지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Einrichten der Synchronisation mit einem Azure Active Directory Mandanten Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Stammdaten für Azure Active Directory Benutzerkonten bearbeiten Zusätzliche Aufgaben für die Verwaltung von Azure Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Azure Active Directory Benutzerkonten Azure Active Directory Benutzerkonten deaktivieren Azure Active Directory Benutzerkonten löschen und wiederherstellen
Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Abonnements und Dienstpläne
Azure Active Directory Abonnements Unwirksame Azure Active Directory Dienstpläne
Berichte über Azure Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlage für Azure Active Directory

Administrative Benutzerkonten für mehrere Personen bereitstellen

Voraussetzung

  • Das Benutzerkonto muss als Gruppenidentität gekennzeichnet sein.

  • Es muss eine Dummy-Person vorhanden sein. Die Dummy-Person muss als Gruppenidentität gekennzeichnet sein und muss einen Manager besitzen.

  • Die Personen, die das Benutzerkonto nutzen dürfen, müssen als primäre Identitäten gekennzeichnet sein.

Um ein administratives Benutzerkonto für mehrere Personen bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als Gruppenidentität.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Gruppenidentität.

  2. Verbinden Sie das Benutzerkonto mit einer Dummy-Person.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Person die Dummy-Person.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Dummy-Person erstellen.

  3. Weisen Sie dem Benutzerkonto die Personen zu, die dieses administrative Benutzerkonto nutzen sollen.

    1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Personen mit Nutzungsberechtigungen zuzuweisen.

    4. Weisen Sie im Bereich Zuordnungen hinzufügen die Personen zu.

      TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Personen entfernen.

      Um eine Zuweisung zu entfernen

      • Wählen Sie die Person und doppelklicken Sie .
Verwandte Themen

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.
  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.
  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.
    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.
    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.
  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einem definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach der die Anmeldenamen gebildet werden.

  • Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | AzureAD | Accounts | PrivilegedAccount | AccountName_Prefix.
  • Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | AzureAD | Accounts | PrivilegedAccount | AccountName_Postfix.

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan Ausgewählte Benutzerkonten als privilegiert kennzeichnen als privilegiert gekennzeichnet werden.

Verwandte Themen

Stammdaten für Azure Active Directory Benutzerkonten bearbeiten

Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.

HINWEIS: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet.

HINWEIS: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

TIPP: Damit eine Person automatisiert ein Benutzerkonto und ein Abonnement erhält, können Sie die Kontendefinition zur Erstellung des Benutzerkontos und das zu verwendende Abonnement in einer Systemrolle zusammenfassen.

Eine Person kann diese Systemrolle direkt erhalten, über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen erben oder über den IT Shop bestellen.

Um ein Benutzerkonto zu erstellen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Benutzerkontos.

  4. Speichern Sie die Änderungen.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto und führen Sie die Aufgabe Stammdaten bearbeiten aus.

  3. Bearbeiten Sie die Stammdaten des Benutzerkontos.

  4. Speichern Sie die Änderungen.

Um ein Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen

  1. Wählen Sie im Manager die Kategorie Personen | Personen.

  2. Wählen Sie in der Ergebnisliste die Person und führen Sie die Aufgabe Azure Active Directory Benutzerkonten zuweisen aus.

  3. Weisen Sie ein Benutzerkonto zu.

  4. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Allgemeine Stammdaten eines Azure Active Directory Benutzerkontos

Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.

Tabelle 23: Allgemeine Stammdaten eines Benutzerkontos
Eigenschaft Beschreibung

Person

 Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person gesucht und in das Benutzerkonto übernommen.

Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Person erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Personenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

Automatisierungsgrad

 Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Mandant

Mandant des Benutzerkontos.

Domäne

Domäne des Benutzerkontos.

Standort

Standort, an dem das Benutzerkonto genutzt wird.

Vorname

 Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Nachname

 Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Benutzeranmeldename

Anmeldename des Benutzerkontos. Der Benutzeranmeldename wird gebildet aus dem Alias und der Domäne. Der Benutzeranmeldename entspricht dem Benutzernamen (User Principal Name) des Benutzers im Azure Active Directory.

Anzeigename

Anzeigename des Benutzerkontos.

Alias

E-Mail Alias für das Benutzerkonto.

Bevorzugte Sprache

Bevorzugte Sprache des Benutzers, beispielsweise en-US.

Kennwort

Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Person kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Person finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn Sie ein initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.

Hinweis: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt.

Kennwortbestätigung

Kennwortwiederholung.

Kennwort bei der nächsten Anmeldung ändern

Angabe, ob der Benutzer bei der nächsten Anmeldung das Kennwort anpassen muss.

Kennwortrichtlinien

Kennwortrichtlinien, die für das Benutzerkonto gelten. Zur Verfügung stehen die Optionen Keine Einschränkungen, Kennwort läuft nie ab und Schwache Kennwörter zulassen.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Identität

Typ der Identität des Benutzerkontos. Zulässige Werte sind:

  • Primäre Identität: Standardbenutzerkonto einer Person.

  • Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

  • Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.

  • Zusatzidentität: Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird.

  • Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. Weisen Sie alle Personen zu, die das Benutzerkonto nutzen.

  • Dienstidentität: Dienstkonto.

Privilegiertes Benutzerkonto

Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt.

Gruppen erbbar

Angabe, ob das Benutzerkonto Gruppen über die Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Person mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.
  • Wenn eine Person eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Person diese Gruppe nur, wenn die Option aktiviert ist.

Benutzerkonto ist deaktiviert

Angabe, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren.

Verwandte Themen
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택