サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2.1 - Administrationshandbuch für die Anbindung einer SharePoint-Umgebung

Verwalten einer SharePoint Umgebung Einrichten der Synchronisation mit einer SharePoint Farm Basisdaten für die Verwaltung einer SharePoint-Umgebung SharePoint Farmen SharePoint Webanwendungen SharePoint Websitesammlungen und Websites SharePoint Benutzerkonten SharePoint Rollen und Gruppen
SharePoint Gruppen SharePoint Rollen und Berechtigungsstufen
Berechtigungen für SharePoint Webanwendungen Berichte über SharePoint Objekte Anhang: Konfigurationsparameter für die Verwaltung einer SharePoint-Umgebung Anhang: Standardprojektvorlage für SharePoint

Erstellen einer Kontendefinition

Um eine Kontendefinition zu bearbeiten oder zu erstellen

  1. Wählen Sie im Manager die Kategorie SharePoint > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    -ODER-

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten der Kontendefinition.
  4. Speichern Sie die Änderungen.

Stammdaten einer Kontendefinition

Für eine Kontendefinition erfassen Sie die folgenden Stammdaten.

Tabelle 11: Stammdaten einer Kontendefinition

Eigenschaft

Beschreibung

Kontendefinition

Bezeichnung der Kontendefinition.

Benutzerkontentabelle

Tabelle im One Identity Manager Schema, welche die Benutzerkonten abbildet.

Zielsystem

Zielsystem für das die Kontendefinition gelten soll.

Vorausgesetzte Kontendefinition

Angabe der vorausgesetzten Kontendefinition. Definieren Sie Abhängigkeiten zwischen Kontendefinitionen. Wenn die Kontendefinition bestellt oder zugeordnet wird, wird die vorausgesetzte Kontendefinition automatisch zugeordnet.

TIPP: Sie können hier die Kontendefinition der zugehörigen Active Directory oder LDAP Domäne eintragen. In diesem Fall wird für die Identität zunächst ein Active Directory bzw. LDAP Benutzerkonto erzeugt. Ist dieses vorhanden, wird das SharePoint Benutzerkonto angelegt.

Dieses Verhalten ist unternehmensspezifisch zu implementieren. Passen Sie den Prozess TSB_PersonHasAccountDef_AutoCreate_SPSUser dafür unternehmensspezifisch an.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Automatisierungsgrad (initial)

Standardautomatisierungsgrad, der bei Neuanlage von Benutzerkonten standardmäßig verwendet werden soll.

Risikoindex

Wert zur Bewertung des Risikos von Zuweisungen der Kontendefinition an Identitäten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Leistungsposition

Leistungsposition, über welche die Kontendefinition im IT Shop bestellt wird. Weisen Sie eine vorhandene Leistungsposition zu oder legen Sie eine neue Leistungsposition an.

IT Shop

Gibt an, ob die Kontendefinition über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Die Kontendefinition kann weiterhin direkt an Identitäten und Rollen außerhalb des IT Shop zugewiesen werden.

Verwendung nur im IT Shop

Gibt an, ob die Kontendefinition ausschließlich über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Kontendefinition an Rollen außerhalb des IT Shop ist nicht zulässig.

Automatische Zuweisung zu Identitäten

Gibt an, ob die Kontendefinition automatisch an alle internen Identitäten zugewiesen werden soll. Um die Kontendefinition automatisch an alle internen Identitäten zuzuweisen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten aktivieren. Die Kontendefinition wird an jede Identität zugewiesen, die nicht als extern markiert ist. Sobald eine neue interne Identität erstellt wird, erhält diese Identität ebenfalls automatisch diese Kontendefinition.

Um die automatische Zuweisung der Kontendefinition von allen Identitäten zu entfernen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten deaktivieren. Ab diesem Zeitpunkt wird die Kontendefinition nicht neu an Identitäten zugewiesen. Bestehende Zuweisungen der Kontendefinition bleiben jedoch erhalten.

Kontendefinition bei dauerhafter Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei zeitweiliger Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei verzögertem Löschen beibehalten

Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei Sicherheitsgefährdung beibehalten

Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Ressourcentyp

Ressourcentyp zur Gruppierung von Kontendefinitionen.

Freies Feld 01- Freies Feld 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Rollen erbbar

Gibt an, ob das Benutzerkonto SharePoint Rollen über die verbundene Identität erben darf. Ist die Option aktiviert, werden die Rollen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

Erstellen der Automatisierungsgrade

Für eine Kontendefinition legen Sie Automatisierungsgrade für die Behandlung der Benutzerkonten fest. Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbten Eigenschaften der Identität an das Benutzerkonto. So kann beispielsweise eine Identität mehrere Benutzerkonten in einem Zielsystem besitzen:

  • Standardbenutzerkonto, welches alle Eigenschaften über die Identität erbt

  • Administratives Benutzerkonto, das zwar mit der Identität verbunden ist, aber keine Eigenschaften von der Identität erben soll

One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged: Benutzerkonten mit dem Automatisierungsgrad Unmanaged erhalten eine Verbindung zur Identität, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial einige der Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed: Benutzerkonten mit dem Automatisierungsgrad Full managed erben definierte Eigenschaften der zugeordneten Identität. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial die Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen an das Benutzerkonto weitergereicht.

HINWEIS: Die Automatisierungsgrade Full managed und Unmanaged werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll. Ausführliche Informationen zu Automatisierungsgraden finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

  • Um die Berechtigungen zu entziehen, wenn eine Identität deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Identität gesperrt werden. Wird die Identität zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Identität gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Identitäten berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht!

WICHTIG: Der Automatisierungsgrad Unmanaged wird beim Erstellen einer Kontendefinition automatisch zugewiesen und kann nicht entfernt werden.

Um Automatisierungsgrade an eine Kontendefinition zuzuweisen

  1. Wählen Sie im Manager die Kategorie SharePoint > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe Automatisierungsgrade zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Automatisierungsgrade zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Automatisierungsgraden entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie den Automatisierungsgrad und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Um einen Automatisierungsgrad zu bearbeiten

  1. Wählen Sie im Manager die Kategorie SharePoint > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Wählen Sie in der Ergebnisliste einen Automatisierungsgrad aus. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    -ODER-

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  4. Speichern Sie die Änderungen.

Stammdaten eines Automatisierungsgrades

Für einen Automatisierungsgrad erfassen Sie die folgenden Stammdaten.

Tabelle 12: Stammdaten eines Automatisierungsgrades
Eigenschaft Beschreibung

Automatisierungsgrad

Bezeichnung des Automatisierungsgrades.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

IT Betriebsdaten überschreibend

Gibt an, ob Daten an Benutzerkonten, die sich aus den IT Betriebsdaten bilden, automatisch aktualisiert werden. Zulässige Werte sind:

  • Niemals: Die Daten werden nicht aktualisiert. (Standard)

  • Immer: Die Daten werden immer aktualisiert.

  • Nur initial: Die Daten werden nur initial ermittelt.

Gruppen bei zeitweiliger Deaktivierung beibehalten

Gibt an, ob die Benutzerkonten zeitweilig deaktivierter Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei zeitweiliger Deaktivierung sperren *)

Gibt an, ob die Benutzerkonten zeitweilig deaktivierter Identitäten gesperrt werden sollen.

Gruppen bei dauerhafter Deaktivierung beibehalten

Gibt an, ob die Benutzerkonten dauerhaft deaktivierter Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei dauerhafter Deaktivierung sperren *)

Gibt an, ob die Benutzerkonten dauerhaft deaktivierter Identitäten gesperrt werden sollen.

Gruppen bei verzögertem Löschen beibehalten

Gibt an, ob die Benutzerkonten zum Löschen markierter Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei verzögertem Löschen sperren *)

Gibt an, ob die Benutzerkonten zum Löschen markierter Identitäten gesperrt werden sollen.

Gruppen bei Sicherheitsgefährdung beibehalten

Gibt an, ob die Benutzerkonten von sicherheitsgefährdenden Identitäten ihre Gruppenmitgliedschaften behalten sollen.

Benutzerkonten bei Sicherheitsgefährdung sperren *)

Gibt an, ob die Benutzerkonten von sicherheitsgefährdenden Identitäten gesperrt werden sollen.

Gruppen bei deaktiviertem Benutzerkonto beibehalten

Gibt an, ob deaktivierte Benutzerkonten ihre Gruppenmitgliedschaften behalten sollen.

HINWEIS:*) SharePoint Benutzerkonten können nicht gesperrt werden!

Wenn eine Identität deaktiviert, verzögert gelöscht oder als sicherheitsgefährdend eingestuft wird, bleiben deren SharePoint Benutzerkonten aktiv. Für die Anmeldung an einer SharePoint Websitesammlung ist relevant, ob das als AuthentifizierungsobjektGeschlossen verbundene Benutzerkonto gesperrt oder deaktiviert ist. Um zu verhindern, dass sich eine Identität, die deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft ist, an einer SharePoint Websitesammlung anmeldet, verwalten Sie die als Authentifizierungsobjekte verbundenen Benutzerkonten über Kontendefinitionen.

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択