サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2.1 - Administrationshandbuch für Systemrollen

Beispiele für Vererbungswege für Systemrollen

Abbildung 2: Vererbung einer Active Directory Gruppe über eine direkt zugewiesene Systemrolle

Abbildung 3: Vererbung von Software über eine IT Shop-Bestellung

Abbildung 4: Vererbung einer Ressource über eine indirekt zugewiesene Systemrolle

Wirkung von Ausschlussdefinitionen für Systemrollen

Folgende Abbildungen zeigen, wie sich der Ausschluss einer Systemrolle in der Vererbungsberechnung auswirkt. Auch ausgeschlossene Systemrollen können an Identitäten zugewiesen werden. Über die Spalte XIsInEffect wird gekennzeichnet, ob diese Zuweisung wirksam ist. Die Zuweisung einer ausgeschlossenen Systemrolle führt zu einem Eintrag mit XIsInEffect = 0, wenn gleichzeitig die andere Systemrolle aus der Ausschlussdefinition zugewiesen ist.

Tabelle 10: Ausgeschlossene Systemrollen (Tabelle ESetExcludesESet)
Systemrolle (UID_ESet) Ausgeschlossene Systemrolle (UID_ESetExcluded)
System role A12 System role A11
System role B System role B1
System role B System role A2
Tabelle 11: Systemrollen: Vererbung (Tabelle ESetHasEntitlement)
Systemrolle (UID_ESet) Zuweisung Systemrolle (Entitlement) Zuweisung wirksam (XIsInEffect)
System role A System role A1 1
System role A System role A2 1
System role A System role A11 0
System role A System role A12 1
System role A1 System role A11 0
System role A1 System role A12 1
System role A2 Software 1
System role A11 Active Directory group 1
System role A12 SAP role 1
System role B Resource R1 1
System role B1 Resource R2 1

Abbildung 5: Vererbung über direkt zugewiesene Systemrollen

Abbildung 6: Vererbung über eine IT Shop-Bestellung

Besonderheiten bei der Vererbung von Systemrollen über hierarchische Rollen

Tabelle 12: Konfigurationsparameter für die Berechnung von Zuweisungen an hierarchische Rollen
Konfigurationsparameter Wirkung bei Aktivierung

QER | Structures | Inherite | NoESetSplitting

Angabe, ob die Bestandteile einer Systemrolle bereits an der hierarchischen Rolle aufgelöst werden oder nicht. Bei Aktivierung werden die Systemrollen erst am Ziel der Vererbung in ihre einzelnen Bestandteile zerlegt.

Wenn der Konfigurationsparameter aktiviert ist, werden Systemrollen, die an hierarchische Rollen zugewiesen sind, bei der Vererbungsberechnung nicht aufgelöst. Das heißt, die Zuweisungen von Unternehmensressourcen an hierarchische Rollen werden nicht in die entsprechenden Zuweisungstabellen (<BaseTree>Has...) geschrieben. Erst bei der Vererbungsberechnung für Identitäten werden die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (PersonHasESet.XIsIneffect = 1).

HINWEIS: Eine Systemrollenhierarchie wird immer aufgelöst. Das heißt, die Zuweisung von untergeordneten Systemrollen an hierarchische Rollen wird immer in die Zuweisungstabellen geschrieben. Dieses Verhalten ist unabhängig von der Stellung des Konfigurationsparameters.

Der Konfigurationsparameter ist standardmäßig aktiviert.

Abbildung 7: Vererbung über indirekt zugewiesene Systemrollen bei aktiviertem Konfigurationsparameter

Abbildung 8: Vererbung über unterschiedliche hierarchische Rollen bei aktiviertem Konfigurationsparameter

Wenn der Konfigurationsparameter nicht aktiviert ist, werden bei der Vererbungsberechnung für die hierarchischen Rollen die Systemrollen aufgelöst, deren Zuweisungen wirksam sind (BaseTreeHasESet.XIsIneffect = 1). Wenn die sich ausschließenden Systemrollen an unterschiedliche hierarchische Rollen zugewiesen sind, sind beide Zuweisungen wirksam. Damit sind auch die daraus resultierenden Zuweisungen der Unternehmensressourcen an die hierarchischen Rollen wirksam. Ist eine Identität in beiden hierarchischen Rollen Mitglied, werden dadurch auch die Unternehmensressourcen der ausgeschlossenen Systemrolle an diese Identität vererbt.

Abbildung 9: Vererbung über unterschiedliche hierarchische Rollen bei deaktiviertem Konfigurationsparameter

Wenn die sich ausschließenden Systemrollen an dieselbe hierarchische Rolle zugewiesen sind, wirkt die Ausschlussdefinition bereits bei der Berechnung von BaseTreeHasESet.

Abbildung 10: Vererbung über dieselbe hierarchische Rolle bei deaktiviertem Konfigurationsparameter

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択