지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.2.1 - Administrationshandbuch für das Identity Management Basismodul

Grundlagen zur Abbildung von Unternehmensstrukturen im One Identity Manager Dynamische Rollen Abteilungen, Kostenstellen und Standorte
One Identity Manager Benutzer für die Verwaltung von Abteilungen, Kostenstellen und Standorten Basisdaten für Abteilungen, Kostenstellen und Standorte Abteilungen erstellen und bearbeiten Kostenstellen erstellen und bearbeiten Standorte erstellen und bearbeiten IT Betriebsdaten für Abteilungen, Kostenstellen und Standorte einrichten Identitäten, Geräte und Arbeitsplätze an Abteilungen, Kostenstellen und Standorte zuweisen Unternehmensressourcen an Abteilungen, Kostenstellen und Standorte zuweisen Dynamische Rollen für Abteilungen, Kostenstellen und Standorte erstellen und bearbeiten Dynamische Rollen mit fehlerhaft ausgeschlossenen Identitäten Organisationen zuweisen Vererbungsausschluss für Abteilungen, Kostenstellen und Standorte festlegen Zusatzeigenschaften an Abteilungen, Kostenstellen und Standorte zuweisen Zertifizierung von Abteilungen, Kostenstellen und Standorten Berichte über Abteilungen, Kostenstellen und Standorte
Identitäten verwalten
One Identity Manager Benutzer für die Verwaltung von Identitäten Grundlagen zur Verwaltung von Identitäten Identitäten erstellen und bearbeiten Unternehmensressourcen an Identitäten zuweisen Herkunft von Rollen und Berechtigungen von Identitäten anzeigen Analyse von Rollenmitgliedschaften und Zuweisungen an Identitäten Deaktivieren und Löschen von Identitäten Löschen aller personenbezogenen Daten Eingeschränkter Zugang zum One Identity Manager Zertifizierungsstatus von Identitäten ändern Überblick über Identitäten anzeigen Webauthn-Sicherheitsschlüssel von Identitäten anzeigen und löschen Ermitteln der Sprache für Identitäten Ermitteln der Arbeitszeiten für Identitäten Benutzerkonten manuell an Identitäten zuweisen Tickets für Identitäten erfassen Zusatzeigenschaften an Identitäten zuweisen Berichte über Identitäten Basisdaten für Identitäten
Geräte und Arbeitsplätze verwalten
Basisdaten für die Geräteverwaltung Geräte erstellen und bearbeiten Unternehmensressourcen an Geräte zuweisen Servicevereinbarungen an Geräte zuweisen und Tickets erfassen Überblick über Geräte anzeigen Arbeitsplätze erstellen und bearbeiten Unternehmensressourcen an Arbeitsplätze zuweisen Überblick über Arbeitsplätze anzeigen Geräte an Arbeitsplätze zuweisen Arbeitsplätze an Identitäten zuweisen Tickets für Arbeitsplätze erfassen Anlageinformationen für Geräte
Ressourcen verwalten Zusatzeigenschaften einrichten Konfigurationsparameter für die Verwaltung von Abteilungen, Kostenstellen und Standorten Konfigurationsparameter für die Verwaltung von Identitäten Konfigurationsparameter für die Verwaltung von Geräten und Arbeitsplätzen

Vererbungsausschluss: Festlegen widersprechender Rollen

Um zu verhindern, dass Identitäten, Geräte oder Arbeitsplätze gleichzeitig an verschiedene Rollen zugewiesen werden und über diese Rollen sich ausschließende Unternehmensressourcen erhalten könnten, können Sie widersprechende Rollen definieren. Dabei legen Sie fest, welche Abteilungen, Kostenstellen oder Standorte sich gegenseitig ausschließen. Sie dürfen diese Rollen dann nicht mehr an ein und dieselbe Identität (Gerät, Arbeitsplatz) zuweisen.

HINWEIS: Nur Rollen, die direkt als widersprechende Rollen definiert sind, können nicht an ein und dieselbe Identität (Gerät, Arbeitsplatz) zugewiesen werden. Festlegungen an übergeordneten oder untergeordneten Rollen haben keinen Einfluss auf die Zuweisung.

Beispiel:

An der Kostenstelle A wurde Kostenstelle B als widersprechende Kostenstelle eingetragen. Jenna Miller und Hans Peter sind Mitglied der Kostenstelle A. Lotte Louise ist Mitglied der Kostenstelle B. Hans Peter kann nicht an Kostenstelle B zugewiesen werden. Der One Identity Manager verhindert außerdem, dass Jenna Miller an Kostenstelle B und Lotte Louise an Kostenstelle A zugewiesen wird.

Abbildung 12: Mitgliedschaften in sich widersprechenden Rollen

Um den Vererbungsausschluss zu konfigurieren

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Structures | ExcludeStructures und kompilieren Sie die Datenbank.

    HINWEIS: Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

Verwandte Themen

Dynamische Rollen

Dynamische Rollen werden eingesetzt, um Mitgliedschaften für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten dynamisch festzulegen. Dabei werden Identitäten, Geräte oder Arbeitsplätze nicht fest an diese Rollen zugewiesen, sondern nur dann, wenn sie bestimmte Bedingungen erfüllen. Welche Identitäten (Geräte oder Arbeitsplätze) diese Bedingungen erfüllen, wird regelmäßig überprüft. Dadurch ändern sich die Rollenmitgliedschaften dynamisch. So können beispielsweise Unternehmensressourcen an alle Identitäten einer Abteilung zugewiesen werden; verlässt eine Identität diese Abteilung verliert sie sofort die zugewiesenen Unternehmensressourcen.

Beispiel: Funktion dynamischer Rollen

In einer neu angelegten dynamischen Rolle werden alle externen Identitäten zusammengefasst. Diesen Identitäten soll eine Unternehmensressource ABC zugewiesen werden. Zunächst wird die dynamische Rolle mit folgenden Angaben definiert:

Dynamische Rolle Externe Identitäten
Beschreibung Alle externen Identitäten
Objektklasse Identität
Bedingung IsExternal = 1
Abteilung A_1

Der Abteilung A_1 wird nun die Ressource ABC zugewiesen. Alle Identitäten, die zum Zeitpunkt der Definition der dynamischen Rolle die Bedingung erfüllen, werden der Abteilung A_1 zugeordnet und erben von ihr die Ressource ABC. Erfüllen zu einem späteren Zeitpunkt weitere Identitäten die Bedingung, so werden diese Identitäten ab dem Moment in die Abteilung A_1 aufgenommen. Umgekehrt gilt jedoch auch, dass Identitäten aus der Abteilung A_1 entfernt werden, sobald sie im One Identity Manager nicht mehr als externe Identitäten bekannt sind. Sofern den Identitäten die Ressource ABC nicht noch über einen anderen Weg zugewiesen wurde, ist die Ressource ab diesem Zeitpunkt nicht mehr verfügbar.

Rollenmitgliedschaften über dynamische Rollen werden als indirekte, sekundäre Zuweisung realisiert. Daher muss die sekundäre Zuweisung von Identitäten, Geräten und Arbeitsplätzen an den Rollenklassen zugelassen sein. Gegebenenfalls müssen Sie dazu weitere Konfigurationseinstellungen vornehmen.

Identitäten können aufgrund einer abgelehnten Attestierung oder einer Regelverletzung automatisch aus dynamischen Rollen ausgeschlossen werden. Dafür wird eine Ausschlussliste geführt. Zusätzlich können Ausschlüsse auch direkt für einzelne Identitäten definiert werden. Identitäten können zusätzlich auch direkt oder durch eine Zuweisungsbestellung oder Delegierung Mitglied der Rolle werden. Diese Mitgliedschaften werden durch die Ausschlussliste nicht eingeschränkt.

Ausführliche Informationen zum automatischen Ausschluss bei abgelehnter Attestierung finden Sie im One Identity Manager Administrationshandbuch für Attestierungen. Ausführliche Informationen zum automatischen Ausschluss bei einer Regelverletzung finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Verwandte Themen

Dynamische Rollen erstellen und bearbeiten

Dynamische Rollen können Sie für Abteilungen, Kostenstellen, Standort, Geschäftsrollen, Anwendungsrollen und IT Shop Knoten erstellen. Damit können Sie Mitgliedschaften in diesen Rollen dynamisch festlegen.

Um eine dynamische Rolle zu erstellen

  1. Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt werden soll.

  2. Wählen Sie die Aufgabe Dynamische Rolle erstellen.

  3. Erfassen Sie die erforderlichen Stammdaten.

  4. Speichern Sie die Änderungen.

Um eine dynamische Rolle zu bearbeiten

  1. Wählen Sie im Manager die Rolle, für die eine dynamische Rolle erstellt wurde.

  2. Öffnen Sie das Überblicksformular für diese Rolle.

  3. Wählen Sie das Formularelement Dynamische Rollen und klicken Sie auf die dynamische Rolle.

  4. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  5. Bearbeiten Sie die Daten und speichern Sie anschließend die Änderungen.

Verwandte Themen

Hinweise zu Bedingungen für dynamische Rollen

WICHTIG: Umfasst die Bedingung eine große Anzahl zuzuordnender Objekte, kann bei der Berechnung der Mitgliedschaften eine hohe Last im DBQueue Prozessor und damit auf dem Datenbankserver erzeugt werden.

Die Bedingung einer dynamischen Rolle wird als gültige Where–Klausel für Datenbankabfragen definiert und muss sich auf die gewählte Objektklasse Identität, Geräte oder Arbeitsplatz beziehen.

Sie haben im Manager verschiedene Möglichkeiten die Bedingungen zu erstellen:

  • Die Bedingung können Sie direkt als SQL-Abfrage eingeben.

  • Sie können zum Erstellen der Bedingungen den Where-Klausel Assistenten nutzen.

  • Bedingungen für Identitäten können Sie alternativ über den Filterdesigner zusammenstellen.

    HINWEIS: Wenn Sie im Filterdesigner den Bedingungstyp Für das Konto mit dem Zielsystemtyp oder Für die Berechtigung mit dem Zielsystemtyp wählen, können nur Spalten ausgewählt werden, die im Unified Namespace abgebildet sind und für die die Spalteneigenschaft Anzeige im Filterdesigner aktiviert ist.

Über die Variable @UID_Org können Sie auf die Rolle oder die Organisation zugreifen, auf welche die dynamische Rolle verweist.

Beispiel:

Die Bedingung für die dynamische Rolle für Identitäten soll nur wirken, wenn der Standort der Identität (Person.UID_Locality) und der Standort der zugeordnete Rolle oder Organisation (BaseTree.UID.UID_OrgLocality) übereinstimmen.

Ergänzung der Where-Klausel:

...

and uid_locality = (select b.UID_OrgLocality from BaseTree b where b.UID_Org = @UID_Org)

Beispiel:

Die Bedingung für die dynamische Rolle für Identitäten soll nur wirken, solange die zugeordnete Rolle oder Organisation eine bestimmte Eigenschaft hat.

Ergänzung der Where-Klausel:

...

and exists (select top 1 1

from BaseTree b

where b.UID_Org = @UID_Org

and b.CustomProperty01 = '123'

)

HINWEIS: Wenn Sie Kommentare in die Bedingung einfügen und die Kommentarzeichen --, // oder % verwenden, kann der DBQueue Prozessor die dynamische Rolle nicht korrekt berechnen. Die Berechnung wird mit einem Fehler abgebrochen. Schließen Sie Kommentare immer mit den Kommentarzeichen /* ... */ ein.

Verwandte Themen
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택