine Abbildungsvorschrift festgelegt. Jede der Kategorien erhält innerhalb dieser Abbildungsvorschrift eine bestimmte Position. Die Abbildungsvorschrift enthält zwei Tabellen; die Benutzerkontentabelle und die Gruppentabelle. In der Benutzerkontentabelle legen Sie Ihre Kategorien für die zielsystemabhängigen Benutzerkonten fest. In der Gruppentabelle geben Sie Ihre Kategorien für die zielsystemabhängigen Gruppen an. In den übrigen Tabellen geben Sie Ihre Kategorien für die Benutzergruppen an. Jede Tabelle enthält die Kategoriepositionen Position 1 bis Position 63.

Jedes Benutzerkonto kann einer oder mehreren Kategorien zugeordnet werden. Jede Berechtigung kann ebenfalls einer oder mehreren Kategorien zugeteilt werden. Stimmt mindestens eine der Kategoriepositionen zwischen Benutzerkonto und zugewiesener Berechtigung überein, wird die Berechtigung an das Benutzerkonto vererbt. Ist die Berechtigung oder das Benutzerkonto nicht in Kategorien eingestuft, dann wird die Berechtigung ebenfalls an das Benutzerkonto vererbt.

HINWEIS: Die Vererbung über Kategorien wird nur bei der indirekten Zuweisung von Berechtigungen über hierarchische Rollen berücksichtigt. Bei der direkten Zuweisung von Berechtigungen an Benutzerkonten werden die Kategorien nicht berücksichtigt.
Tabelle 15: Beispiele für Kategorien
Kategorieposition Kategorien für Benutzerkonten Kategorien für Berechtigungen
1 Standardbenutzer Standardgruppe oder Standardprodukt
2 Administrator Administratorgruppe

Abbildung 1: Beispiel für die Vererbung über Kategorien

Um die Vererbung über Kategorien zu nutzen

  1. Definieren Sie an der Appliance die Kategorien.

  2. Weisen Sie die Kategorien den Benutzerkonten über ihre Stammdaten zu.

  3. Weisen Sie die Kategorien den Gruppen über ihre Stammdaten zu.

Verwandte Themen
関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択