Im One Identity Manager können Sie organisatorische Einheiten in einer hierarchischen Containerstruktur einrichten. Organisatorische Einheiten (Geschäftsstellen oder Abteilungen) werden dazu genutzt, Objekte des Active Directory wie Benutzerkonten und Gruppen logisch zu organisieren und somit die Verwaltung der Objekte zu erleichtern.
HINWEIS: Nachfolgend wird auf Besonderheiten bei der Verwaltung von Active Directory Objekten über eingegangen. Ausführliche Informationen zur Verwaltung einer Active Directory-Umgebung mit dem One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.
Detaillierte Informationen zum Thema
Mit der One Identity Manager Active Directory Edition wird die Überführung der Funktionalität von Self-Service Manager in den IT Shop des One Identity Manager direkt unterstützt.
Wenn Sie die One Identity Manager Edition einsetzen, führen Sie vor der initialen Synchronisation zusätzlich folgende Schritte aus.
Um Gruppen automatisch in den IT Shop aufzunehmen
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.
-
Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.
Beispiel:
.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS
-
Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | ARS_SSM.
-
(Optional) Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName.
Ist der Konfigurationsparameter aktiviert, wird für Active Directory Gruppen ein Anzeigename gebildet, sofern noch kein Anzeigename vorhanden ist. Der Anzeigename wird beispielsweise für die Anzeige der Gruppe im Web Portal benötigt. Für eine über verwaltete Active Directory Domäne wird der Anzeigename nur für Gruppen gebildet, die im Self-Service Manager veröffentlicht ist.
-
Kompilieren Sie die Datenbank.
Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.
Folgende Schritte werden bei der Aufnahme einer Gruppe in den IT Shop automatisch ausgeführt.
-
Es wird eine Leistungsposition für die Systemberechtigung ermittelt.
Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.
-
Für Systemberechtigungen mit Leistungsposition wird die Leistungsposition angepasst.
-
Systemberechtigungen ohne Leitungsposition erhalten eine neue Leistungsposition.
-
Die Leistungsposition wird abhängig davon, ob die Systemberechtigung im Self-Service Manager veröffentlicht ist, aktiviert oder deaktiviert.
-
Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.
-
Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet.
Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen. Standardmäßig wird der Kontomanager einer Systemberechtigung als Produkteigner ermittelt.
HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.
-
Ist der Kontomanager der Systemberechtigung bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Systemberechtigung.
-
Ist der Kontomanager der Systemberechtigung noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Kontomanagers.
-
Handelt es sich beim Kontomanager um ein Benutzerkonto oder einen Kontakt, wird die Person des Benutzerkontos oder des Kontaktes in die Anwendungsrolle aufgenommen.
-
Handelt es sich um eine Gruppe von Kontomanagern, werden die Personen aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.
-
Besitzt die Systemberechtigung keine Kontomanager wird die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Ohne Eigentümer im AD verwendet.
-
Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.
Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.
HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.
Verwandte Themen
HINWEIS: Bei der Bestellung der Gruppenmitgliedschaft wird in der Standardinstallation der Entscheidungsworkflow Entscheidung der Bestellungen von Mitgliedschaften in Active Directory Gruppen wirksam.
Um eine neue Active Directory Gruppe zu bestellen
-
Wählen Sie im Web Portal im Menü Servicekatalog > Bestellung die Servicekategorie Active Directory Gruppen.
-
Bestellen Sie die Active Directory Gruppe über die Produkte Anlegen einer Active Directory Verteilerliste oder Anlegen einer Active Directory Sicherheitsgruppe.
Bei der Bestellung einer neuen Active Directory Gruppe werden automatisch die folgenden Schritte ausgeführt:
-
Es wird ein Eintrag für die Active Directory Gruppe im One Identity Manager erzeugt.
-
Die Active Directory Gruppe wird mit der Option Gruppe ist im Self-Service Manager veröffentlicht gekennzeichnet.
-
Die Active Directory Gruppe wird mit der Option IT Shop gekennzeichnet.
-
Es wird eine zugehörige Leistungsposition erzeugt. Es wird eine neue Anwendungsrolle erstellt, in welcher der Besteller Mitglied wird. Die Anwendungsrolle wird als Produkteigner der Leistungsposition eingetragen.
Durch dieses Vorgehen ist der Besteller einer Active Directory Gruppe entscheidungsberechtigt bei der Bestellung von Mitgliedschaften in dieser Active Directory Gruppe.
-
Die Active Directory Gruppe wird im Standardshop Identity & Access Lifecycle dem Regal Active Directory Gruppen zugewiesen.
Anschließend ist Mitgliedschaft in der Active Directory Gruppe für die Kunden des Shops über das Web Portal bestellbar.
HINWEIS: Wenn eine Active Directory Gruppe endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.
Verwandte Themen
Für werden für eine Active Directory Gruppe zusätzliche Stammdaten abgebildet. Ausführliche Informationen zur Verwaltung von Active Directory Gruppen im One Identity Manager finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Active Directory-Umgebung.
Um die aus dem ermittelten Stammdaten einer Active Directory Gruppe anzuzeigen
-
Wählen Sie im Manager die Kategorie Active Directory > Gruppen.
-
Wählen Sie in der Ergebnisliste die Gruppe.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie den Tabreiter .
Die folgenden Eigenschaften werden abgebildet.
Tabelle 8: -spezifische Eigenschaften einer Active Directory Gruppe
Gruppe ist im Self-Service Manager veröffentlicht |
Wenn eine Active Directory Gruppe veröffentlicht ist, kann diese Active Directory Gruppe nach der Synchronisation sofort das Web Portal bestellt werden. Die Angabe wird bei der Synchronisation aus dem gelesen. Bei Anlage einer Active Directory Gruppe über das Web Portal wird diese Angabe publiziert, um bei Bedarf weitere Arbeitsabläufe in zu starten. |
Entscheidung durch die Besitzer der Gruppe |
Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch den Besitzer (Kontomanager) der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop. |
Entscheidung durch einen zusätzlichen Besitzer der Gruppe |
Gibt an, ob die Entscheidung über die Gruppenmitgliedschaft durch die zusätzlichen Besitzer der Active Directory Gruppe erfolgen muss. Die Angabe hat Auswirkung auf den Ablauf des Genehmigungsverfahrens im IT Shop. |
Dynamische Gruppe |
Gibt an, ob die Mitglieder dieser Gruppe in dynamisch ermittelt werden. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig. |
Kontrollierte Gruppe |
Gibt an, ob die Gruppe ist unter Kontrolle von ist. Die Gruppe gehört zu einer Group Family in . Die Mitgliedschaften werden über die Group Family geregelt. Manuelle Änderungen der Mitgliedschaften sind nicht zulässig. |
Group Family |
Gibt an, ob diese Gruppe eine Group Family in repräsentiert. Group Family erstellt automatisch Gruppen und verwaltet die Mitgliedschaften in Übereinstimmung mit konfigurierbaren Regeln in . Manuelle Änderungen der Mitgliedschaften sind nicht zulässig. |
Zusätzliche Besitzer |
Liste zusätzlicher Besitzer. Zulässig sind Active Directory Gruppen oder Active Directory Benutzerkonten. |
Deprovisionierungsstatus |
Status der Deprovisionierungsabläufe durch beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus dem gelesen.
-
Keine Deprovisionierung: Das Active Directory Objekt ist aktiv.
-
Deprovisionierung erfolgreich: Das Active Directory Objekt wurde erfolgreich deprovisioniert.
-
Deprovisionierung fehlerhaft: Bei der Deprovisionierung des Active Directory Objektes ist ein Fehler aufgetreten. |
Deprovisionierungsdatum |
Datum der Deprovisionierungsabläufe durch beim Löschen des Objektes. Die Angabe wird bei der Synchronisation aus gelesen. |
Verwandte Themen