Verwalten einer SharePoint Umgebung
Im One Identity Manager können die Komponenten und Zugriffsrechte von SharePoint 2013, SharePoint 2016, SharePoint 2019 und SharePoint Server Subscription Edition Umgebungen abgebildet werden. Ziel dieser Abbildung ist es, den Mitarbeitern eines Unternehmens Zugriffsrechte auf die Websites einer SharePoint-Umgebung zu gewähren. Für diese Abbildung werden Informationen über folgende Komponenten der SharePoint Umgebung in die One Identity Manager-Datenbank eingelesen.
SharePoint Rollen, Gruppen und Benutzerkonten werden im Kontext der SharePoint-Komponenten abgebildet, für die sie eingerichtet sind. Über diese Objekte werden im One Identity Manager den SharePoint Benutzern die Zugriffsrechte auf die verschiedenen Websites zur Verfügung gestellt. Dafür können Sie die unterschiedlichen Mechanismen des One Identity Managers für die Verbindung der Personen mit ihren SharePoint Benutzerkonten nutzen. Es werden folgende Objekte provisioniert:
- SharePoint Benutzerkonten und ihre Beziehungen zu SharePoint Rollen und Gruppen
- SharePoint Gruppen und ihre Zuordnungen zu Benutzerkonten und Rollen
- SharePoint Rollen und ihre Berechtigungen auf Websites
Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die klassische Windows-Authentifizierung als auch die forderungsbasierte Authentifizierung. Jedem SharePoint Benutzerkonto, das sich über die klassische Windows-Authentifizierung anmelden kann, ist im One Identity Manager ein Active Directory oder LDAP Benutzerkonto bzw. eine Active Directory oder LDAP Gruppe zugeordnet. Voraussetzung dafür ist, dass die zugehörige Active Directory bzw. LDAP-Umgebung ebenfalls in der One Identity Manager-Datenbank abgebildet werden. Informationen über die in der SharePoint-Umgebung genutzten Authentifizierungssyteme können im One Identity Manager gepflegt werden.
Zu jedem SharePoint Benutzerkonto, das mit einem Active Directory oder LDAP Benutzerkonto verbunden ist, kann zusätzlich eine in der One Identity Manager-Datenbank hinterlegte Person zugeordnet werden. Damit ist es möglich, die Mitgliedschaften von Personen in SharePoint Rollen und Gruppen zu pflegen. Über die Zuordnung von SharePoint Rollen und Gruppen zu den Unternehmensstrukturen können SharePoint Berechtigungen an die Personen vererbt werden. Außerdem ist es möglich, Berechtigungen über den IT Shop zu bestellen. Über Complianceregeln können die einer Person zugewiesenen Berechtigungen überwacht werden.
Architekturüberblick
Der SharePoint-Konnektor wird für die Synchronisation und Provisionierung der SharePoint-Umgebung eingesetzt. Der Konnektor kommuniziert direkt mit den SharePoint Servern einer SharePoint Farm.
Abbildung 1: Kommunikationsweg des Konnektors mit der SharePoint-Umgebung
Für die Synchronisation und Provisionierung müssen auf einem beliebigen Server der SharePoint Farm der One Identity Manager Service, der SharePoint Konnektor und der Synchronization Editor installiert sein. Dieser Server wird im Weiteren als Synchronisationsserver bezeichnet. Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet.
Detaillierte Informationen zum Thema
One Identity Manager Benutzer für die Verwaltung einer SharePoint-Umgebung
In die Verwaltung einer SharePoint-Umgebung mit dem One Identity Manager sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Zielsystemadministratoren |
Die Zielsystemadministratoren müssen der Anwendungsrolle Zielsysteme | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Administrieren die Anwendungsrollen für die einzelnen Zielsystemtypen.
-
Legen die Zielsystemverantwortlichen fest.
-
Richten bei Bedarf weitere Anwendungsrollen für Zielsystemverantwortliche ein.
-
Legen fest, welche Anwendungsrollen für Zielsystemverantwortliche sich ausschließen.
-
Berechtigen weitere Personen als Zielsystemadministratoren.
-
Übernehmen keine administrativen Aufgaben innerhalb der Zielsysteme. |
Zielsystemverantwortliche |
Die Zielsystemverantwortlichen müssen der Anwendungsrolle Zielsysteme | SharePoint oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Übernehmen die administrativen Aufgaben für das Zielsystem.
-
Erzeugen, ändern oder löschen die Zielsystemobjekte.
-
Bearbeiten Kennwortrichtlinien für das Zielsystem.
-
Bereiten Systemberechtigungen zur Aufnahme in den IT Shop vor.
-
Können Personen anlegen, die eine andere Identität haben als den Identitätstyp Primäre Identität.
-
Konfigurieren im Synchronization Editor die Synchronisation und definieren das Mapping für den Abgleich von Zielsystem und One Identity Manager.
-
Bearbeiten Zielsystemtypen sowie die ausstehenden Objekte einer Synchronisation.
-
Berechtigen innerhalb ihres Verantwortungsbereiches weitere Personen als Zielsystemverantwortliche und erstellen bei Bedarf weitere untergeordnete Anwendungsrollen. |
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne.
-
Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien. |
Administratoren für den IT Shop |
Die Administratoren müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Produkteigner für den IT Shop |
Die Produkteigner müssen der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner oder einer untergeordneten Anwendungsrolle zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Entscheiden über Bestellungen.
-
Bearbeiten die Leistungspositionen und Servicekategorien, für die sie verantwortlich sind. |
Administratoren für Organisationen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Organisationen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Administratoren für Geschäftsrollen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Geschäftsrollen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
Forderungsbasierte Authentifizierung
Für die Anmeldung am SharePoint Server unterstützt der One Identity Manager sowohl die forderungsbasierte Authentifizierung als auch die klassische Windows-Authentifizierung. Dafür werden in der Datenbank Informationen über die verwendeten SharePoint Provider und Authentifizierungsmodi hinterlegt. Die vorhandenen SharePoint Provider zur forderungsbasierten Authentifizierung müssen durch die Synchronisation in die Datenbank eingelesen werden. Für jede Webanwendung sind die zugelassenen Provider hinterlegt.
An jedem Benutzerkonto ist hinterlegt, mit welchem sich der Benutzer mit diesem Benutzerkonto anmeldet. Der standardmäßig zugeordnete Authentifizierungsmodus ist abhängig davon, ob die forderungsbasierte Authentifizierung an der zugehörigen Webanwendung zugelassen ist.
Der Authentifizierungsmodus wird benötigt, um Benutzerkonten im One Identity Manager anzulegen. Der Anmeldename von Benutzerkonten für die forderungsbasierte Authentifizierung enthält ein Präfix, das vom genutzten Authentifizierungsmodus abhängig ist. Diese Präfixe müssen an den Authentifizierungsmodi gepflegt werden.
Verwandte Themen