지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.2.1 - Administrationshandbuch für Privileged Account Governance

Über dieses Handbuch Verwalten eines Privileged Account Management Systems im One Identity Manager Synchronisieren eines Privileged Account Management Systems
Einrichten der Initialsynchronisation mit One Identity Safeguard Anpassen der Synchronisationskonfiguration für One Identity Safeguard Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von PAM Benutzerkonten und Identitäten Managen von Zuweisungen von PAM Benutzergruppen Bereitstellen von Anmeldeinformationen für PAM Benutzerkonten Abbildung von PAM-Objekten im One Identity Manager
PAM Appliances PAM Benutzerkonten PAM Benutzergruppen PAM Assets PAM Assetgruppen PAM Assetkonten PAM Verzeichniskonten PAM Kontogruppen PAM Verzeichnisse PAM Partitionen PAM Nutzungsrechte PAM Zugriffsanforderungsrichtlinien Berichte über PAM-Objekte
PAM Zugriffsanforderungen Behandeln von PAM-Objekten im Web Portal Basisdaten für die Verwaltung eines Privileged Account Management Systems Konfigurationsparameter für die Verwaltung eines Privileged Account Management Systems Standardprojektvorlage für One Identity Safeguard Verarbeitung von One Identity Safeguard Systemobjekten Einstellungen des One Identity Safeguard Konnektors Bekannte Probleme bei der Anbindung einer One Identity Safeguard Appliance

Datenfehler bei der Synchronisation ignorieren

Standardmäßig werden Objekte mit fehlerhaften Daten nicht synchronisiert. Diese Objekte können synchronisiert werden, sobald die fehlerhaften Daten korrigiert wurden. In einzelnen Situationen kann es notwendig sein, solche Objekte dennoch zu synchronisieren und nur die fehlerhaften Objekteigenschaften zu ignorieren. Dieses Verhalten kann für die Synchronisation in den One Identity Manager konfiguriert werden.

Um Datenfehler bei der Synchronisation in den One Identity Manager zu ignorieren

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Konfiguration > One Identity Manager Verbindung.

  3. In der Ansicht Allgemein klicken Sie Verbindung bearbeiten.

    Der Systemverbindungsassistent wird gestartet.

  4. Auf der Seite Weitere Einstellungen aktivieren Sie Versuche Datenfehler zu ignorieren.

    Diese Option ist nur wirksam, wenn am Synchronisationsworkflow Bei Fehler fortsetzen eingestellt ist.

    Fehler in Standardspalten, wie Primärschlüssel oder UID-Spalten, und Pflichteingabespalten können nicht ignoriert werden.

  5. Speichern Sie die Änderungen.

WICHTIG: Wenn die Option aktiviert ist, versucht der One Identity Manager Speicherfehler zu ignorieren, die auf Datenfehler in einer einzelnen Spalte zurückgeführt werden können. Dabei wird die Datenänderung an der betroffenen Spalte verworfen und das Objekt anschließend neu gespeichert. Das beeinträchtigt die Performance und führt zu Datenverlust.

Aktivieren Sie die Option nur im Ausnahmefall, wenn eine Korrektur der fehlerhaften Daten vor der Synchronisation nicht möglich ist.

Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)

Wenn ein Zielsystemkonnektor das Zielsystem zeitweilig nicht erreichen kann, können Sie den Offline-Modus für dieses Zielsystem aktivieren. Damit können Sie verhindern, dass zielsystemspezifische Prozesse in der Jobqueue eingefroren werden und später manuell reaktiviert werden müssen.

Ob der Offline-Modus für eine Zielsystemverbindung grundsätzlich verfügbar ist, wird am Basisobjekt des jeweiligen Synchronisationsprojekts festgelegt. Sobald ein Zielsystem tatsächlich nicht erreichbar ist, kann diese Zielsystemverbindungen über das Launchpad offline und anschließend wieder online geschaltet werden.

Im Offline-Modus werden alle dem Basisobjekt zugewiesenen Jobserver angehalten. Dazu gehören der Synchronisationsserver und alle an der Lastverteilung beteiligten Jobserver. Falls einer der Jobserver auch andere Aufgaben übernimmt, dann werden diese ebenfalls nicht verarbeitet.

Voraussetzungen

Der Offline-Modus kann nur unter bestimmten Voraussetzungen für ein Basisobjekt zugelassen werden.

  • Der Synchronisationsserver wird für kein anderes Basisobjekt als Synchronisationsserver genutzt.

  • Wenn dem Basisobjekt eine Serverfunktion zugewiesen ist, darf keiner der Jobserver mit dieser Serverfunktion eine andere Serverfunktion (beispielsweise Aktualisierungsserver) haben.

  • Es muss ein dedizierter Synchronisationsserver eingerichtet sein, der ausschließlich die Jobqueue für dieses Basisobjekt verarbeitet. Gleiches gilt für alle Jobserver, die über die Serverfunktion ermittelt werden.

Um den Offline-Modus für ein Basisobjekt zuzulassen

  1. Öffnen Sie im Synchronization Editor das Synchronisationsprojekt.

  2. Wählen Sie die Kategorie Basisobjekte.

  3. Wählen Sie in der Dokumentenansicht das Basisobjekt und klicken Sie .

  4. Aktivieren Sie Offline-Modus verfügbar.

  5. Klicken Sie OK.
  6. Speichern Sie die Änderungen.

WICHTIG: Um Dateninkonsistenzen zu vermeiden, sollten Offline-Phasen kurz gehalten werden.

Die Zahl der nachträglich zu verarbeitenden Prozesse ist abhängig vom Umfang der Änderungen in der One Identity Manager-Datenbank mit Auswirkungen auf das Zielsystem während der Offline-Phase. Um Datenkonsistenz zwischen One Identity Manager-Datenbank und Zielsystem herzustellen, müssen alle anstehenden Prozesse verarbeitet werden, bevor eine Synchronisation gestartet wird.

Nutzen Sie den Offline-Modus möglichst nur, um kurzzeitige Systemausfälle, beispielsweise Wartungsfenster, zu überbrücken.

Um ein Zielsystem als offline zu kennzeichnen

  1. Starten Sie das Launchpad und melden Sie sich an der One Identity Manager-Datenbank an.

  2. Wählen Sie Verwalten > Systemüberwachung > Zielsysteme als offline kennzeichnen.

  3. Klicken Sie Starten.

    Der Dialog Offline-Systeme verwalten wird geöffnet. Im Bereich Basisobjekte werden die Basisobjekte aller Zielsystemverbindungen angezeigt, für die der Offline-Modus zugelassen ist.

  4. Wählen Sie das Basisobjekt, dessen Zielsystemverbindung nicht verfügbar ist.

  5. Klicken Sie Offline schalten.

  6. Bestätigen Sie die Sicherheitsabfrage mit OK.

    Damit werden die dem Basisobjekt zugewiesenen Jobserver angehalten. Es werden keine Synchronisations- und Provisionierungsaufträge ausgeführt. In Job Queue Info wird angezeigt, wenn ein Jobserver offline geschaltet wurde und die entsprechenden Aufträge nicht verarbeitet werden.

Ausführliche Informationen zum Offline-Modus finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Verwandte Themen

Managen von PAM Benutzerkonten und Identitäten

Zentraler Bestandteil des One Identity Manager ist die Abbildung von Identitäten mit ihren Stammdaten sowie den Berechtigungen, über die sie in verschiedenen Zielsystemen verfügen. Zu diesem Zweck können Informationen über Benutzerkonten und Berechtigungen aus den Zielsystemen in die One Identity Manager-Datenbank eingelesen und mit den Identitäten verbunden werden. Für jede Identität kann damit ein Überblick über ihre Berechtigungen in allen angebundenen Zielsystemen gewonnen werden. Der One Identity Manager bietet die Möglichkeit Benutzerkonten und ihre Berechtigungen zu verwalten. Änderungen können in die Zielsysteme provisioniert werden. Die Identitäten werden so entsprechend ihrer Funktion mit den benötigten Berechtigungen in den angebundenen Zielsystemen versorgt. Regelmäßige Synchronisationsprozesse halten die Daten zwischen den Zielsystemen und der One Identity Manager-Datenbank konsistent.

Da die Anforderungen von Unternehmen zu Unternehmen unterschiedlich sind, bietet der One Identity Manager verschiedene Verfahren zur Versorgung einer Identität mit den benötigten Benutzerkonten an. Der One Identity Manager unterstützt die folgenden Vorgehensweisen, um Identitäten und ihre Benutzerkonten zu verknüpfen:

  • Identitäten erhalten ihre Benutzerkonten automatisch über Kontendefinitionen.

    Hat eine Identität noch kein Benutzerkonto in einer Appliance, wird durch die Zuweisung der Kontendefinition an eine Identität über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

    Wenn Sie Benutzerkonten über Kontendefinitionen verwalten, können Sie das Verhalten von Benutzerkonten beim Deaktivieren oder Löschen von Identitäten festlegen.

  • Beim Einfügen eines Benutzerkontos wird automatisch eine vorhandene Identität zugeordnet oder im Bedarfsfall eine neue Identität erstellt. Dabei werden die Identitätenstammdaten anhand vorhandener Benutzerkontenstammdaten erzeugt. Dieser Mechanismus kann eingesetzt werden, wenn ein neues Benutzerkonto manuell oder durch eine Synchronisation erstellt wird. Dieses Vorgehen ist jedoch nicht das Standardverfahren für den One Identity Manager. Für die automatische Identitätenzuordnung definieren Sie Kriterien, anhand derer die Identitäten ermittelt werden sollen.

  • Identitäten und Benutzerkonten können manuell erfasst und einander zugeordnet werden.

Ausführliche Informationen zu den Grundlagen zur Behandlung und Administration von Identitäten und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Kontendefinitionen für PAM Benutzerkonten

Um Benutzerkonten automatisch an Identitäten zu vergeben, kennt der One Identity Manager Kontendefinitionen. Kontendefinitionen können für jedes Zielsystem erzeugt werden. Hat eine Identität noch kein Benutzerkonto in einem Zielsystem, wird durch die Zuweisung der Kontendefinition an eine Identität ein neues Benutzerkonto erzeugt.

Aus den Identitätenstammdaten resultieren die Daten für das Benutzerkonto im jeweiligen Zielsystem. Die Identitäten müssen ein zentrales Benutzerkonto besitzen. Über die primäre Zuordnung der Identität zu einem Standort, einer Abteilung, einer Kostenstelle oder einer Geschäftsrolle und die Zuweisung der IT Betriebsdaten zu diesen Unternehmensstrukturen wird automatisch die Zuteilung der IT Betriebsdaten zum Benutzerkonto der Identität geregelt. Die Verarbeitung erfolgt über Bildungsregeln. In der Standardinstallation sind vordefinierte Bildungsregeln zur Ermittlung der benötigten Daten für die Benutzerkonten enthalten. Bei Bedarf können Sie die Bildungsregeln kundenspezifisch anpassen.

Für eine Kontendefinition legen Sie Automatisierungsgrade für die Behandlung der Benutzerkonten fest. Der Automatisierungsgrad eines Benutzerkontos entscheidet über den Umfang der vererbten Eigenschaften der Identität an das Benutzerkonto. So kann beispielsweise eine Identität mehrere Benutzerkonten in einem Zielsystem besitzen:

  • Standardbenutzerkonto, welches alle Eigenschaften über die Identität erbt

  • Administratives Benutzerkonto, das zwar mit der Identität verbunden ist, aber keine Eigenschaften von der Identität erben soll

Ausführliche Informationen zu den Grundlagen zu Kontendefinitionen, Automatisierungsgraden und zur Ermittlung der gültigen IT Betriebsdaten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Für den Einsatz einer Kontendefinition sind die folgenden Schritte erforderlich:

  • Erstellen von Kontendefinitionen

  • Konfigurieren der Automatisierungsgrade

  • Erstellen der Abbildungsvorschriften für die IT Betriebsdaten

  • Erfassen der IT Betriebsdaten

  • Zuweisen der Kontendefinitionen an Identitäten und Zielsysteme

Detaillierte Informationen zum Thema
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택