지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 9.2.1 - Administrationshandbuch für Active Roles Integration

Integration mit One Identity Active Roles Synchronisieren einer Active Directory-Umgebung über One Identity Active Roles Interaktion mit Active Roles Arbeitsabläufen Interaktion mit Active Roles Richtlinien Verwalten der Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für One Identity Active Roles Einstellungen des Active Roles Konnektors

Interaktion mit Active Roles Richtlinien

Bei der Definition von Bildungsregeln im One Identity Manager sollten Sie die im Active Roles definierte Richtlinien beachten. Werte, die der One Identity Manager generiert, werden ohne Prüfung auf Einhaltung der Active Roles Richtlinien an den Active Roles Konnektor übergeben. Verstoßen die übergebenen Werte gegen die Active Roles Richtlinien, wird der gesamte Prozess fehlschlagen. Um dies zu vermeiden, sollten Sie die One Identity Manager Bildungsregeln an die Active Roles anpassen.

Informationen zu Active Roles Richtlinien entnehmen Sie Ihrer One Identity Active Roles Dokumentation.

Verwalten der Active Directory Objekte

Im One Identity Manager können Sie organisatorische Einheiten in einer hierarchischen Containerstruktur einrichten. Organisatorische Einheiten (Geschäftsstellen oder Abteilungen) werden dazu genutzt, Objekte des Active Directory wie Benutzerkonten und Gruppen logisch zu organisieren und somit die Verwaltung der Objekte zu erleichtern.

HINWEIS: Nachfolgend wird auf Besonderheiten bei der Verwaltung von Active Directory Objekten über Active Roles eingegangen. Ausführliche Informationen zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.

Detaillierte Informationen zum Thema

Active Directory Gruppen automatisch in den IT Shop aufnehmen

Führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus.

Um Gruppen automatisch in den IT Shop aufzunehmen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.

    Beispiel:

    .*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

  3. Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.

  4. (Optional) Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName.

    Ist der Konfigurationsparameter aktiviert, wird für Active Directory Gruppen ein Anzeigename gebildet, sofern noch kein Anzeigename vorhanden ist. Der Anzeigename wird beispielsweise für die Anzeige der Gruppe im Web Portal benötigt. Für eine über Active Roles verwaltete Active Directory Domäne wird der Anzeigename nur für Gruppen gebildet, die im Active Roles Self-Service Manager veröffentlicht ist.

  5. Kompilieren Sie die Datenbank.

Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Gruppe in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Systemberechtigung ermittelt.

    Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.

    • Für Systemberechtigungen mit Leistungsposition wird die Leistungsposition angepasst.

    • Systemberechtigungen ohne Leitungsposition erhalten eine neue Leistungsposition.

    • Die Leistungsposition wird abhängig davon, ob die Systemberechtigung im Active Roles Self-Service Manager veröffentlicht ist, aktiviert oder deaktiviert.

  2. Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.

  3. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet.

    Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen. Standardmäßig wird der Kontomanager einer Systemberechtigung als Produkteigner ermittelt.

    HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.
    • Ist der Kontomanager der Systemberechtigung bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Systemberechtigung.

    • Ist der Kontomanager der Systemberechtigung noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Kontomanagers.

      • Handelt es sich beim Kontomanager um ein Benutzerkonto oder einen Kontakt, wird die Identität des Benutzerkontos oder des Kontaktes in die Anwendungsrolle aufgenommen.

      • Handelt es sich um eine Gruppe von Kontomanagern, werden die Identitäten aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.

    • Besitzt die Systemberechtigung keine Kontomanager wird die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Ohne Eigentümer im AD verwendet.

  4. Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.

HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen

Active Directory Gruppen über das Web Portal bestellen

HINWEIS: Bei der Bestellung der Gruppenmitgliedschaft wird in der Standardinstallation der Entscheidungsworkflow Entscheidung der Bestellungen von Mitgliedschaften in Active Directory Gruppen wirksam.

Um eine neue Active Directory Gruppe zu bestellen

  • Wählen Sie im Web Portal im Menü Servicekatalog > Bestellung die Servicekategorie Active Directory Gruppen.

  • Bestellen Sie die Active Directory Gruppe über die Produkte Anlegen einer Active Directory Verteilerliste oder Anlegen einer Active Directory Sicherheitsgruppe.

Bei der Bestellung einer neuen Active Directory Gruppe werden automatisch die folgenden Schritte ausgeführt:

  • Es wird ein Eintrag für die Active Directory Gruppe im One Identity Manager erzeugt.

  • Die Active Directory Gruppe wird mit der Option Gruppe ist im Self-Service Manager veröffentlicht gekennzeichnet.

  • Die Active Directory Gruppe wird mit der Option IT Shop gekennzeichnet.

  • Es wird eine zugehörige Leistungsposition erzeugt. Es wird eine neue Anwendungsrolle erstellt, in welcher der Besteller Mitglied wird. Die Anwendungsrolle wird als Produkteigner der Leistungsposition eingetragen.

    Durch dieses Vorgehen ist der Besteller einer Active Directory Gruppe entscheidungsberechtigt bei der Bestellung von Mitgliedschaften in dieser Active Directory Gruppe.

  • Die Active Directory Gruppe wird im Standardshop Identity & Access Lifecycle dem Regal Active Directory Gruppen zugewiesen.

Anschließend ist Mitgliedschaft in der Active Directory Gruppe für die Kunden des Shops über das Web Portal bestellbar.

HINWEIS: Wenn eine Active Directory Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택